邮件成“敲诈者”木马最常见传播渠道

　　一封短短的邮件，却可以被不法分子用来远程加密受害者文件，敲诈比特币赎金。当前，敲诈木马日益猖獗，其背后是成熟运转的黑色产业链。从受害者信息的获取，到木马的制作、邮件的发送，每一个环节的不法分子都能从赎金中分得一杯羹。未来，不法分子还会发动什么样的攻击?面对这样的木马又应该如何防范?近日，腾讯安全联合实验室旗下的反病毒实验室发布了“敲诈者”黑产研究报告，与腾讯电脑管家一起详细揭秘“敲诈者”及其背后的黑色产业链。

　　敲诈风暴愈演愈烈 企业核心数据频频遭窃

　　如果没有点开那一封邮件，汪为(化名)现在就不会忙于寻找丢失的文件，甚至也不用支付相当于几个月工资的罚款。

　　汪为在北京一家互联网企业上班，日常工作是在网上与客户进行联系，维护产品销售渠道。因公司准备出国参加一场展销会，汪为忙着跟几家快递公司通过邮件商量宣传物资的邮递事宜。和往常一样，他在未读邮件中挑出了与快递相关的部分，逐一阅读并打开其中的附件，直到他点开了一封主题为“Delivery Notification”的邮件。一小时后，他电脑中的文件被改成乱码且无法打开，被修改为敲诈内容的桌面背景也显示出来。他才知道电脑中了“敲诈者”木马。

　　像汪为这样的遭遇并非个例。自2014年起，陆续有人在打开邮件之后，发现自己电脑中的文件被修改，其中不乏公司核心数据、有重要意义的图片等内容，一旦丢失造成的损失难以估量，此外在电脑显著位置上也会出现敲诈信息。

　　敲诈木马最初仅在国外传播，后来逐渐渗透到国内，受其影响不乏医院、公交公司这样的大型企业。目前，除了少部分敲诈木马可以通过其漏洞进行破解外，仍有很多木马难以治理，而受害者往往需要支付赎金才能解锁文件，对于一些重要数据被加密的公司而言，这是无奈之中最后的办法。此前，美国好莱坞某医院为了恢复患者病历，被迫支付了相当于数万美元的赎金。经过长时间的监测，腾讯电脑管家在第一时间揭秘这类木马。

　　财务会计类职工成攻击目标 邮件成敲诈者主要传播渠道

　　从以往腾讯电脑管家拦截情况来看，当前敲诈木马主要以邮件进行传播，邮件的主题往往是快递、发票、费用确认等公务内容并含有附件，从而诱导财务、会计、对外关系等职位的员工打开。其中，最常见的附件格式是Office文档，还有一些如Powershell、js、vb、JAR、CHM等文件格式被用于传播。木马运行后，将导致电脑上用户隐私(文件、照片)等被加密。

　　为了谋求更多利益，不法分子也在不断变换手法，如控制电脑随意登陆访问广告、钓鱼网站，或是下载后门木马，实时监控受害者上网行为并上传隐私信息。其次，不法分子也开始针对不同种类的电脑用户开发相应的木马，连一向以安全著称的MAC操作系统在不久前也遭到了敲诈木马的攻击。除此之外，在一些针对政府、军队等敏感目标的高等级、强对抗的网络攻击中，也出现了敲诈木马的身影。

　　邮箱账号9.9元公开兜售 “敲诈者”黑色产业日趋成熟

　　围绕着敲诈木马，不法分子已经形成了“收集客户邮箱账户—客户身份信息分类—兜售客户邮箱账户—专业发送邮件”的一整套黑色产业链。不同身份的不法分子在制作、传播、赎金交付等环节中分工合作，互相交换资源和数据，企图从受害者的损失中分得利益。

　　在邮件信息获取阶段，腾讯安全和腾讯电脑管家研究人员发现，只要用户使用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论，那么黑产从业者就能使用爬虫工具在网上抓取到相关邮箱信息，并通过用户言论行为以及账号信息进行身份分类。被分类好的邮箱账号会出现在各类平台上进行兜售，其中一些行业类别的邮箱账号信息兜售价为9.9元。

　　(多个行业的邮箱账号被兜售)

　　一旦不法分子获取邮箱账号信息后，就会着手发送垃圾邮件，而使用正规邮箱大量发送垃圾邮件，很大概率会被封号，于是出现了“专业发送邮件”的产业环节。据调查，该环节从业者多采取自搭建邮箱服务器的方式，可以做到无限制的发送，就连发送总量、点击人数等都可以查看。

　　赎金交付是另一个重要的环节，它直接关系着整个黑色链条是否能从受害者那里攫取到足够的利益。比特币因在全球范围内可使用，且其使用者具有匿名性，难以追踪，常常被不法分子要求作为赎金。

　　防治敲诈木马，事前防范显得尤为重要。腾讯安全反病毒实验室专家马劲松提醒用户，不轻信任意陌生邮件中的内容，不要随意开启邮件附件，不管是可执行文件、Office文档，还是后缀名不熟悉的其他格式文件。同时开启Office、WPS等文档软件安全防护功能，不要设置默认运行宏，也不要受陌生文档的引诱临时开启宏运行。在生活中，使用腾讯电脑管家等安全类软件，开启实时保护并及时更新版本。目前，腾讯电脑管家旗下的哈勃分析系统也发布了数个解密工具，受害者只需要根据工具的指示进行操作，无需支付赎金即可恢复被敲诈木马加密的文件。对于不放心的文件，也可以使用哈勃分析系统(https://habo.qq.com/)对文件进行检测。