恶意软件

想象一下这样的场景：你走在路上一边玩着《口袋妖怪GO》，一边呼吸着新鲜的空气。街上的人形形色色，甚至还有牵着狗散步的，这时突然有什么东西吸引了你的注意：一块掉落在地上的U盘。

Jornt van der Wiel不仅是我们GReAT（全球研究和分析团队）的一名成员，也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰，为卡巴斯基实验室工作已超过了两个年头我们为读者提供了很好的机会：就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上，由于提的问题实在太多，没法在一篇博文中全部写出来，因此决定分两次刊登。

在遇到勒索软件攻击时，人们往往第一时间想到的是：是否值得支付赎金，以及如何以最小的代价恢复被锁文件。卡巴斯基实验室从始至终不建议受害人支付任何赎金，而如果不幸遇到被称为”Ranscam”的新型勒索软件时，那支付赎金更是毫无意义：它会将你的文件整个删除。

勒索软件已在全球范围广泛传播，短时间内要想彻底清除难度颇大。我们并没有在危言耸听—好吧，的确有一部分，但完全是为了广大用户着想。如果你能仔细查阅卡巴斯基安全网络收集的数据，你就能明白—我们面临的是何等危险的网络威胁。

如今，窃取受害人资金几乎成为了所有网络攻击的目标。由于许多各式各样的医疗设备均具有联网功能，因此一旦不幸感染病毒其结果将比金钱损失更为严重。甚至可能危及病人的健康和生命安全？

本周，微软检测到一种被称为”ZCryptor”的全新cryptoworm样本。其独特性在于，在不使用恶意垃圾邮件或漏洞利用工具的情况下，就能加密文件并自我传播至其他计算机和网络设备。该新型恶意软件还会自我复制到联网计算机和可移动设备上。

就当人们都认为勒索软件危害性大不如前的时候，它突然来了个180度大变身：不再迅速传播而是发展出了第二种特性。下面就以2016年2月首次在互联网上发现的Cerber举例。 当时，Cerber因为其毛骨悚然的赎金索要通知方式而著称—多数勒索软件通过文字讯息索要赎金，而Cerber却独树一帜，通过语音通知受害人。但犯罪手法依然难离其宗：支付赎金，然后恢复文件。 额外的恶意行为 如今，包括Cerber在内的木马病毒仍然干着加密受害人数据的勾当，而大多数计算机用户并不知道如何应对。听上去好像是转移注意力的策略，不是吗？ 似乎Cerber传播者对这一观点深表认同。该恶意软件的某些升级版—采用复杂的传播方式—最近几个月主动”自废武功”—但却衍生出额外的恶意行为：将受害人计算机添加到恶意的僵尸网络大军中。 这里简要介绍下Cerber恶意行为的先后顺序。首先，Cerber通过电邮附件的形式进入受害人计算机。一旦被打开，该病毒就会像其它勒索软件那样加密文件并向受害人索要赎金。但在这之后，安全研究专家发现，它还会进一步确认计算机联网状态，并将受感染的PC电脑用作其它目的。例如，实施分布式拒绝服务攻击或作为垃圾邮件程序使用。 日益增多的多目的性恶意软件 但Cerber并非是我们在2016年发现的首个拥有额外恶意行为的勒索软件。例如，Petya勒索软件为了加密受害人整个硬盘，通常要求用户首先授予权限，将Mischa添加到其安装路径以确保成功感染。而CryptXXX新增加的恶意行为是窃取受害人信息和比特币。 显然，勒索软件是一种高回报的网络犯罪工具。预计接下来各种多目的性勒索软件将层出不穷。始终关注安全行业最新动态并使用安全保护程序，能最大提升计算机的安全性。 如何防范Cerber 类似于Cerber这样的恶意软件，就其传播方式而言相对容易防范。为了最大降低成为Cerber受害人的概率—以及不幸中招后的危害性： 1.小心提防收到的任何一封邮件。千万不要点击明显是垃圾邮件内的链接，同时还应避免点击貌似是正当业务电邮甚至发自你认识和信任发件人电邮内的链接或附件。 2.备份文件。经常并定期进行备份。 3.无论是操作系统还是应用，只要有新补丁发布就立即安装。和垃圾邮件链接一样，未打补丁的漏洞也是恶意软件攻击通常的切入口。 4.运行，比如：卡巴斯基安全软件 —随时 —保持最新版本。另外，你还需对所有联网设备进行安全保护。卡巴斯基实验室的众多安全解决方案就能够成功检测出Cerber为Trojan-Ransom.Win32.Zerber。

人在生病时，最先想到的都是去看医生。但如果是自己的计算机出问题了，你肯定不会去问医生该怎么办。在卡巴斯基实验室，我们总是不厌其烦地劝告用户，即使感染了勒索软件木马也不要支付任何赎金。

不管你知不知道ATM盗读器（skimmer）是什么，都该读一读这篇博文—了解如何保护自己银行卡的安全。你需要时常注意ATM机上是否有可疑的附着物，并避免使用看上去有问题的ATM机。但如果未发现任何附着物，又或者盗读器是完全隐形的呢？

我们自豪地宣布，卡巴斯基团队已将RannohDecryptor成功升级至1.9.1.0版本，因此能有效解锁CryptXXX的最新版本。

近日，2ch网站的一名用户引起了俄罗斯媒体的广泛关注。该匿名用户在YouTube上直播了被黑计算机的现场视频，实际上是将被黑网络摄像头的视频会话变成了一场在线直播秀。比如，受害人走到电脑前时，黑客故意在浏览器上打开一个不雅视频，然后直播他观看不雅视频的整个过程。

与其它成功商业诈骗案例类似的是，网络犯罪分子也在不遗余力地寻找新的市场。他们进行各种试验、不断更换攻击目标并从受害人那儿得到”效果反馈”—所有这一切都是为了赚取更多的”不义之财”。这就是我们研究了最新版本CTB-Locker后所得到的结果。

在旧金山举办的RSA大会上，我本人有幸参加了专题小组讨论会，并就目前并不安全的大数据提出了一个有趣的问题。来自Zerofox公司的Ian Amit还为此做了专题演讲，详细介绍了网络犯罪分子是如何利用社交媒体锁定个人目标，进而偷偷潜入公司系统的整个过程。

如今有不少针对安卓系统的”小型”木马病毒能够通过获取访问权限，换句话说—获取根访问权限，然后实施攻击。我们的两名恶意软件分析专家Nikita Buchka和Mikhail Kuzin就能轻松叫出其中11种木马病毒的名字。其中大多数并无实质性危害—但直到最近开始植入海量的广告和下载其它类型恶意软件才发现其危害性。

移动设备领域的不法分子可谓相当活跃，不断寻找机会实施攻击活动。有关2015年的移动恶意软件发展动态，你可以从我们在Securelist网站上发布的完整报告中一览无遗。
随着移动设备和移动服务的功能不断增加，网络犯罪分子必定会不断利用移动恶意软件大肆敛财。对于金钱的贪婪只会让他们的胃口越变越大。

长久以来，ATM机似乎总是不法分子争相追逐的”猎物”。在过去，他们常使用切割锯这样的”重型武器”，或干脆直接用上炸药。但随着数字时代的到来，这一切都发生了改变。如今的不法分子无需再用这样的野蛮手段就能轻松攻破ATM机。

作为一家专为政府机构提供云存储服务的公司，iPower近期意外发现一名巡警随身佩戴的摄像头内潜伏着病毒。每次该部随身摄像头连接计算机时，反病毒软件即会嗡嗡作响。事实证明，该部摄像头已感染Win32.Conficker.B!inf病毒。

几乎每一年，互联网都会发生各种新的变化，而伴随万维网而来的各种在线威胁同样也不断”日新月异”。无论对于家庭用户还是企业用户来说，在即将到来的2016年又将会遭遇怎样的互联网噩梦呢？

勒索软件之所以说是一种极端恶劣的网络诈骗，原因是被索要赎金的加密文件恰恰还保存在用户自己的计算机内。这种情况常常会让受害人痛苦不已，而且只有得到唯一的加密密钥才能恢复文件。勒索软件显然成为了互联网生活中的一个严重问题，用户应该为此打起十二分精神以防止计算机受感染。10个安全小贴士可助您保护自己的数据免受勒索软件侵扰。

在开始本周新一期的《安全周报》之前，我想先说几条与信息安全无关的新闻。大众柴油车被发现污染物排放远超测试中显示的数值。

向来以安全著称的苹果设备中竟然发现了蠕虫病毒。大约有40个iOS应用从App Store中下架，原因是感染了恶意代码，目的是在苹果设备范围以外建立僵尸网络。 恶意软件XcodeGhost感染了包括：微信（超过6亿用户）、NetEase的音乐下载应用、名片管理器CamCard以及Didi Kuaidi类似于优步的打车应用在内的数十个应用。更糟糕的是，《愤怒的小鸟2》中文版也不幸中招–这难道还不够严重吗？ 苹果花费大量时间和精力对Apple Store内的每一个应用进行监控，并将App Store与Google Play等第三方应用商店相隔离，后者常遭到各种恶意软件的窥视（至少Google在2014年发布了恶意软件扫描系统）。 在这一背景下，苹果经历了”黑色9月”：安全专家们在目标越狱设备内发现了恶意软件，并被广大苹果用户称之为”有史以来针对苹果账户最大规模的盗窃案件“；而现在Palo Alto Networks公司又在App Store内发现了受病毒感染的软件。 Xcode是什么，XcodeGhost到底又是’何方神圣’？ Xcode是软件开发者使用的一套免费工具，用来为Apple Store编写iOS版应用。Xcode的官方版本由苹果发布，而许多第三方应用商店也推出了各自的非官方版本。 XcodeGhost则是一种恶意软件，目的旨在影响Xcode继而感染由受感染工具编写的应用。受影响应用将会窃取用户私人数据并发送至到黑客处。 应用是如何感染病毒的？ 苹果的官方版本Xcode并未受到病毒感染，但问题是该工具的非官方版本被上传到了百度（相当于中国的Google）云存储服务。中国用户习惯从第三方网站下载必要的工具，而本次事件证明了这是一种非常不好的习惯。 中国应用开发者之所以选择非官方且不安全的网站代替安全官方资源，是因为中国的互联网接入速度相当缓慢；此外，中国政府将国外服务器访问限制在三个网关。由于Xcode工具的安装包大小约为3.59 G，因此要从苹果服务器下载需要耗费很长的时间。 XcodeGhost背后的犯罪分子需要做的就是让非官方工具包感染智能且隐蔽的恶意软件，从而让合法的开发者被他们所利用。Palo Alto Networks的研究专家确定恶意的Xcode工具包在发布6个月时间里，多次被下载并用来编写大量全新的iOS应用，同时也用作升级更新之用。之后就顺理成章地被加入进App Store并巧妙地绕过了苹果的反恶意软件扫描系统。 后续跟踪 最近苹果向路透社证实了这一消息：所有已知的恶意应用均已从App Store下架且苹果公司正在与相关开发者展开合作，以确认他们使用的Xcode版本是否正确。 不幸的是，所有问题并未彻底解决。目前依然不清楚到底有多少应用被病毒感染。路透社注意到，中国安全公司奇虎360科技有限公司宣称其已发现有344款iOS应用感染了XcodeGhost病毒。 本次事件可谓开启了网络犯罪的”新纪元”，从此开发者也将如非官方应用商店和普通用户那样面临安全风险。XcodeGhost作者的策略和经验也完全可以为其他网络犯罪分子所借鉴。此外，美国系统网络安全协会（SANS）报告了XcodeGhost作者在GitHub发布了该恶意软件的源代码，目前可免费下载。 巧合的是，在今年早些时候Xcode工具已进入了媒体的视野。当时在一场由CIA（美国中情局）赞助的秘密年度https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/中有所提及。