ITBear旗下自媒体矩阵:

腾讯电脑管家揭秘:邮件成“敲诈者”木马最常见传播渠道

   时间:2017-03-14 17:20:36 来源:互联网编辑:星辉 发表评论无障碍通道

一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。当前,敲诈木马日益猖獗,其背后是成熟运转的黑色产业链。从受害者信息的获取,到木马的制作、邮件的发送,每一个环节的不法分子都能从赎金中分得一杯羹。未来,不法分子还会发动什么样的攻击?面对这样的木马又应该如何防范?近日,腾讯安全联合实验室旗下的反病毒实验室发布了“敲诈者”黑产研究报告,与腾讯电脑管家一起详细揭秘“敲诈者”及其背后的黑色产业链。

敲诈风暴愈演愈烈 企业核心数据频频遭窃

如果没有点开那一封邮件,汪为(化名)现在就不会忙于寻找丢失的文件,甚至也不用支付相当于几个月工资的罚款。

汪为在北京一家互联网企业上班,日常工作是在网上与客户进行联系,维护产品销售渠道。因公司准备出国参加一场展销会,汪为忙着跟几家快递公司通过邮件商量宣传物资的邮递事宜。和往常一样,他在未读邮件中挑出了与快递相关的部分,逐一阅读并打开其中的附件,直到他点开了一封主题为“Delivery Notification”的邮件。一小时后,他电脑中的文件被改成乱码且无法打开,被修改为敲诈内容的桌面背景也显示出来。他才知道电脑中了“敲诈者”木马。

像汪为这样的遭遇并非个例。自2014年起,陆续有人在打开邮件之后,发现自己电脑中的文件被修改,其中不乏公司核心数据、有重要意义的图片等内容,一旦丢失造成的损失难以估量,此外在电脑显著位置上也会出现敲诈信息。

敲诈木马最初仅在国外传播,后来逐渐渗透到国内,受其影响不乏医院、公交公司这样的大型企业。目前,除了少部分敲诈木马可以通过其漏洞进行破解外,仍有很多木马难以治理,而受害者往往需要支付赎金才能解锁文件,对于一些重要数据被加密的公司而言,这是无奈之中最后的办法。此前,美国好莱坞某医院为了恢复患者病历,被迫支付了相当于数万美元的赎金。经过长时间的监测,腾讯电脑管家在第一时间揭秘这类木马。

财务会计类职工成攻击目标 邮件成敲诈者主要传播渠道

从以往腾讯电脑管家拦截情况来看,当前敲诈木马主要以邮件进行传播,邮件的主题往往是快递、发票、费用确认等公务内容并含有附件,从而诱导财务、会计、对外关系等职位的员工打开。其中,最常见的附件格式是Office文档,还有一些如Powershell、js、vb、JAR、CHM等文件格式被用于传播。木马运行后,将导致电脑上用户隐私(文件、照片)等被加密。

为了谋求更多利益,不法分子也在不断变换手法,如控制电脑随意登陆访问广告、钓鱼网站,或是下载后门木马,实时监控受害者上网行为并上传隐私信息。其次,不法分子也开始针对不同种类的电脑用户开发相应的木马,连一向以安全著称的MAC操作系统在不久前也遭到了敲诈木马的攻击。除此之外,在一些针对政府、军队等敏感目标的高等级、强对抗的网络攻击中,也出现了敲诈木马的身影。

邮箱账号9.9元公开兜售 “敲诈者”黑色产业日趋成熟

围绕着敲诈木马,不法分子已经形成了“收集客户邮箱账户—客户身份信息分类—兜售客户邮箱账户—专业发送邮件”的一整套黑色产业链。不同身份的不法分子在制作、传播、赎金交付等环节中分工合作,互相交换资源和数据,企图从受害者的损失中分得利益。

在邮件信息获取阶段,腾讯安全和腾讯电脑管家研究人员发现,只要用户使用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论,那么黑产从业者就能使用爬虫工具在网上抓取到相关邮箱信息,并通过用户言论行为以及账号信息进行身份分类。被分类好的邮箱账号会出现在各类平台上进行兜售,其中一些行业类别的邮箱账号信息兜售价为9.9元。

(多个行业的邮箱账号被兜售)

一旦不法分子获取邮箱账号信息后,就会着手发送垃圾邮件,而使用正规邮箱大量发送垃圾邮件,很大概率会被封号,于是出现了“专业发送邮件”的产业环节。据调查,该环节从业者多采取自搭建邮箱服务器的方式,可以做到无限制的发送,就连发送总量、点击人数等都可以查看。

赎金交付是另一个重要的环节,它直接关系着整个黑色链条是否能从受害者那里攫取到足够的利益。比特币因在全球范围内可使用,且其使用者具有匿名性,难以追踪,常常被不法分子要求作为赎金。

防治敲诈木马,事前防范显得尤为重要。腾讯安全反病毒实验室专家马劲松提醒用户,不轻信任意陌生邮件中的内容,不要随意开启邮件附件,不管是可执行文件、Office文档,还是后缀名不熟悉的其他格式文件。同时开启Office、WPS等文档软件安全防护功能,不要设置默认运行宏,也不要受陌生文档的引诱临时开启宏运行。在生活中,使用腾讯电脑管家等安全类软件,开启实时保护并及时更新版本。目前,腾讯电脑管家旗下的哈勃分析系统也发布了数个解密工具,受害者只需要根据工具的指示进行操作,无需支付赎金即可恢复被敲诈木马加密的文件。对于不放心的文件,也可以使用哈勃分析系统(https://habo.qq.com/)对文件进行检测。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version