一封短短的郵件，卻可以被不法分子用來遠(yuǎn)程加密受害者文件，敲詐比特幣贖金。當(dāng)前，敲詐木馬日益猖獗，其背后是成熟運(yùn)轉(zhuǎn)的黑色產(chǎn)業(yè)鏈。從受害者信息的獲取，到木馬的制作、郵件的發(fā)送，每一個(gè)環(huán)節(jié)的不法分子都能從贖金中分得一杯羹。未來，不法分子還會(huì)發(fā)動(dòng)什么樣的攻擊?面對(duì)這樣的木馬又應(yīng)該如何防范?近日，騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的反病毒實(shí)驗(yàn)室發(fā)布了“敲詐者”黑產(chǎn)研究報(bào)告，與騰訊電腦管家一起詳細(xì)揭秘“敲詐者”及其背后的黑色產(chǎn)業(yè)鏈。

　　敲詐風(fēng)暴愈演愈烈 企業(yè)核心數(shù)據(jù)頻頻遭竊

　　如果沒有點(diǎn)開那一封郵件，汪為(化名)現(xiàn)在就不會(huì)忙于尋找丟失的文件，甚至也不用支付相當(dāng)于幾個(gè)月工資的罰款。

　　汪為在北京一家互聯(lián)網(wǎng)企業(yè)上班，日常工作是在網(wǎng)上與客戶進(jìn)行聯(lián)系，維護(hù)產(chǎn)品銷售渠道。因公司準(zhǔn)備出國(guó)參加一場(chǎng)展銷會(huì)，汪為忙著跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。和往常一樣，他在未讀郵件中挑出了與快遞相關(guān)的部分，逐一閱讀并打開其中的附件，直到他點(diǎn)開了一封主題為“Delivery Notification”的郵件。一小時(shí)后，他電腦中的文件被改成亂碼且無法打開，被修改為敲詐內(nèi)容的桌面背景也顯示出來。他才知道電腦中了“敲詐者”木馬。

　　像汪為這樣的遭遇并非個(gè)例。自2014年起，陸續(xù)有人在打開郵件之后，發(fā)現(xiàn)自己電腦中的文件被修改，其中不乏公司核心數(shù)據(jù)、有重要意義的圖片等內(nèi)容，一旦丟失造成的損失難以估量，此外在電腦顯著位置上也會(huì)出現(xiàn)敲詐信息。

　　敲詐木馬最初僅在國(guó)外傳播，后來逐漸滲透到國(guó)內(nèi)，受其影響不乏醫(yī)院、公交公司這樣的大型企業(yè)。目前，除了少部分敲詐木馬可以通過其漏洞進(jìn)行破解外，仍有很多木馬難以治理，而受害者往往需要支付贖金才能解鎖文件，對(duì)于一些重要數(shù)據(jù)被加密的公司而言，這是無奈之中最后的辦法。此前，美國(guó)好萊塢某醫(yī)院為了恢復(fù)患者病歷，被迫支付了相當(dāng)于數(shù)萬美元的贖金。經(jīng)過長(zhǎng)時(shí)間的監(jiān)測(cè)，騰訊電腦管家在第一時(shí)間揭秘這類木馬。

　　財(cái)務(wù)會(huì)計(jì)類職工成攻擊目標(biāo) 郵件成敲詐者主要傳播渠道

　　從以往騰訊電腦管家攔截情況來看，當(dāng)前敲詐木馬主要以郵件進(jìn)行傳播，郵件的主題往往是快遞、發(fā)票、費(fèi)用確認(rèn)等公務(wù)內(nèi)容并含有附件，從而誘導(dǎo)財(cái)務(wù)、會(huì)計(jì)、對(duì)外關(guān)系等職位的員工打開。其中，最常見的附件格式是Office文檔，還有一些如Powershell、js、vb、JAR、CHM等文件格式被用于傳播。木馬運(yùn)行后，將導(dǎo)致電腦上用戶隱私(文件、照片)等被加密。

　　為了謀求更多利益，不法分子也在不斷變換手法，如控制電腦隨意登陸訪問廣告、釣魚網(wǎng)站，或是下載后門木馬，實(shí)時(shí)監(jiān)控受害者上網(wǎng)行為并上傳隱私信息。其次，不法分子也開始針對(duì)不同種類的電腦用戶開發(fā)相應(yīng)的木馬，連一向以安全著稱的MAC操作系統(tǒng)在不久前也遭到了敲詐木馬的攻擊。除此之外，在一些針對(duì)政府、軍隊(duì)等敏感目標(biāo)的高等級(jí)、強(qiáng)對(duì)抗的網(wǎng)絡(luò)攻擊中，也出現(xiàn)了敲詐木馬的身影。

　　郵箱賬號(hào)9.9元公開兜售 “敲詐者”黑色產(chǎn)業(yè)日趨成熟

　　圍繞著敲詐木馬，不法分子已經(jīng)形成了“收集客戶郵箱賬戶—客戶身份信息分類—兜售客戶郵箱賬戶—專業(yè)發(fā)送郵件”的一整套黑色產(chǎn)業(yè)鏈。不同身份的不法分子在制作、傳播、贖金交付等環(huán)節(jié)中分工合作，互相交換資源和數(shù)據(jù)，企圖從受害者的損失中分得利益。

　　在郵件信息獲取階段，騰訊安全和騰訊電腦管家研究人員發(fā)現(xiàn)，只要用戶使用郵箱賬號(hào)在BBS、論壇、聊天室等網(wǎng)站上注冊(cè)過或者發(fā)表過言論，那么黑產(chǎn)從業(yè)者就能使用爬蟲工具在網(wǎng)上抓取到相關(guān)郵箱信息，并通過用戶言論行為以及賬號(hào)信息進(jìn)行身份分類。被分類好的郵箱賬號(hào)會(huì)出現(xiàn)在各類平臺(tái)上進(jìn)行兜售，其中一些行業(yè)類別的郵箱賬號(hào)信息兜售價(jià)為9.9元。

　　(多個(gè)行業(yè)的郵箱賬號(hào)被兜售)

　　一旦不法分子獲取郵箱賬號(hào)信息后，就會(huì)著手發(fā)送垃圾郵件，而使用正規(guī)郵箱大量發(fā)送垃圾郵件，很大概率會(huì)被封號(hào)，于是出現(xiàn)了“專業(yè)發(fā)送郵件”的產(chǎn)業(yè)環(huán)節(jié)。據(jù)調(diào)查，該環(huán)節(jié)從業(yè)者多采取自搭建郵箱服務(wù)器的方式，可以做到無限制的發(fā)送，就連發(fā)送總量、點(diǎn)擊人數(shù)等都可以查看。

　　贖金交付是另一個(gè)重要的環(huán)節(jié)，它直接關(guān)系著整個(gè)黑色鏈條是否能從受害者那里攫取到足夠的利益。比特幣因在全球范圍內(nèi)可使用，且其使用者具有匿名性，難以追蹤，常常被不法分子要求作為贖金。

　　防治敲詐木馬，事前防范顯得尤為重要。騰訊安全反病毒實(shí)驗(yàn)室專家馬勁松提醒用戶，不輕信任意陌生郵件中的內(nèi)容，不要隨意開啟郵件附件，不管是可執(zhí)行文件、Office文檔，還是后綴名不熟悉的其他格式文件。同時(shí)開啟Office、WPS等文檔軟件安全防護(hù)功能，不要設(shè)置默認(rèn)運(yùn)行宏，也不要受陌生文檔的引誘臨時(shí)開啟宏運(yùn)行。在生活中，使用騰訊電腦管家等安全類軟件，開啟實(shí)時(shí)保護(hù)并及時(shí)更新版本。目前，騰訊電腦管家旗下的哈勃分析系統(tǒng)也發(fā)布了數(shù)個(gè)解密工具，受害者只需要根據(jù)工具的指示進(jìn)行操作，無需支付贖金即可恢復(fù)被敲詐木馬加密的文件。對(duì)于不放心的文件，也可以使用哈勃分析系統(tǒng)(https://habo.qq.com/)對(duì)文件進(jìn)行檢測(cè)。