勒索软件

在遇到勒索软件攻击时，人们往往第一时间想到的是：是否值得支付赎金，以及如何以最小的代价恢复被锁文件。卡巴斯基实验室从始至终不建议受害人支付任何赎金，而如果不幸遇到被称为”Ranscam”的新型勒索软件时，那支付赎金更是毫无意义：它会将你的文件整个删除。

今年，有关勒索软件攻击的新闻可谓层出不穷—且没有丝毫消停的意思。每天，安全研究人员都能发现新的勒索软件种类，以及犯罪分子从个人和企业用户那儿窃取资金的最新方法。只要安全专家们稍稍取得些进展，犯罪分子又会想出更新的勒索软件攻击方法和技术。

如今互联网上针对iCloud的谣言纷飞：据说有超过4000万的iCloud账号惨遭被盗。目前，我们正在等待更多的消息和确凿的证据以证实这一说法。如果证明确有其事的话，那现在就应该采取行动：检查iCloud账号设置—很可能将”救你一命”从而免遭劫难。

就在最近，讲英语和俄语国家的用户纷纷遭到一种被称为”Ded Cryptor”的全新勒索软件木马的攻击。该勒索软件显然过于贪婪，竟索要整整2个比特币（约合1300美元）的赎金。不幸的是，目前还未有任何一种解密解决方案能恢复遭Ded Cryptor加密的文件。

就在上周，我们讨论了有关台式电脑的勒索软件话题，这着实令人讨厌。如今，除了在台式电脑上发现勒索软件外，移动设备也不例外—而且有上升的态势。今天，我们就将讨论目前最流行的几种移动勒索软件。

如今，窃取受害人资金几乎成为了所有网络攻击的目标。由于许多各式各样的医疗设备均具有联网功能，因此一旦不幸感染病毒其结果将比金钱损失更为严重。甚至可能危及病人的健康和生命安全？

本周，微软检测到一种被称为”ZCryptor”的全新cryptoworm样本。其独特性在于，在不使用恶意垃圾邮件或漏洞利用工具的情况下，就能加密文件并自我传播至其他计算机和网络设备。该新型恶意软件还会自我复制到联网计算机和可移动设备上。

就当人们都认为勒索软件危害性大不如前的时候，它突然来了个180度大变身：不再迅速传播而是发展出了第二种特性。下面就以2016年2月首次在互联网上发现的Cerber举例。 当时，Cerber因为其毛骨悚然的赎金索要通知方式而著称—多数勒索软件通过文字讯息索要赎金，而Cerber却独树一帜，通过语音通知受害人。但犯罪手法依然难离其宗：支付赎金，然后恢复文件。 额外的恶意行为 如今，包括Cerber在内的木马病毒仍然干着加密受害人数据的勾当，而大多数计算机用户并不知道如何应对。听上去好像是转移注意力的策略，不是吗？ 似乎Cerber传播者对这一观点深表认同。该恶意软件的某些升级版—采用复杂的传播方式—最近几个月主动”自废武功”—但却衍生出额外的恶意行为：将受害人计算机添加到恶意的僵尸网络大军中。 这里简要介绍下Cerber恶意行为的先后顺序。首先，Cerber通过电邮附件的形式进入受害人计算机。一旦被打开，该病毒就会像其它勒索软件那样加密文件并向受害人索要赎金。但在这之后，安全研究专家发现，它还会进一步确认计算机联网状态，并将受感染的PC电脑用作其它目的。例如，实施分布式拒绝服务攻击或作为垃圾邮件程序使用。 日益增多的多目的性恶意软件 但Cerber并非是我们在2016年发现的首个拥有额外恶意行为的勒索软件。例如，Petya勒索软件为了加密受害人整个硬盘，通常要求用户首先授予权限，将Mischa添加到其安装路径以确保成功感染。而CryptXXX新增加的恶意行为是窃取受害人信息和比特币。 显然，勒索软件是一种高回报的网络犯罪工具。预计接下来各种多目的性勒索软件将层出不穷。始终关注安全行业最新动态并使用安全保护程序，能最大提升计算机的安全性。 如何防范Cerber 类似于Cerber这样的恶意软件，就其传播方式而言相对容易防范。为了最大降低成为Cerber受害人的概率—以及不幸中招后的危害性： 1.小心提防收到的任何一封邮件。千万不要点击明显是垃圾邮件内的链接，同时还应避免点击貌似是正当业务电邮甚至发自你认识和信任发件人电邮内的链接或附件。 2.备份文件。经常并定期进行备份。 3.无论是操作系统还是应用，只要有新补丁发布就立即安装。和垃圾邮件链接一样，未打补丁的漏洞也是恶意软件攻击通常的切入口。 4.运行，比如：卡巴斯基安全软件 —随时 —保持最新版本。另外，你还需对所有联网设备进行安全保护。卡巴斯基实验室的众多安全解决方案就能够成功检测出Cerber为Trojan-Ransom.Win32.Zerber。

人在生病时，最先想到的都是去看医生。但如果是自己的计算机出问题了，你肯定不会去问医生该怎么办。在卡巴斯基实验室，我们总是不厌其烦地劝告用户，即使感染了勒索软件木马也不要支付任何赎金。

与过去恶意软件攻击（目的各有不同）不一样的是，勒索软件的目的可谓简单直接：就是为了敛财。这一目的驱使着恶意开发者不断推陈出新、升级换代，导致勒索软件数量急剧上升，且传播范围不断扩大。 如果你对勒索软件还不了解的话，许多人其实和你一样—但这却是一种不幸。但随着人们对勒索软件的关注程度日益提高，同时高调攻击包括医院、学校和警察局在内的重要政府机构。为此，卡巴斯基实验室最近委托调研公司- Opinion Matters对美国和加拿大的5000多名互联网用户进行问卷调查，以了解公众对于勒索软件的认知及重视程度。 结果显示消费者对勒索软件可以说是漠不关心—原因可能是他们并不知道勒索软件的范围和影响。 为何勒索软件受到如此重视 简单来说，勒索软件就是恶意软件的一种。其行为是通过加密锁住受害人的文件—或者访问他们的计算机或移动设备—进而以此为要挟向受害人索要赎金以恢复文件。 勒索软件受害人包括PC和Mac用户、移动设备用户以及政府机构—总之，任何人都可能成为受害人。 在去年，卡巴斯基实验室曾预测2016年勒索软件将”开辟新战场”，比如：物联网—包括用户难以技术控制的联网设备和电器。勒索软件的”直接敛财”模式对网络犯罪分子有着极强的吸引力，其消费者模式也构思得相当巧妙，对每个受害人索要相对较少的钱。 调查结果显示… 在所有受访的用户中，43%的人对勒索软件一无所知，而9%的人则认为勒索软件是以盗取的社交媒体账号向受害人索要赎金。 更令人担忧的是，一旦此类攻击发生在自己头上，用户根本不知道该如何应对。有1/4的受访者认为让受感染的计算机断网就能阻止攻击。有相当比例的受访者—15%美国受访者和17%加拿大受访者—会选择拔掉电源插头或关机，认为这样做可行（警告！剧透：这样做毫无作用）。 更令人担忧的是，15%的美国受访者和17%的加拿大受访者认为拔掉电源插头或关机就能阻止勒索软件攻击 多数用户（53%）认为只会损失一些照片和视频，因此不愿支付赎金。而那些愿意支付赎金的受访者则表示只会付很少的钱来恢复他们的个人数字文件。 此外，还有26%的美国受访者和24%的加拿大受访者表示愿意永远放弃使用社交媒体，以换来个人数字文件的安全保护。 类似于的多数网络安全软件，都能保护用户免于多种形式的勒索软件攻击。但11%的美国受访者和12%的加拿大受访者表示，他们从不在自己的个人数字设备上安装任何安全产品。 互联网安全知识必不可少 随着勒索软件攻击数量不断增加，互联网用户不仅需要知道问题所在—还应清楚如何避免勒索软件攻击以及发生后的应对方法。 在回答有关勒索软件攻击的问题时，46%的受访者并不知道受到感染后该如何应对。调查结果也显示，不知道感染后该采取何种应对措施的受访者比例与年龄有关，且年龄越大不知道的比例也越高：16-34岁年龄区间是37%，55岁以上则达到了54%。 付还是不付，莎士比亚式的问题 近1/4（24%）的受访者表示支付赎金能让网络犯罪分子停止攻击，而超过一半（53%）的受访者则完全不愿支付赎金。 那些表示会支付赎金的受访者，只愿意支付很少的一笔钱来恢复个人数字文件—低于平均每月的午餐费。 而卡巴斯基实验室则不建议受害人向不法分子支付任何赎金。我们的建议是：定期备份文件并使用强大的安全解决方案来保护设备的安全。 寄语未来 由于缺乏对勒索软件的了解，因此不少用户都极易受到这一发展迅速的网络犯罪形式的危害。只要人们还倾向于点击不明邮件内的附件，或常常访问可疑网站观看最新的病毒视频，网络犯罪分子始终能利用勒索软件危害广大用户的安全。 但调查也有好消息：大多数受访者都在设备上使用网络安全软件。超过3/4（77%）的受访者在自己的计算机（PC或Mac）上安装有网络安全软件，而在智能手机和平板电脑上安装的比例也分别达到47%和31%。 除此之外，受访用户还会定期备份自己的文件。几乎所有（84%）的受访者表示他们都会备份自己的数字文件。 尽管许多人都认为不应向网络攻击者支付赎金，并经常备份自己的数字文件，但了解最新安全动态同样也是防范勒索软件攻击的好方法。

正如我们之前提到的，TeslaCrypt（不断进化的木马加密软件）作者突然决定终止病毒的传播活动，并发布了主解密密钥。主解密密钥能用来解密被最新版本TeslaCrypt加密的文件。

最新报道TeslaCrypt勒索软件背后的网络犯罪分子突然放出主解密密钥。有了主密钥，所有受害人都能解密被各版本TeslaCrypt勒索软件加密的文件。哇哦，这难道是在做梦。

Petya与Mischa之间的差别主要体现在两方面。Petya会让整个硬盘无法访问，而Mischa只会加密某几种文件，这可能是个好消息。而坏消息是，和Petya不同的是，Mischa并不需要管理员访问权限。似乎黑客作者早已想好了Petya和Mischa能取长补短，成为”无敌组合”。

我们自豪地宣布，卡巴斯基团队已将RannohDecryptor成功升级至1.9.1.0版本，因此能有效解锁CryptXXX的最新版本。

而作为卡巴斯基实验室，我们建议用户主动出击保护自身免于这类网络威胁，而不是向犯罪分子支付赎金。而且，我们清楚知道犯罪分子几乎无所不用其极地寻找各种方法，试图榨取普通用户辛苦劳动的所得。那我们到底该采取哪些措施，才能避免落入’勒索软件’的圈套呢？

如果你不幸遇到上述这种情况，很可能就是你的系统感染了CryptXXX勒索软件。这通常是木马病毒加密文件和盗取个人数据和比特币的’卑鄙伎俩’。但也有好消息：目前有一款免费工具能完全修复你的系统。

我们看到，在Petya勒索软件中出现的bug或漏洞使得软件开发者都能编写出可解锁用户设备的工具，使得受害人无需再支付任何赎金。

勒索软件”进化”速度之快几乎超出了我们的想象。许多新版本的勒索软件通过将非对称加密法和长位数密钥结合使用，使得受害人在缺少密钥的情况下根本无法解密文件。此外，不法分子也开始使用洋葱路由和比特币支付方式，因此隐匿得无影无踪。而最新出现的Petya勒索软件在某种程度上能快速加密整个硬盘，而不是像过去的勒索软件那样对文件逐一加密。

全世界的医生和病人们请注意：勒索软件家族又添新成员了！尽管1个月前才出现在互联网，但已成功加密了美国两家医院的文件并为网络犯罪分子赚得了1.7万美元的高额赎金。

与其它成功商业诈骗案例类似的是，网络犯罪分子也在不遗余力地寻找新的市场。他们进行各种试验、不断更换攻击目标并从受害人那儿得到”效果反馈”—所有这一切都是为了赚取更多的”不义之财”。这就是我们研究了最新版本CTB-Locker后所得到的结果。

移动设备领域的不法分子可谓相当活跃，不断寻找机会实施攻击活动。有关2015年的移动恶意软件发展动态，你可以从我们在Securelist网站上发布的完整报告中一览无遗。
随着移动设备和移动服务的功能不断增加，网络犯罪分子必定会不断利用移动恶意软件大肆敛财。对于金钱的贪婪只会让他们的胃口越变越大。