火绒(http://www.huorong.cn)近日发出警报,从2015下半年开始,国内“勒索病毒”案例骤增,这类病毒会将电脑文件恶意加密,然后索要钱财,为了解锁一些高价值文件资料,受害者必须交付数千至数万元的赎金。那些不装安全软件,让电脑“裸奔”的白领和政府办公人群,是该类病毒重点“瞄准”的目标。
北京某互联网公司的小A,最近就遇到了这样的麻烦。上周他发现,电脑中许多文件被加密,经火绒工程师检测,这是一种来自欧洲的“勒索病毒”,虽然安装“火绒安全软件”后顺利清除了该病毒,但是由于中毒在先,许多文件已经被加密,小A只能乖乖地缴纳了3980元赎金。
经了解,小A自恃上网习惯良好,电脑也仅用于办公,因此没安装安全软件。他表示,一些安全软件太占系统资源,还存在恶意捆绑、侵占电脑资源等流氓行为,因此他周围许多同事都不装安全软件,让电脑“裸奔”。这给”勒索病毒”创造了绝好的攻击机会,该类病毒的目标是存有高价值文件的电脑,这样才能勒索到赎金,因此政府职员、公司白领是它们天然的“目标人群”。
火绒目前截获的大量“勒索病毒”主要来自国外,已经在欧美流行了数年,最近一两年开始陆续收到中国大陆地区的受害者报告。淘宝上已经有专门的商家,帮助受害者购买比特币,向境外病毒制造者支付赎金,可见该类病毒的泛滥情况已经相当严重。
根据火绒《中国大陆地区2015年度PC互联网安全报告》,仅在2015年火绒就截获了6万多种“勒索病毒”。该病毒通过邮件和染毒网页传播,感染后会给受害者提供详细的“缴纳赎金”的方法,最终用“比特币”来支付,通常价值人民币4000元上下,而最近部分病毒勒索额度暴涨,已经高达13比特币(5000美元左右)。
火绒工程师强调,由于自身技术特点,这些“勒索病毒”能有效对抗国内安全行业目前流行的“云查杀”,安全软件的反病毒引擎必须拥有强大的深度代码检测能力,才能有效对抗“勒索病毒”。
需要强调的是,对于“勒索病毒”来说,防治远远重于事后查杀。如果事先没有安装安全软件,中毒之后即使安装安全软件查杀了病毒,那些已经被加密的文件资料依然无法恢复,用户只能考虑放弃这些文件还是交付赎金。
火绒工程师的安全建议是,1、安装合格的安全软件(http://www.huorong.cn);2、及时给操作系统和流行软件打补丁;3、不要点开来源不明的邮件附件,条件允许的话可以交给安全厂商分析附件内容。
小贴士:为什么“火绒安全软件”能够有效截杀“勒索病毒”?
“勒索病毒”来势汹汹,一旦中招几乎无解。
但是,防治办法也相当简单:登陆火绒官网(http://www.huorong.cn),一键下载并安装“火绒安全软件”,即可有效截杀各种“勒索病毒”(火绒的相关保护模块是默认开启的,无需操作)。
“勒索病毒”的黑色产业链
如图所示的“勒索病毒“产业链,黑色产业链中有人负责编写、贩卖原始病毒代码,有人则负责编写、贩卖病毒混淆器,这就导致即使是初级病毒制造者也可以像“搭积木”一样快速制造“勒索病毒”。另外,这种批量生成变形病毒变种的模式,与传统的感染型病毒具有非常大的相似性。
国内安全软件流行的“云查杀”面临极大的挑战——“勒索病毒”对“云查杀“天然免疫,其批量变形制造并传播的周期远远短于“云查杀”的”收集、分析、识别“的响应周期。因此,所以在国内”云查杀“覆盖率如此高的情况下,此类病毒仍然持续泛滥。
火绒认为,提高安全软件引擎核心技术(如启发式扫描、行为沙盒等)是解决“勒索病毒”以及感染型病毒的根本手段。无论混淆器如何变形伪装病毒,为了执行病毒代码,最终都要在内存中解码还原其代码、数据或行为,万变不离其宗。
火绒反病毒引擎的“行为沙盒”会监控在其中虚拟执行的代码的每一步行为,当病毒混淆器完成解码,并执行真正病毒体代码时,火绒“行为沙盒”即可识别到不同样本的相同行为模式,进而报毒。即使混淆器不断变形产生变种,火绒都可以在第一时间做出同一性识别和查杀。
……