腾讯反病毒实验室：2016年和勒索木马肉搏是一种怎样的体验？

发布时间：2017-02-18 08:03:15 所属栏目：经验来源：雷锋网

导读：副标题#e# 1989年，勒索木马的鼻祖“ PC Cyborg 木马”出现，以“艾滋病信息引导盘”的形式进入系统，在系统启动次数达到 90 次时，该木马将 C 盘的全部文件加密。此时，屏幕显示信息，声称用户的软件许可已经过期，要求用户向“ PC Cyborg ”公司位于巴拿

勒索木马已经学会了这样的策略：一封包含勒索木马附件的邮件，即使被下载和打开，它也不一定会让你中招——这台机子看着很像虚拟机呢!万一被安全人员发现，大家又不都是 locky 那个二货，随时变来变去，这样的代价似乎付不起。

刘桂泽称，他们常常也有一种“长见识了”的感觉。但安全人员做对抗，也可以诱敌深入。

“上来赤裸裸的干危害不太大，勒索木马，难弄的就是这些狡猾的，狡猾了的必然有漏洞。所以，我们也会帮助用户伪装成不是受害者，让勒索木马找不到可用的受害者。”刘桂泽说。

这一年，勒索木马的代码语言更多样化了，使用到的编程语言包括 JavaScript，Python，C#等。

开发语言越来越多，刘桂泽指出：一是语言变幻越多，防御就会越困难，增加了防御工作量;二是以前大部分 C++ 和 C语言的编程语言，现在编程语言种类越多，意味着勒索软件从业人员越来越多，新人加入了。

这些新增的高级编程语言很多有现成的模式，大大降低了勒索木马的开发难度。这意味着，勒索木马这个邪恶的对手将有更多的武器和弹药投入战场。

2016年，勒索木马传播方式除邮件中的恶意文档外，新增了网站漏洞挂马、服务器黑客入侵等多种手段。

刘桂泽提醒，有些视频网站或者客户端软件内嵌了广告位，在广告位招商时，有一些小公司买了，但是不幸的是，小公司的网站被黑客入侵，加上了勒索木马。也就是说，视频网站和客户端成了勒索木马的跳板，在根本不之情的情况了，用户点击广告位中了勒索木马，视频网站和客户端就背了黑锅。

勒索木马的加密算法，以前是对称加密的，比如AES， key 保存在本地，现在过渡到了非对称加密RSA，key 保存在云端。

勒索木马的加密最早没有和云端联系，当解密放在本地时，安全人员做比较详细的分析还是有可能的，但是到了2016年，勒索木马的 key 保存在云端，这就让解密难上加难了。

刘桂泽还特别提醒，2016年他们发现了一些用简体中文勒索的木马，说明至少有中国的木马作者参与进去，专门针对中国地区进行攻击。

你还需要知道这些

1.雷锋网(公众号：雷锋网)：哪些人容易成为勒索木马的受害者?

刘桂泽：受攻击的企业和个人用户比大概是 3：7 ，但是企业用户受到的危害往往更大，支付赎金的比率也更高。企业中使用邮箱进行日常办公的专业职务人员，比如hr、会计等，更容易点击邮件中的带宏文档并成为受害者。

企业用户对勒索木马而言更有价值，但成功率偏低，因为很多公司实行内外网隔离。

2.雷锋网：接下来对勒索木马的预测，比如，有人说勒索软件将对云实施攻击，互联汽车将成为勒索软件的攻击目标……

刘桂泽：勒索木马的趋势之一，是针对高端目标进行精准攻击，比如，开发针对企业环境或服务器环境的专用勒索软件，以图勒索收益的最大化。

3.雷锋网：勒索软件的黑产链条是什么样的?

刘桂泽：看上去可以这么分——【制作者】-出售(成品或工具箱)->【利用者】-分发->【传播者】-传播->【受害者】-支付赎金->【利用者】-(可能分成)->【制作者，传播者】