木马

我们经常建议广大用户定期更新自己的操作系统和软件：除非能及时打上补丁，否则一些漏洞很容易被恶意软件利用。如今一款被称为’Fantom’的勒索软件着实令人好奇，充分有效利用了Windows Update的’创意’。

就在最近，讲英语和俄语国家的用户纷纷遭到一种被称为”Ded Cryptor”的全新勒索软件木马的攻击。该勒索软件显然过于贪婪，竟索要整整2个比特币（约合1300美元）的赎金。不幸的是，目前还未有任何一种解密解决方案能恢复遭Ded Cryptor加密的文件。

回到MS-DOS年代，当时的网络黑客创建恶意软件主要是为了娱乐的目的，因此那那时候出现了许多奇特甚至有趣的计算机病毒。例如，有一种简单的恶意软件会将计算机屏幕上的图片上下颠倒摆放。一种被称为”Madman”的病毒会在计算机屏幕上显示一个红脸疯子双目圆睁的样子，并恐吓受害人有人正在监视，且”没人能救他们”。那个时候，如果不幸看到这样的图片，的确会有种毛骨悚然的感觉。 当然，有些病毒也相当具有危险性。2000年的时候，一名犯罪分子发送了题为”ILoveYou”的电邮，其中含有恶意附件LOVE-LETTER-FOR-YOU.TXT.vbs，实际上并非是文本文件而是VB脚本。这封”爱的邮件”在全球范围感染了超过300万PC电脑用户。该恶意软件最终大获成功：成为了2002年传播最广泛的计算机病毒。 但随着时间的推移：恶意软件显然发生了质变，不再单纯为了娱乐，更多是为了恶意攻击：而开发的目的也很简单—赚取不法收益。尽管如此，但就算现在我们依然能从众多以赚钱为目的的恶意软件中找出一些另类。在本篇博文中，我们就为读者们精心收集了5种怪异且”不合群”的恶意软件。 喜好社交的恶意软件 即便是最简单的恶意软件也能引起受害人的情绪反应。例如，一款典型的Skype木马病毒在受害人的联系人每次上线时，都会向他们发送”嗨”。结果显而易见：受害人的许多好友和熟人几乎都会同步作出回复。对于有些用户而言，这种体验相当可怕，因此他们称其为”内向的人所遇到的最可怕病毒。” 事实上，该病毒在在这一问候消息中添加了网络钓鱼链接，因此向所有人说”嗨”绝不是为了好玩那么简单。但该恶意软件之所以受到广泛关注，是因为每次感染一台PC电脑都引起一场有关无用通讯的”巨大海啸”。 贪婪的应用程序 通过盗用计算机性能挖掘比特比的木马病毒并不少见。就在去年，多款流行安卓应用的开发商决定做同一件事，那就是使用用户的智能手机”挖矿”。他们甚至还设法在一段时间内保守了秘密，原因是多数人没有在移动设备上安装反病毒软件的习惯，但只有在设备连接充电器时才会开始”挖矿”。 但这个想法从一开始就毫无实际性可言。一般来说，人们比特币挖矿使用的是配有昂贵显卡的高性能PC电脑，原因是挖矿需要高负荷的并行运算能力。移动设备的运算能力显然不足以完成这项艰巨的任务：例如，如果你用2015年最新款智能手机（比方说，Galaxy S4）挖一个比特币，整个计算时间需要3.4万年之久。且目前需要更长的时间，原因是比特币变得比过去更加难挖了。因此我们猜测，犯罪分子对比特币及其挖掘方式应该不怎么了解。 纠缠不清的木马病毒 尽管大多数安卓网银木马都努力”低调行事”，但却有一款采用了完全不同的策略：不断触动受害人异常敏感的神经。 该木马病毒起初与其它”同类”并无二异，将自己装扮成有用的应用程序，然后潜入智能手机内。一旦得手后，便会不断纠缠受害人：要求授予其管理员权限。就算用户关闭一个窗口，该木马也会再打开一个新的，周而复始永不消停。停止这一切的唯一方式是关闭电源，然后恢复至出厂设置—或者授予这一烦人的应用所要求的权限（注：显然这不是个好主意。） 有时候，同意总是比拒绝来的更容易些。有些用户因实在不堪烦扰只能授予权限，但仍无法求得”安宁”：该木马采用相同的策略”摇身一变”成为了默认短信应用，并不断要求受害人共享自己的信用卡信息。这份”固执己见”让最固执的孩子也自愧不如。 骑士大人 你甚至还有可能在最新木马病毒中遇到”唐吉坷德式的家伙”。就在去年，一种非常规形式的恶意软件Wifatch被曝光。或者我们应该称其为”goodware”。Wifatch会感染Wi-Fi路由器和其它联网设备并且…为它们打上补丁。 当Wifatch被发现的时候，其网络内包含了成千上万来自中国、巴西和美国的设备。 充满矛盾的木马病毒 Triada作为一款安卓平台上的木马病毒，其行为巧妙掩饰了真实能力。事实上，Triada能力可谓十分强大。该恶意软件能够黑客入侵Google操作系统的”心脏”—Zygote进程—且由于主要躲藏于受感染设备的RAM内，因此检测难度极高。 最重要的是，Triada拥有模块化结构。该结构并不像摩托罗拉的全新智能手机概念，而是为木马病毒提供全新强大功能的软件模块，如此Triada便能在其武器库内挑选最合适的”武器”—然后运用到用户身上。 如果你仍不相信这款手机恶意软件拥有极大危险性，可以看看这个：安全专家表示，Triada与计算机木马病毒相比编写得毫不逊色。千万不要忘了，Windows拥有多年与恶意软件斗争的经验，而这方面手机操作系统才只是新手而已。 总而言之，尽管Triada拥有功能强大的结构，但其行为却又出奇的”天真无邪”。除了窃取网银数据或挟持遭黑客入侵的设备外，只会向受害人显示广告—类似于简单的广告软件。此外，还会假冒浏览器载入的URL地址，并篡改主页和默认搜索引擎。 由于Triada的最终目的是从受感染的用户处盗取资金，因此一旦受害用户在其中几个应用中内购了物品—提升能力的道具、游戏货币及超酷的附加内容等，Trojan就会在同一时刻窃取通过短信发给应用开发商的资金。 我们并非是在怨天尤人，只是不明白为什么犯罪分子创建如此一款强大且复杂的解决方案，却只是为了完成一些简单的任务。除此之外，他们的不法收益也低于传统locker病毒和网银木马。 如你所见，不同寻常甚至怪异的木马病毒仍然比比皆是。但无论这些恶意软件多么有趣，都仍然具有危险性—因为编写它们的唯一目的就是为了窃取资金和个人数据，或者就是为了大肆破坏。 无论你是不希望遇到纠缠不清的木马病毒，不想被喜好社交的Skype恶意软件打扰，还是了解了今年头3个月中检测到1.7亿个恶意解决方案中任何一个，你都需要一款功能强大的安全解决方案。卡巴斯基安全软件多设备版能为您的数字生活保驾护航：无论是PC电脑、Mac电脑还是移动设备，我们都能提供全方位的安全保护。

勒索软件已在全球范围广泛传播，短时间内要想彻底清除难度颇大。我们并没有在危言耸听—好吧，的确有一部分，但完全是为了广大用户着想。如果你能仔细查阅卡巴斯基安全网络收集的数据，你就能明白—我们面临的是何等危险的网络威胁。

本周，微软检测到一种被称为”ZCryptor”的全新cryptoworm样本。其独特性在于，在不使用恶意垃圾邮件或漏洞利用工具的情况下，就能加密文件并自我传播至其他计算机和网络设备。该新型恶意软件还会自我复制到联网计算机和可移动设备上。

就当人们都认为勒索软件危害性大不如前的时候，它突然来了个180度大变身：不再迅速传播而是发展出了第二种特性。下面就以2016年2月首次在互联网上发现的Cerber举例。 当时，Cerber因为其毛骨悚然的赎金索要通知方式而著称—多数勒索软件通过文字讯息索要赎金，而Cerber却独树一帜，通过语音通知受害人。但犯罪手法依然难离其宗：支付赎金，然后恢复文件。 额外的恶意行为 如今，包括Cerber在内的木马病毒仍然干着加密受害人数据的勾当，而大多数计算机用户并不知道如何应对。听上去好像是转移注意力的策略，不是吗？ 似乎Cerber传播者对这一观点深表认同。该恶意软件的某些升级版—采用复杂的传播方式—最近几个月主动”自废武功”—但却衍生出额外的恶意行为：将受害人计算机添加到恶意的僵尸网络大军中。 这里简要介绍下Cerber恶意行为的先后顺序。首先，Cerber通过电邮附件的形式进入受害人计算机。一旦被打开，该病毒就会像其它勒索软件那样加密文件并向受害人索要赎金。但在这之后，安全研究专家发现，它还会进一步确认计算机联网状态，并将受感染的PC电脑用作其它目的。例如，实施分布式拒绝服务攻击或作为垃圾邮件程序使用。 日益增多的多目的性恶意软件 但Cerber并非是我们在2016年发现的首个拥有额外恶意行为的勒索软件。例如，Petya勒索软件为了加密受害人整个硬盘，通常要求用户首先授予权限，将Mischa添加到其安装路径以确保成功感染。而CryptXXX新增加的恶意行为是窃取受害人信息和比特币。 显然，勒索软件是一种高回报的网络犯罪工具。预计接下来各种多目的性勒索软件将层出不穷。始终关注安全行业最新动态并使用安全保护程序，能最大提升计算机的安全性。 如何防范Cerber 类似于Cerber这样的恶意软件，就其传播方式而言相对容易防范。为了最大降低成为Cerber受害人的概率—以及不幸中招后的危害性： 1.小心提防收到的任何一封邮件。千万不要点击明显是垃圾邮件内的链接，同时还应避免点击貌似是正当业务电邮甚至发自你认识和信任发件人电邮内的链接或附件。 2.备份文件。经常并定期进行备份。 3.无论是操作系统还是应用，只要有新补丁发布就立即安装。和垃圾邮件链接一样，未打补丁的漏洞也是恶意软件攻击通常的切入口。 4.运行，比如：卡巴斯基安全软件 —随时 —保持最新版本。另外，你还需对所有联网设备进行安全保护。卡巴斯基实验室的众多安全解决方案就能够成功检测出Cerber为Trojan-Ransom.Win32.Zerber。

正如我们之前提到的，TeslaCrypt（不断进化的木马加密软件）作者突然决定终止病毒的传播活动，并发布了主解密密钥。主解密密钥能用来解密被最新版本TeslaCrypt加密的文件。

Petya与Mischa之间的差别主要体现在两方面。Petya会让整个硬盘无法访问，而Mischa只会加密某几种文件，这可能是个好消息。而坏消息是，和Petya不同的是，Mischa并不需要管理员访问权限。似乎黑客作者早已想好了Petya和Mischa能取长补短，成为”无敌组合”。

如果你不幸遇到上述这种情况，很可能就是你的系统感染了CryptXXX勒索软件。这通常是木马病毒加密文件和盗取个人数据和比特币的’卑鄙伎俩’。但也有好消息：目前有一款免费工具能完全修复你的系统。

对于iOS系统威胁，我们之前已谈论了不少，也给出了一些关于如何保护苹果设备安全的建议。但针对iOS系统的恶意软件依然层出不穷，最近的例子就是palo alto networks发现了一种恶意软件，可以说是迄今为止最危险的之一。

勒索软件之所以说是一种极端恶劣的网络诈骗，原因是被索要赎金的加密文件恰恰还保存在用户自己的计算机内。这种情况常常会让受害人痛苦不已，而且只有得到唯一的加密密钥才能恢复文件。勒索软件显然成为了互联网生活中的一个严重问题，用户应该为此打起十二分精神以防止计算机受感染。10个安全小贴士可助您保护自己的数据免受勒索软件侵扰。

每当读到有关每天会有成百上千个病毒问世的新闻时，你可能会很好奇，究竟谁会投入这么多精力来开发这种恶意软件，开发的原因到底是什么。答案其实很简单 － 开发人员是犯罪分子，他们之所以开发这些病毒是因为能通过它来骗钱很多很多钱。我们的研究人员发现，一台互联网服务器目前正用于控制针对欧洲大型银行用户的攻击。此服务器中的日志文件表明，仅一周时间，犯罪分子就从银行客户手中盗取了50多万欧元，并且这些资金全部转移到自己控制的帐户中。   一周时间内，利用木马病毒从一家银行盗取的金额就高达50万欧元。 在上世纪，要抢劫到这样的数额必须准备好几辆车、配备武器，还需要一群胆大包天的家伙，因为这种”生意”的风险相当高。而在21世纪的今天，要抢劫这样的数额只需要银行木马，若干台在更改受害人转账时用于传播和控制木马的服务器，再加上一伙不是那么大胆的犯罪分子，他们通常被称为”钱骡”或”放骡人”，在收到偷来的赃款后迅速转移到自己的账户并立即提现。 犯罪分子的目标并不是银行本身，而是通过在银行客户的计算机上安装木马来分别劫持客户帐户。罪犯可能会利用钓鱼软件和黑客程序来达到这一目的。 控制”钱骡”实际上是行动中最容易出问题的环节，这也是为什么如今的抢劫行动仍是以有组织的犯罪团伙形式为主。我们把这种有针对性的抢劫称为Luuuk，它涉及一些非常狡猾的钱骡控制伎俩。您可以前往专业的Securelist博客更深入地了解相关内容。值得一提的是，卡巴斯基安全软件和卡巴斯基PURE中均含有一种叫做”Safe Money“技术，它集多种防御措施于一体，能拦截大多数银行木马，防止最终用户遭受此类盗窃行为。