比特币

一种”洋葱”勒索软件的新型变体已然问世，尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么，CTB-Locker就是一种类似于”加密锁”的恶意软件，通过对用户主机上的所有文件进行加密，然后向用户索要解密这些文件的赎金。 CTB-Locker（即Curve Tor Bitcoin Locker）与其它勒索软件有所不同，它很大程度上依靠的是恶意软件命令和控制服务器，即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor（洋葱路由）也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者，赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度，而使用非常规的加密协议使得文件根本无法被解密，就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称，新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加，该勒索软件竟然还向受害人提供了类似于”试用版”的程序，可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言：德语、荷兰语和意大利语。除了直接连接Tor网络外，还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑（每周都备份一次）。此外，你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染，根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金，但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意，你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否，勒索软件就是门一本万利的生意，随着我们的日常生活和财产越来越多地连接到所谓的”物联网”，伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止，卡巴斯基安全网络已检测出了大约361次尝试感染，大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染，除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件，”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写：卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染，恢复文件的唯一方式是支付赎金，但就算支付了也未必能恢复。现实就是那么残酷。

上周，在美国华盛顿州西雅图市举行了 一年一度的”Virus Bulletin”技术交流大会。该会议被誉为全球历史最为悠久的安全会议，与Black Hat安全大会一样，今年的会议一改往年单纯面向企业的陈述报告，还有更多消费者参与到其中，会议讨论的话题也更为贴近普通大众感兴趣的领域。 在本次会议上，我的卡巴斯基同事对两项大众普遍感兴趣的安全话题做了简报（全面披露）：对比特币盗窃案件从轻微犯罪快速升级至好莱坞式抢劫大案的原因解释；以及关于现代家庭入侵方面的陈述。此外，还有一些会议内容同样吸引眼球：将苹果Mac OS X操作系统作为攻击目标的恶意软件现状报告，以及对”白领犯罪”如何改变安卓操作系统的惊鸿一瞥。 家庭入侵 David Jacoby所撰写的有关入侵自己家庭各种设备的经历于近期刊登在了卡巴斯基博客上。他提出了这样一个问题：…如果我们无法保护自己设备免遭当前的威胁，那就算能发现未来可能的新威胁又有何用呢？ 他之所以提出这样一个问题，是由于Jacoby担心整个安全行业将过多的时间用在讨论”零日漏洞”以及其他一些存在于联网的汽车、冰箱、酒店、家庭报警系统、厕所以及其他所谓”物联网”设备内的高级漏洞上，但问题是当前几乎没有什么人会拥有这些设备。而与此同时，我们对于早已存在数年时间的已知问题以及大众普遍使用设备的恶劣安全状况却关注太少，例如：智能电视、路由器、打印机、调制解调器、游戏机以及网络存储设备。 我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。 在开始他的实验之前，Jacoby明确表示对自己家用设备的安全性充满信心。毕竟自己作为一名经验丰富的安全研究人员，工作的大部分时间几乎都是用来考虑网络安全问题。因此在发现自己的这些家用联网设备缺乏适当的安全保护措施且存在大量漏洞时，他大为震惊。 本周早些时候，在Virus Bulletin会议上所播放Threatpost主编Dennis Fisher的播客中，Jacoby注意到一个有趣的观点：随着人们愈来愈注重保护自己的移动设备和传统计算机，似乎对网络硬盘、无线打印机以及其他各种接入家庭网络设备安全性的关注程度有所减弱。 “我们需要着手考虑如何将我们的家用电器更安全地连入家庭网络。” Jacoby说道。”我的结论是：何不独立分出一个特定网络分段将所有上述设备纳入其中，从而与工作站、计算机、手机和平板电脑等设备所用的网络完全分开。” 苹果恶意软件 Synack研究主管Patrick Wardle谈到了各种存在于Mac计算机的恶意软件。Wardle的数据表明，在过去5年内，OS X操作系统在家庭和企业工作站的市场占有率从7%提升至近15%。目前苹果是美国个人计算机市场的第三大供应商。 在2012年，苹果曾发表过这样的声明：”Mac计算机不会受到任何PC病毒的感染，同样对数千种肆虐于Windows系统计算机的病毒也完全’免疫’。”从技术上看，毫无疑问第二句话是正确的。然而，按照Wardle所陈述的内容，第一句话的准确性显然值得商榷。尽管苹果方面并不愿承认Mac计算机就是个人电脑，但却是毋庸置疑的事实。 据VB2014会议报告#比特币#、#苹果恶意软件#、易入侵消费类设备以及更多安全事件呈快速上升趋势 Wardle宣称最早出现在Mac计算机的病毒被称为’Elk Cloner’。该病毒以Apple II为攻击目标，在上世纪80年代广为传播。就在去年，Wardle还表示新增了30种将OS X平台作为攻击目标的恶意软件。当然与将Windows系统设备和安卓系统设备作为攻击目标的恶意软件的数量相比，这一数字几乎可以忽略不计。 然而，Wardle断言随着市场上Mac计算机数量的增加，以及大多数Mac用户所部署的反病毒保护措施相对薄弱且严重缺乏Mac恶意软件分析工具，因此可能会带来一系列麻烦，这也恰好解释了他为何致力于”找出OS X操作系统的持久性机制以及研究危害Mac计算机的恶意软件，[如此]我们才能更好地保护我们的Mac计算机。”

您可能已经留意到近期的网络犯罪活动，即加密勒索软件的发展动向。这类勒索软件无意隐瞒用户悄悄入侵，而是利用锁定程序通过强加密码来锁住用户文件，以此勒索用户支付赎金进行解密。这类恶意软件系列中最广为人知的是Cryptolocker和CryptoWall及类似软件。不幸的是，实际这类犯罪计划的吸金能力超强，所以更新、更强大和更有效的加密木马层出不穷，屡禁不止。本文旨在提醒用户警惕”洋葱”（Onion）勒索软件（又名CTB锁定程序）。此软件利用匿名TOR（洋葱路由器）网络和比特币来更好地隐匿犯罪分子，使执法机构难以追查到犯罪分子的行踪、其掠夺的不义之财以及用于加密用户文件的密钥。 犯罪分子使用TOR后，要想追查到其行踪以及恶意软件控制服务器都难上加难。而利用比特币这种匿名的网络货币（这是唯一可选的支付方式），追踪资金流向更加复杂。那么这一切对于普通用户来说又意味着什么呢？犯罪分子很可能在很长一段时间内都会利用这种恶意软件来实施犯罪活动。此外，这种恶意软件会一直在地下论坛中出售，在全球各地大肆泛滥。这也是为什么我们预计恶意软件会感染其他地区，尤其是过往曾是勒索软件散播”乐园”的美国和英国等地。 洋葱锁定程序从技术方面来说是一种非常复杂的恶意软件，它运行时悄无声息，直到用户的全部文件被加密，并通过TOR将密钥相关数据上传到自己的控制服务器后，才会向用户显示警告并进行72小时倒计时。用户须支付0.2-0.5个比特币（约合120-350美元）才能获得解密密钥。如果用户未在72小时内付款，则密钥（连同所有加密文件）被视为丢失。犯罪分子会”好心”向用户提供有关购买比特币的提示，并在用户必须从其他计算机购买密钥时提供相应指导信息。 “将命令和控制服务器隐藏在匿名的TOR网络中，使得追查犯罪分子的工作变得复杂，要利用非正统的加密方案来解密文件是不可能的，就算拦截木马与其幕后服务器之间的流量也毫无帮助。所以说这是一种危险性极高的威胁，也是目前技术方面最先进的加密手段。”卡巴斯基实验室高级恶意软件分析员Fedor Sinitsyn说道。 目前，这种恶意软件的散布利用的是传统犯罪手段：网页。它利用网页上的工具包来启动木马下载，此木马下载到用户计算机后，接着会下载洋葱加密程序。要了解更详细的分析，请访问Securelist.com。 避免感染洋葱锁定程序和其他类型的加密勒索软件 为了防止计算机被感染，请定期更新计算机上的关键软件组件：操作系统、浏览器和所有插件（媒体播放器、Java、PDF阅读器等）。此外，还建议使用强大的卡巴斯基安全软件解决方案。附带提一下，最新版卡巴斯基安全软件已经部署了专门的技术来应对加密勒索软件。要想在发生任何系统灾难后恢复数据，不管是被勒索软件攻击、数据被盗还是受到”洪水攻击”，定期将数据备份到安全的可移动媒体至关重要。

在本周的新闻中，我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug；苹果在其移动iOS系统和标准的OSX系统中解决了加密问题；AOL及其客户遭受了一起严重的安全事故；爱荷华州立大学遭到黑客攻击，攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开，而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过，本周的情况有所不同，至少是与之前几周稍有不同，因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马；追踪OpenSSL Heartbleed病毒的最新消息；苹果修复iOS和OSX系统内漏洞；AOL遭受黑客攻击；以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源，以筹集数百万资金，专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目，目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应，利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员：能够在新证书验证库（准备在今年夏天添加到Firefox浏览器的31版本）中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中，苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说，这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重，但这些加密漏洞会造成别的后果。因此，如果您正在使用任意一款Mac产品，则建议您前往App Store，尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑（相信我，我看过），但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗，攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件（尽管AOL并没有称之为”黑客攻击”），但目前尚不清楚有多少用户账号受到影响，也不清楚到底发了多少垃圾邮件。令人奇怪的是，AOL声称邮箱账号被盗可能性不大，并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的，欺骗攻击的方式主要是发送垃圾邮件，这些邮件看似是来自受害者邮箱，但从技术角度来看实则来自攻击者的邮箱账号，并通过攻击者的服务器发送。换句话说，AOL表示没有账号受到大规模的入侵，只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表，这意味着随着时间的推移，将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的：攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息（文本）的能力。之后木马发送短消息到收费服务，该服务或者由攻击人控制，或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的，此类花招已存在多年了。奇怪的是，由于未知的原因，短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变，我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足，这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上， FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币！？ 你看的没错。美国一所知名的州立大学遭到黑客入侵，其学校计算能力被用于生产比特币。比特币作为一种数字加密货币，其过去一年中的价格起伏不定。如果你有充足的计算机能力，就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”，在此过程中可赚取大量资金。与所有的网络犯罪类似，所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩，但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部，该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

本周要闻：首先出场的是微软公司，下周微软停止支持（终于停止了！）曾经无处不在、漏洞永无止境、部署范围超广的Windows XP系统。 本周发生的事件：我们获悉比特币的更多新闻；关于特斯拉S型车的安全问题；全球网络钓鱼游戏的深入洞察；苹果Safari浏览器修订；飞利浦智能电视中的漏洞等。 据路透社报告，美国德克萨斯州联邦法官已下令Mt. Gox公司首席执行官马克•卡佩勒斯（Mark Karpeles）赶赴美国，回答与比特币交易破产案有关的问题。Mt. Gox曾是世界上最大的比特币（数字加密货币）交易所，该公司在丢失客户价值4亿美元的比特币后于今年2月停业，并在美国申请破产保护。据报道，卡佩勒斯已向传唤其到庭的德克萨斯州法庭申请根据美国《破产法》第15章给予Mt.Gox破产保护，目的是为了让其美国客户在芝加哥联邦法院提起的集体诉讼不能再继续下去。德克萨斯州法官认为，如果卡佩莱斯希望寻求法庭的保护，那么必须亲自来到这里。 据Threatpost的同事Chris Brook报告，在受到大众欢迎的飞利浦智能电视中，支持互联网的某些型号含有漏洞，攻击者可能会借此漏洞访问电视机系统和配置文件中潜在和敏感信息，并能读取插入电视本身的U盘上的任何文件。如果用户碰巧就在这台电视机上浏览互联网，那么攻击者就能窃取cookie，并利用这些cookie来访问特定网站或网上帐户。这一问题与名叫Miracast的WiFi功能有关，这种功能默认情况下已通过预设的固定密码启用。通过此密码，处于电视WiFi适配器辐射范围内的任何人都能连到该电视，并访问电视中的许多功能。 Threatpost的另一位同事Dennis Fisher报告说，深受大众欢迎的高端全电子特斯拉S型汽车上针对移动应用部署了一种易受攻击的单因素验证系统，它允许用户对车门解锁以及执行其他更多功能。研究人员Nitesh Dhanjani发现，新车主在特斯拉网站上注册了帐户后，必须创建一个6位字符的密码。此密码将用于登录iPhone应用程序。该应用支持车主操纵门锁、悬架和制动系统以及天窗。其中真正的问题是对登录尝试次数没有限制；这意味着攻击者可以对相对较短的密码发起暴力破解攻击。在没有登录尝试次数限制的系统中，六位字符是很容易破解的。另外，我想提醒所有苹果用户，位于加州库比蒂诺的计算机巨头-苹果已发布了25个Safari浏览器安全漏洞修订。其中一些漏洞非常严重，所以如果还没有更新Safari浏览器，请尽快更新。 我们的朋友-Securelist的研究人员发布了2013年金融网络威胁黑幕研究报告的第一部分。第一部分密集分析了全球的网络钓鱼环境。简而言之，他们发现，2013年的所有网络钓鱼攻击中有31%针对的目标是金融机构。所有攻击中大约有22%涉及虚假银行网址，这一比例较上年2012年的研究翻了一番；2012年，只有11%的此类攻击是部署虚假银行网址。其中不到60%的网银钓鱼攻击利用的是25家国际银行品牌，其余40%利用的是1000多家银行品牌。最后，我推荐您阅读BBC的一篇新闻，它报告说加州圣地亚哥的一名五岁男童发现流行的XBOX Live在线游戏平台中有漏洞，他通过这一漏洞可以登录到他父亲的XBOX Live网络帐户。当时他输入的密码不对时，系统提示他重新输入密码。他随便按下了空格键，结果就像魔法一样，直接登录了。”我很紧张。我想[爸爸]会发现的，”Kristoffer告诉当地电视台KGTV。”我想有人会偷走Xbox。” BBC说，Kristoffer的父亲从事安保工作，他已经向微软报告了漏洞的详细情况。微软已修复此漏洞，并对Kristoffer的帮助表示了感谢。

毫无疑问，对于所有人来说这是疯狂的一周，即便是对比特币略有兴趣的人也不例外。昔日全球最大的比特币交易商Mt.Gox倒闭，而此前近一个月，该网站就因”技术问题”暂停全部取现交易，倒闭的宣布最终结束了这一痛苦局面。 客户无法从这家全球最著名的比特币交易商处取回资金，因此Mt. Gox实际上已被清除出比特币生态系统，这导致在该交易网站彻底关闭之前，Mt. Gox的比特币交易价格就已暴跌至1比特币兑100美元。Pononix和Flexcoin两家比特币网站遭盗很可能进一步加剧比特币未来的不确定性。可以说，这一切都是意料之中的。 在2014年的预测报告中，我们曾提到针对比特币的攻击，特别是针对比特币矿池、比特币交易商和比特币用户的攻击将成为本年度最受关注的话题之一。这些攻击将尤其受到行骗者们的欢迎，因为它们的成本/收益比非常诱人。Mt. Gox事件可能是比特币有史以来最为严重的事件，据传共失窃744408个比特币，以目前的价格换算，相当于损失了3亿多美元。但唯一不确定的问题是幕后的黑手到底是什么。 置比特币交易安全于首位，重塑加密货币信心。 比特币协议中一个已知的漏洞是交易可塑性。在特定情况下，攻击者可利用这一漏洞针对同一交易发出不同的签名（或交易ID），使已完成的比特币交易看起来没有完成。即恶意用户向交易商要求提现比特币，成功提现后，抢在交易未纳入数据区块之前修改交易号，然后与对方联系，声称该交易没有发生，接着利用其他交易号再次申请提现，从而对同一笔比特币实现多次提现。 此类交易可塑性攻击是Mt. Gox当时为解释中止取现举措而提供的官方理由，根据这一解释，该公司似乎也是网络盗窃的受害者，但并不能排除此次事件是内部人员作案的可能性。 交易可塑性攻击并不一定要有内部人员参与，但确实有权直接访问交易系统的人操作起来更容易。当然，攻击也很可能完全是外部人员干的，但Mt. Gox应该掌握有相关攻击者的完整信息，原因很简单，攻击者是反复请求提现，声称因网络错误，导致实际取现并未成功。 目前唯一能做的是等待执法机构完成对此事件的调查，并寄希望于Mt. Gox和其他相关方能够与执法机构齐心协力找出攻击者，并努力弥补造成的损失。 至于比特币的未来，这疯狂的一周再一次为我们敲响了警钟，比特币生态系统确确实实需要的是了解安全性的公司。比特币是一种分散化虚拟货币，没有任何机构来强制实施安全标准和规范，那么现在就由我们，比特币追捧者和加密货币社区来制定标准，即只选择与符合以下标准的比特币公司合作：历史记录清白，对所涉及的技术，尤其是所要求的安全性有充分了解。但最重要的是，这些公司有意愿不断创新，愿意不断付出努力来赢得客户的信任。让我们齐心协力创造一切可能，使比特币重现辉煌！