年底日拦截最高达7万 烧脑24小时揭敲诈者木马传播机制

 　　近期，一部关于安全专家对抗敲诈者木马的网络短剧《烧脑24小时之隐形的敲诈者》在安全行业内引发了大量关注。剧中，由腾讯安全反病毒实验室负责人马劲松及实验室成员本色出演的安全专家，向观众曝光了敲诈者木马如何利用邮件致使公司中招的全过程。对个人、企业如何防御敲诈者木马提供了重要参考。

　　自2014年敲诈者木马首次在国内出现以来，目前，受敲诈者木马影响的个人、企业越来越多。据腾讯电脑管家数据显示，敲诈者木马感染范围遍布全国各地，其中广州、深圳受“灾”的用户最多，位居全国前两位。此外，腾讯电脑管家年底敲诈者木马单日检出量在“双十一”期间达到最高的近7万次，并在年底持续呈上升趋势。

　　(腾讯电脑管家敲诈者木马检出量趋势图)

　　腾讯安全反病毒实验室专家马劲松指出，敲诈者木马是不法分子通过对重要文件加密等方式，向用户敲诈钱财的恶意软件。如果不法分子加密算法使用得当的话，敲诈者木马一旦被运行，会在电脑全盘搜索所有Word、Excel、RAR、ZIP等格式的文件，随后将这些文件通过复杂的加密算法进行加密处理。最为致命的是，被加密的文件无法在没有密钥的情况下恢复，危害性极大。因此，当前敲诈者木马防御手段主要以事前防御为主。

　　目前，敲诈者木马的传播渠道主要集中在挂马、邮件等手段。而钓鱼邮件通常会以某公司或某机构的口吻，用“系统升级”或者“帐号核实”为幌子骗取收件人信任。同时，敲诈者木马在传播时一般还会使用大量以带宏的Office文档为代表的非PE载体。近段时间以来，腾讯安全反病毒实验室专家还发现，不法分子为避免木马被安全类软件和网关直接拦截，js、vbs、chm等其它非PE文件也会被用于传播敲诈者木马。《烧脑24小时之隐形的敲诈者》中，不法分子正是伪装成受害公司合作伙伴发送带宏邮件，从而致使该公司中招。

　　而挂马指的是不法分子通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day等各种方法，从而获得webshell(网页后门)。不法分子可利用获得的webshell向页面中加入恶意转向代码，也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当网友不注意访问被加入恶意代码的页面时，就会自动访问被转向的地址或者下载木马病毒。事实上，当前，挂马为敲诈者木马传播的主流方式。

　　《烧脑24小时之隐形的敲诈者》中的腾讯安全反病毒实验室，自成立以来一直致力于反木马拦截和病毒修复，构建云主防实时处理机制和运营体系，每天为超100万个用户解除安全威胁，单日拦截木马次数高达2000万次。除此之外，依托于腾讯安全反病毒实验室自研的国内首个反病毒引擎——TAV杀毒引擎，腾讯电脑管家和腾讯手机管家连续获得AV-C、AV-Test、VB100等国际权威评测的认可。

　　据了解，针对当下敲诈者木马的现状，腾讯电脑管家还将于近期上线12.2版本，新版本将推出多项敲诈者木马专杀功能，重拳打击敲诈者木马，持续守卫用户的网络安全。

　　腾讯安全反病毒实验室负责人马劲松表示，同其他木马病毒相似，网友养成良好的上网习惯，电脑不“裸奔”，即可有效的免于敲诈者木马的威胁。不要随意打开不明来源的附件或链接，也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。如果遇到安全性不确定的文件，也可以上传到哈勃分析系统(https://habo.qq.com/)检查是否安全。日常生活中，建议使用腾讯电脑管家、腾讯手机管家等安全类产品，实时保护电脑和手机的安全。