9月22日,首届国际反病毒大会在天津召开,360公司创始人兼总裁、360企业安全集团董事长齐向东在大会做主旨演讲时表示,当前,网络威胁层出不穷,随着匿名互联网等技术的兴起,病毒产业造成的危害也在不断升级。他预警,当前正在爆发的敲诈者病毒创新的技术模式、盈利模式正在被大批病毒制造者学习复制,未来将泛滥成灾。
敲诈者病毒猖獗 动辄勒索上万元
最近,南方一家科技公司的信息主管向360公司求助,他办公室电脑内部网盘被Cerber病毒感染,重要的资料文件都不能正常使用了,病毒作者要求每个文件支付1.25个比特币才给解密,按照现在比特币的价钱,也就是说,每个文件都要被勒索6000多人民币。他系统里一共有几千个重要的文件,要是全部解密需要100多万元。
这个Cerber病毒是敲诈者病毒的一种,是不法分子通过对感染者的重要文件加密等方式,向用户敲诈钱财才予以解密的一种恶意软件。
据齐向东透露,从2014年开始,360就陆续收到类似求助,一开始,这个病毒基本上是国外比较流行,在中国范围内,被感染的多是外贸相关的机构,属于偶然性的中招。但现在,已经是对国内有针对性的进行攻击了,被攻击人数也在快速增长。有一家央企,曾在两周之内中招三次。
根据360威胁情报中心监测,全球范围内,敲诈者病毒的多达80个家族,特别流行的是其中7个家族。2015年第四季度,全球敲诈者病毒数量较上一季度增加了26%,600万敲诈者病毒尝试安装到电脑。仅2016年上半年,我国国内有超过58万台电脑遭到了敲诈者木马攻击,且有多达5万多台电脑最终感染了敲诈者木马,平均每天有约300台国内电脑感染敲诈者木马。
2016年2月以来,360威胁情报中心监测到,一大波敲诈者病毒大规模爆发,敲诈者病毒向企业、医院、银行、政府机构、企事业单位及律师、作家等群体进行攻击,窃取高价值文件。目前,敲诈者病毒攻击范围也在不断扩大,已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果被感染的设备连接了企业的网络共享存储,那么共享存储中的文件也可能会被加密。
创新的盈利模式和技术模式正在被复制
据了解,以往的病毒传播,拼的是技术,谁用的技术新,漏洞厉害,传播就广,病毒制作者获利就大。但这类敲诈者病毒用的却都是已经有很长时间的成熟老技术,例如已经有几十年历史的非对称加密技术,十几年历史的匿名网络技术洋葱头(也叫Tor),七八年历史的比特币技术等。
但是,他们把这些传播技术重新组合起来,形成了一个新的技术模式,只要一次运行,把文件加密了就能开始勒索,因为加密在这一次运行的时候就完成了,也就不需要修改系统来常驻,不用想办法隐藏自己,也不用和远端建立连接。杀毒软件以前的层层防护在这种技术模式面前,就没什么用了。因为就算杀毒软件把它删除了,用户还是得乖乖交钱才能解密文件。在这个技术模式里,匿名技术的使用避免了对黑客的追踪,让这些犯罪分子有恃无恐,也加剧了敲诈者病毒的泛滥。
同时,这个新的技术模式也构造了新的盈利模式,就是直接从终端用户那里捞钱。之前的病毒也好,木马也好,他们的盈利模式都是要感染很大的量,然后把这些终端当作“肉鸡”,刷流量、装软件,一个终端赚十几块钱,要想盈利,一方面要感染很大的量,另一方面要能够在这些终端上持久地存活下来。但是敲诈者只要感染几个重要的用户,让他们交赎金,就能从一个终端上至少赚到几个比特币,折算下来就是一万多块钱,这笔钱以前是要感染一千个终端才能赚到的。
齐向东说,因为这个商业模式很创新,技术门槛也不高,匿名互联网技术又保证了自己不会暴露,大量的黑客开始学习敲诈者病毒的攻击思路和技术手段,大量应用于黑产。比如,360威胁情报中心发现,出现了大量假的敲诈者病毒,他们对文件的加密方式实际上是可以解密的,但在他弹出的敲诈页面上声称自己用的是敲诈者病毒使用的rsa4096结合aes的加密方式,让用户误以为自己的文件无法解密而支付赎金。这个特点,很明显就是技术能力并不高的黑客在学习敲诈者病毒的思路,“移花接木”,用于犯罪。
正是因为黑产普遍都学到了这个套路,所以我们观察到敲诈者病毒开始泛滥了,未来很可能会泛滥成灾。
每天拦截6000余次 “敲诈先赔”提供保障
齐向东提到,为了治理敲诈者病毒,360成立了特别行动小组。360公司拥有13亿终端用户和全球最大的网址库和第三方数据库,目前样本库的总样本已经超过了95亿条,每天还在源源不断地更新中。360利用大数据和云安全技术,加上网民的协同,能多维度的进行安全数据监控,快速地捕获样本,对样本进行快速的分析和机器学习,并迅速响应升级,从而做到360安全卫士、360天擎等安全软件能对各类敲诈者病毒及其最新变种进行拦截和查杀,目前,每天拦截敲诈者病毒高达6千多次。
360还独家研发了独有的文档防护功能。这个功能是从源头上保护用户的重要数据,只要判断为非正常地试图修改文档时,就会进行拦截。也就是说,不管敲诈者有多少种新的变种,也无法达到破坏重要数据的目的。
“这套技术上线之后,取得了很好的效果,安装了360的用户几乎没有中招的。基于对我们技术的信心,今年9月初我们推出了敲诈先赔服务。“齐向东告诉记者,对于所有安装了360安全卫士的互联网用户,如果开启“360文档保护功能”和“360反勒索服务”,仍然感染了敲诈者木马,360可以代替用户向黑客缴纳最高3个比特币(大约13000元人民币)的赎金。对于安装了360天擎的企业用户,如果用户在开启了敲诈先赔功能后仍然感染了敲诈者病毒,360企业安全集团负责赔付赎金,提供每个企业最高一百万元的先赔保障。
据了解,推出“敲诈先赔“服务以来,360公司已经收到了大约100起被敲诈者病毒加密的用户案件,所有都是由于没有安装360或者退出360的防护导致中招,没有一起是由于360没有防住导致的。(记者 侯云龙 北京报道)