勒索病毒 威胁形势分析报告 2016年8月31日 摘 要  敲诈者木马 是一类特殊形态的木马，它们通过给用户电脑或手机中的系统、屏幕或文件 加密的方式，向目标用户进行敲诈勒索。  根据 360互联网安全中心的监测，仅 2016年上半年，共截获电脑端新增敲诈者病毒变 种74种，涉及 PE样本 40000多个，涉及非 PE文件 10000多个，全国至少有 580000 多台用户电脑遭到了敲诈者病毒攻击，且有多达 50000多台电脑最终感染敲诈者病毒， 平均每天有约 300台国内电脑感染敲诈者木马。  监测显示，近期的敲诈者木马主要采用以下三种传播方式：邮件钓鱼、下载器挂马（ JS 挂马） 、执行器挂马（ DLL挂马） 。  通过对敲诈者木马的受害者的调研分析，在敲诈者木马攻击的国内目标人群中，有 19.7% 的人为企业用户，而另外 80.3%左右的国内被攻击者为普通个人用户。  感染敲诈者木马的国内电脑用户遍布全国所有省份，其中，广东占比最高，为 14.4%， 其次是浙江 8.2%， 北京 7.0%。 排名前十的省份的感染者总量占国内所有感染者的 62.2%。  用户反馈显示，目前绝大多数的敲诈者木马均以比特币为赎金支付方式，从而使资金流 向和攻击者本人都无法被追踪。赎金的金额一般为 2-3个比特币。 2016年4月底 -5月 初， 1个比特币价格约为 2900元，而到了 2016年6月， 1个比特币的价格一度高涨到 了最高 5100元。据此计算， 2016年4至今，如果有用户按照攻击者限定的时间支付赎 金，赎金额度应在 5800 -15300元人民币。  统计显示，仅自 2015年4月敲诈者木马开始大规模爆发至 2016年5月15日， 360互 联网安全中心就已经累计监测到各类敲诈者木马 C&C服务器 8000余个。其中， com 域名被使用的最多， 超过了总量的一半， 为 51.4%，org和net占比分别为 8.0%和7.8%。 此外，欧洲国家的域名占比为 17.5%，在各大洲中占比最高。  在国内曾有过不同规模爆发的 PC端敲诈者木马家族主要是以下几个： CTB -Locker、 CryptoLocker 、Cryptowall 、Locky、Teslacrypt 、VirLocker 。  一旦电脑感染了敲诈者木马（不包括锁屏木马或采用对称加密技术等简单的敲 诈者木 马） ，期望通过其他技术手段恢复系统文件的愿望通常来说都是无法实现的。 关键词： 敲诈、比特币、赎金 目 录 第一章 敲诈者木马的大规模攻击 ................................ ................................ ................................ ..... 1 一、 敲诈者木马的感染量 ................................ ................................ ................................ ............. 1 二、 敲诈者木马的传播方式 ................................ ................................ ................................ ......... 2 三、 敲诈者木马的攻击对象 ................................ ................................ ................................ ......... 3 四、 受害者的地域分布 ................................ ................................ ................................ ................. 4 五、 受害者的经济损失 ................................ ................................ ................................ ................. 4 第二章 敲诈者木马的服务器分布 ................................ ................................ ................................ ..... 6 第三章 敲诈者木马的家族与发 展 ................................ ................................ ................................ ..... 7 第四章 敲诈者木马的敲诈过程 ................................ ................................ ................................ ......... 9 第五章 敲诈者木马的应对措施 ................................ ................................ ................................ ....... 12 一、 敲诈者木马的不可解 ................................ ................................ ................................ ........... 12 二、 FBI的撕票建议 ................................ ................................ ................................ .................... 12 三、 360反勒索服务 ................................ ................................ ................................ .................... 13 四、 给用户的安全建议 ................................ ................................ ................................ ............... 13 附录 1 360反勒索服务 ................................ ................................ ................................ ......................... 14 附录 2 敲诈者木马攻击事件 ................................ ................................ ................................ ............... 18 1 第一章 敲诈者木马的 大规模攻击 敲诈者木马 是一类特殊形态的木马，它们通过给用户 电脑或手机中的 系统、屏幕或文件 加密的方式，向目标用户进行敲诈勒索。 早期比较简单的敲诈者木马会采用修改锁屏密码或 开机密码的方式 来锁定目标设备，但对于专业技术人员而言 ,要解锁此类木马 通常并不太困 难。此类木马 目前在PC端已经非常少见，但在手机端仍然比较常见 。 而近期大规模流行的敲诈者木马则主要采用不对称加密的方式 对系统中的 特定文件， 如 文档、图片、视频等进行高强度加密， 使受害者完全不可能在不支付赎金的情况下自行解密 被加密的文件。 此类敲诈者木马，对于存储了大量机密或敏感文件的企业用户来说，威胁尤 其严重，以往也主要被用于攻击企业或机构用户。但是， 2016年以来， 360互联网安全中心 检测到大量针对普通网民的敲诈者木马攻击， 并且在4月底至5月初达到 攻击高峰，成为 4-5月间，对网民直接威胁最大的一类木马病毒。 本次报告重点分析个人电脑端的敲诈者木马威胁形势。 关于手机端的敲诈者木马威胁形 势，请参见 360互联网安全中心早前发布的专题研究报告《 Android 勒索软件研究报告 》， 参考链接： http://zt.360.cn/1101061855.php?dtid=1101061451&did=1101724388 一、 敲诈者木马 的感染量 根据 360互联网安全中心的监测， 根据 360互联网安全中心的监测， 仅 2016年上半年， 共截获电脑端新增敲诈者病毒变种 74种，涉及 PE样本 40000多个，涉及非 PE文件 10000 多个，全国至少有 580000多台用户电脑遭到了敲诈者病毒攻击