作者:郑 辉
近日,美国好莱坞某医疗中心传来消息:黑客使用勒索软件攻陷了该医院IT系统,并锁定其中的文件,导致不能查看电子病历,甚至连邮件都无法收发。黑客索要340万美元才会提供代码解锁。经过一周多的斡旋,院方最终支付了1.7万美元才拿回计算机系统控制权。
据悉,这已经不是勒索软件第一次发威。前不久,安卓系统也出现了一款勒索软件,将手机加密后索要赎金。而这款软件被查杀后,很快又带着升级版卷土重来——新版软件甚至连攻击者都不知道如何解锁,用户即使交付赎金也是徒劳。
而更令人忧虑的是,随着网络技术发展,勒索软件的黑手进一步扩展了可攻击的范围,网络游戏、智能汽车和手表纷纷被曝出易受攻击。有安全公司发出警告:2016将是网络勒索大幅度扩展的一年,攻击行为还会变得更具个性化与针对性。
勒索软件的前世今生
勒索软件是通过各种手段传播的一种木马病毒,感染受害者电脑或移动设备后,采用修改密码、加密文件等方式,使用户数据资产或计算机资源无法正常使用,并以此为条件勒索钱财。
被加密的内容包括文档、邮件、数据库、源代码、图片、压缩文件等多种形式。赎金包括真实货币、比特币或其他虚拟货币。一般来说,勒索软件编写者还会设定支付时限,赎金随时间推移上涨。但有时即使用户支付了赎金,仍然无法正常使用系统、还原被加密的文件。
最早的勒索软件出现于1989年,名为“艾滋病信息木马”。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。
2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。据国家计算机病毒应急处理中心统计,全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失,只是被移动到一个具有隐藏属性的文件夹中。
而从2013年的CryptoLocker开始,勒索软件进入了新的发展期。CryptoLocker可以感染大部分Windows操作系统,通常通过邮件附件传播,附件执行后会对特定类型的文件进行加密,之后弹出付款窗口,要求用户使用MoneyPak或比特币,在72小时或4天内支付100或300美元。
2015年2月,国内出现了一款名为CTB-Locker的勒索软件。这是当前全球影响较大的一款勒索软件,其中一大特点是使用洋葱路由(Tor),通过完全匿名的比特币收取赎金,这使得勒索者难以被追踪。据悉,受害者大多是企业高管等商务人士。
同年出现的勒索新形式还包括勒索服务平台。一款名为Tox的勒索软件开发包在年中发布,通过注册服务,任何人都可创建勒索软件,管理面板会显示感染数量、支付赎金人数以及总体收益,Tox收取赎金的20%。
2015年下半年,土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB,与成熟的勒索软件相比体格较小,但在加密算法等方面却毫不逊色。尽管开发者一再强调此软件是为了让人们更多地了解勒索软件的工作原理,可它作为免费共享的开源软件,会怎样被进一步开发应用,引发了诸多争议。
特点及表现形式
总体而言,勒索软件是病毒的一种,但又不同于一般的病毒。病毒的对象是系统程序和应用程序,通过漏洞、邮件等方式感染后仍可带毒运行。而勒索软件的对象是数据文件资料,通过邮件、可移动存储介质传播,也可借助网页木马,或与其他恶意软件捆绑发布,一旦遭遇勒索就无法继续使用。具体特点如下:
高隐蔽性。勒索软件大多针对的是数据文件资料,感染期间用户难以察觉,直到已被感染或需要处理相关资料时,才会发现。高技术犯罪。勒索软件多采用高强度加密算法,几乎称得上是密码领域最强的算法,破解难度大。高敲诈金额。有调查显示,2013年10月中旬到12月中旬期间,有至少41000多枚比特币流入CryptoLocker编写者及其他类似变种病毒作者的账户,相当于1.6亿元人民币。攻击高端人士。从发展趋势看,攻击目标正逐渐集中于高端人群。一方面他们拥有的数据文件资料价值更高,另一方面支付意愿和能力也更强。
针对不同对象,勒索软件的表现形式也不尽相同。对于PC用户,黑客可采用修改登录口令的方式,有时也会假称在用户系统发现安全威胁,令用户恐慌,诱导其购买所谓的“杀毒软件”。而对手机用户,黑客可以直接修改锁屏口令或设置锁屏页面,达到攻击目的。
而最常见的勒索方式还是加密文件。从早期只是简单地对文件作本地隐藏,继而过渡到利用压缩软件加密,再发展到目前的强加密算法,勒索软件已出现大量变种病毒,还可对每个文件设置不同的密钥。
需要警惕的是,目前,勒索软件的攻击目标正逐渐从个人转向企业。随着攻击手段花样翻新,不排除未来还会出现专门针对办公环境,边勒索边窃取、倒卖敏感资料的攻击行为。
演变及防治
2014年4月,勒索软件陆续出现在国外以安卓系统为代表的移动终端,当手机用户解锁及运行其他应用时,勒索软件会以非法浏览色情信息为由,反复弹出警告信息,提示用户缴纳罚款,从而勒索高额赎金。近两年的移动平台勒索软件样本中,东欧和俄罗斯较多,其次是英国、美国和中国。
类似的剧目很快在国内上演。锁屏、加密通讯录等手段不一而足,勒索软件通常伪装成游戏外挂或付费破解软件,用户点击后即锁定屏幕,需加手机界面留下的QQ号支付赎金。
在传播途径上,国内勒索软件多依赖互联网社交渠道,包括QQ群、微信群等。而国外勒索软件大多采用传播性更强的钓鱼邮件。而在赎金交纳方式上,国内直接使用Q币、微信转账和银行汇款,国外大多使用比特币。
对于用户而言,中毒前,最重要的防范措施就是备份。对于Windows系统来说,防范措施包括,通过设置显示文件扩展名,不随意运行不明文件;定时升级系统、病毒库;避免打开非可信来源的邮件附件或点击邮件中的链接;定期用反病毒软件扫描系统等。
如果不慎中毒,勒索软件会给用户很强的心理暗示——勒索页面无法退出,赎金随时间涨价,还会以倒计时强化紧迫感。受害者首先要做的是断开网络,并尝试系统还原。事实上,强加密的文件确实很难破解,但也并非无解,据统计,目前约2/3的文档可通过各种手段解密,对那些赎金随时间上涨的勒索软件,还可以修改系统时间。如果自身无法恢复文件,至少可以寻求安全机构的帮助,而不是直接向犯罪分子妥协。因为这不但会助长对方的气焰,鼓动其扩大攻击,而且也不能保证文件恢复。
纵览过去一年国外网络勒索事件,可以看到,勒索软件在运行模式、加密技术等方面正逐渐趋于成熟,这使它们成为2016年最具危害的安全威胁。与其他网络犯罪手段相比,一方面,勒索软件能帮助不法分子获得高额收益;另一方面,利用微信等热门社交应用及用户较薄弱的安全防护能力,勒索软件比以往更容易窃取隐私信息、敏感数据。安全机构和勒索软件的对抗也将在2016年更加激烈。------自中国保密在线
