cryptolocker

如今，勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为，似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增，但据卡巴斯基实验室的一项调查发现，仅有37%的公司将勒索软件视为严重的网络危害。

勒索软件作为恶意软件的一种，专门窃取用户文件并对受害人实施勒索。其中最有效的犯罪手法就是对文件进行加密后以提供解密秘钥之名索要赎金— 这也是为什么该恶意程序也被称为”cryptoware”（文件加密病毒）的原因。

您可能已经留意到近期的网络犯罪活动，即加密勒索软件的发展动向。这类勒索软件无意隐瞒用户悄悄入侵，而是利用锁定程序通过强加密码来锁住用户文件，以此勒索用户支付赎金进行解密。这类恶意软件系列中最广为人知的是Cryptolocker和CryptoWall及类似软件。不幸的是，实际这类犯罪计划的吸金能力超强，所以更新、更强大和更有效的加密木马层出不穷，屡禁不止。本文旨在提醒用户警惕”洋葱”（Onion）勒索软件（又名CTB锁定程序）。此软件利用匿名TOR（洋葱路由器）网络和比特币来更好地隐匿犯罪分子，使执法机构难以追查到犯罪分子的行踪、其掠夺的不义之财以及用于加密用户文件的密钥。 犯罪分子使用TOR后，要想追查到其行踪以及恶意软件控制服务器都难上加难。而利用比特币这种匿名的网络货币（这是唯一可选的支付方式），追踪资金流向更加复杂。那么这一切对于普通用户来说又意味着什么呢？犯罪分子很可能在很长一段时间内都会利用这种恶意软件来实施犯罪活动。此外，这种恶意软件会一直在地下论坛中出售，在全球各地大肆泛滥。这也是为什么我们预计恶意软件会感染其他地区，尤其是过往曾是勒索软件散播”乐园”的美国和英国等地。 洋葱锁定程序从技术方面来说是一种非常复杂的恶意软件，它运行时悄无声息，直到用户的全部文件被加密，并通过TOR将密钥相关数据上传到自己的控制服务器后，才会向用户显示警告并进行72小时倒计时。用户须支付0.2-0.5个比特币（约合120-350美元）才能获得解密密钥。如果用户未在72小时内付款，则密钥（连同所有加密文件）被视为丢失。犯罪分子会”好心”向用户提供有关购买比特币的提示，并在用户必须从其他计算机购买密钥时提供相应指导信息。 “将命令和控制服务器隐藏在匿名的TOR网络中，使得追查犯罪分子的工作变得复杂，要利用非正统的加密方案来解密文件是不可能的，就算拦截木马与其幕后服务器之间的流量也毫无帮助。所以说这是一种危险性极高的威胁，也是目前技术方面最先进的加密手段。”卡巴斯基实验室高级恶意软件分析员Fedor Sinitsyn说道。 目前，这种恶意软件的散布利用的是传统犯罪手段：网页。它利用网页上的工具包来启动木马下载，此木马下载到用户计算机后，接着会下载洋葱加密程序。要了解更详细的分析，请访问Securelist.com。 避免感染洋葱锁定程序和其他类型的加密勒索软件 为了防止计算机被感染，请定期更新计算机上的关键软件组件：操作系统、浏览器和所有插件（媒体播放器、Java、PDF阅读器等）。此外，还建议使用强大的卡巴斯基安全软件解决方案。附带提一下，最新版卡巴斯基安全软件已经部署了专门的技术来应对加密勒索软件。要想在发生任何系统灾难后恢复数据，不管是被勒索软件攻击、数据被盗还是受到”洪水攻击”，定期将数据备份到安全的可移动媒体至关重要。

年复一年，网络犯罪分子为了窃取资金、数据和劫持设备，可谓花样百出。自然，如何保护计算机或移动设备，抵御网络威胁也变得越来越复杂。下面列出了一些新的防御技术，用于应对2014年新出现的黑客骗术（有些确实很可怕）。2015新版卡巴斯基安全软件多设备版中将实施全部这些防御技术。 1. 撤销CRYPTOLOCKER文件加密 您对Cryptolocker可能有所了解，此勒索软件去年至少登上过两次头条。这种臭名昭著的恶意软件通过唯一密钥加密用户文件，并以此要求用户支付赎金（通常需支付大约300美元）才能解密文件。即便删除该恶意软件也无法恢复被加密的文件。 #卡巴斯基防御#cryptolocker － 备份被可疑应用更改的文件并撤销加密 往往没有密钥就无法恢复文件，而密钥只有Cryptolocker背后的黑客才有。如果近期备份过所有数据，那么解决方法很简单，只要恢复一下就行，但问题是很多人并没有做过备份。现在我们推出了一种新的解决方案 － 卡巴斯基System Watcher，进过改进后只要有任何可疑应用尝试访问用户设备，就会自动备份用户文件。如果稍后发现，该应用是类似于Cryptolocker这样的恶意软件，那么可以撤销对文件进行的所有更改（包括读取加密）。 2. 远离网银木马 没错，网络犯罪分子能够利用银行木马直接从用户帐户窃取资金。银行木马效率极高（最近一个犯罪团伙一周时间就窃取了50多万欧元），有时候甚至能绕过双重认证和其他银行保护措施。银行木马会监视用户输入的密码，从用户数据保险库中复制并粘贴信用卡卡号，甚至还能在用户进行网上银行交易时进行截屏。 Safe Money能阻止键盘监视、剪贴板监视和网银交易时截屏。 为了保护用户安全，用户安装的安全解决方案必须能确保计算机访问的是正确的网站，实施了严格的加密技术，并且计算机中没有任何入侵程序。卡巴斯基安全软件多设备版运用了一项特殊技术 － Safe Money。这种技术整合了上述所有措施，能够阻止木马监视键盘输入，使木马无法插入网络浏览器等。新的防御措施包括阻止截屏（木马可能会利用此功能来监视屏幕上的虚拟键盘）和保护剪贴板。 3. 使用不安全WI-FI时发出警告 使用开放式Wi-Fi网络时，用户的所有数字操作是完全公开的，在公共场所尤其如此。监视这类连接简直不费吹灰之力，所以用户最好还是避免使用开放式Wi-Fi。当然，可能出现的网络安全问题绝不仅限于无密码的Wi-Fi。所以应该安装智能防御软件来检测可能的安全漏洞并向用户发出警告。卡巴斯基在这方面遥遥领先 － 不仅能通过相关设置来通知用户使用的是开放式Wi-Fi，而且还会阻止密码在未加密的情况下被传输。 此外，我们还会就如何正确设置家庭网络给出相关建议，并建议避免使用已知的危险公共网络。 #卡巴斯基帮助用户避免使用危险的#Wi-Fi热点。 4. 阻止摄像头监视 这听上去像是好莱坞烂片里的情节，但在真实世界中确实存在。黑客能利用计算机的网络摄像头来监视用户。通常这是用于网络间谍活动，但有时候，一些居心不良的家伙仅仅是出于恶作剧心理，会以此向用户（尤其是长得漂亮的姑娘）勒索钱财。

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗？现在，勒索软件出现一种全新变体将安卓用户锁定为目标（起码会让人联想到CryptoLocker）。众所周知，CryptoLocker是对用户的关键计算机文件进行加密，然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额，还有以安卓设备为目标的恶意程序样本的广泛传播，出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机，并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下，恶意软件只是让计算机无法使用。但另一些恶意软件，比如CryptoLocker，是加密被感染计算机上的重要文件，然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实，对自己的意图直言不讳；但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容，必须缴纳罚款才能解锁计算机。 对于这种情况，其实是负责不同种类勒索软件的一组犯罪分子（称为Reveton）发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker（以台式机为目标）有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件，并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现，安卓设备用户连到感染了此恶意软件的域后，即会被重定向到色情站点，该站点中部署了一些社交工程，目的是骗用户进入包含此恶意软件的应用文件。 但好消息是：除非用户实际上亲自安装了此恶意软件，否则不会被感染，这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效，”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作，但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”，都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用，用户需要下载才会被感染。如果用户启动此应用，随即会显示一个警告屏幕，通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户，须通过MoneyPak支付300美元的罚款，否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体，受害用户遍及30多个国家，包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣，因为从中可以看出网络犯罪分子是如何花样百出，利用合法的商业做法来获取最大利润的，当然这得改天再谈了。