“蠕蟲病毒驚魂記”系列報(bào)道⑦
(圖片來源于網(wǎng)絡(luò))
光明網(wǎng)記者 李政葳
上周,一款名為“想哭”的勒索軟件病毒在全球范圍內(nèi)傳播,至少150個(gè)國家受到影響,國內(nèi)很多企事業(yè)單位、學(xué)校等也受到了影響。
這場勒索病毒引發(fā)的風(fēng)波剛漸平息,病毒發(fā)布者“影子經(jīng)紀(jì)人”又通過社交媒體發(fā)布聲明,從6月開始,以訂閱服務(wù)的形式,每月向付費(fèi)訂戶提供更多的國安局黑客工具和數(shù)據(jù)。這些黑客工具包括網(wǎng)頁瀏覽器、路由器和手機(jī)的安全漏洞及利用工具……
勒索病毒的黑客組織的下一個(gè)目標(biāo)是智能手機(jī)?
移動(dòng)終端勒索多以“鎖屏”為主
在智能手機(jī)端,勒索病毒也有類似病毒持續(xù)活躍,用戶如果下載了病毒App,手機(jī)會(huì)被強(qiáng)制鎖機(jī),不能正常進(jìn)入手機(jī)界面。
獵豹移動(dòng)安全中心監(jiān)控?cái)?shù)據(jù),2016年高峰期,全球半月感染用戶數(shù)高達(dá)40萬,國內(nèi)也是此類病毒的重災(zāi)區(qū)。亞信安全數(shù)據(jù)也顯示,截至目前,亞信安全已查獲手機(jī)勒索軟件惡意程序樣本30萬個(gè)。
(圖片來源于網(wǎng)絡(luò))
360副總裁譚曉生在中國計(jì)算機(jī)學(xué)會(huì)青年科技論壇(CCF YOCSEF)聯(lián)合CCF計(jì)算機(jī)安全專業(yè)委員會(huì)舉辦的“勒索病毒:憑什么能綁架我們的系統(tǒng)”論壇上表示,移動(dòng)終端勒索軟件很早就有,也越來越常見,最常見的是“鎖屏”。
“創(chuàng)建透明懸浮窗體,覆蓋用戶手機(jī)屏幕。”業(yè)內(nèi)一名知情人士向記者透露,當(dāng)用戶點(diǎn)擊病毒鏈接后,會(huì)自動(dòng)創(chuàng)建一個(gè)透明的懸浮窗,使得用戶無法正常使用鎖屏功能,且該窗體無法清除;然后,黑客獲取設(shè)備管理器權(quán)限,設(shè)置鎖屏界面密碼;最后,通過誘導(dǎo)用戶激活設(shè)備管理器權(quán)限,從而重新設(shè)置系統(tǒng)的鎖屏密碼。
偽裝成QQ刷鉆、游戲輔助工具誘導(dǎo)用戶
記者在QQ群搜索里輸入類似“安卓鎖機(jī)”等字樣,發(fā)現(xiàn)近百個(gè)相關(guān)QQ群。知情者表示,勒索者將應(yīng)用程序包文件取名為類似朋友圈點(diǎn)贊、QQ刷鉆等較有誘惑力的名字;然后,用各小號加入多個(gè)QQ群,將勒索軟件上傳群共享,誤導(dǎo)用戶下載安裝。
(圖片來自QQ截圖)
除了QQ群聊外,論壇貼吧和短信也成為手機(jī)勒索者的常用途徑。在游戲外掛、刷鉆等尋求功能類軟件的帖子中,會(huì)有大量用戶反饋手機(jī)被鎖,這正是病毒作者打著“滿足用戶功能需求”的幌子,而放出的病毒鏈接來誘導(dǎo)用戶中招;短信的方式則相對明了,通過發(fā)送短信進(jìn)行傳播,用戶點(diǎn)擊安裝后手機(jī)便受到侵害。
“當(dāng)用戶點(diǎn)擊運(yùn)行后,手機(jī)會(huì)被立即鎖住,重啟也無濟(jì)于事。”獵豹移動(dòng)安全研究員告訴記者,國內(nèi)手機(jī)勒索病毒一般會(huì)偽裝為QQ刷鉆、游戲輔助工具和一些其它色情、黑客工具等,誘導(dǎo)用戶下載安裝。
獵豹移動(dòng)安全研究員還表示,用戶手機(jī)受到攻擊后,解鎖須聯(lián)系屏幕上方的QQ號,并支付一定贖金才能恢復(fù)正常使用。每次的解鎖價(jià)格在20至50元不等,勒索者每日收入可達(dá)500到600元。
短期內(nèi)勒索威脅仍以PC端為主
“從2016年的發(fā)展趨勢來看,移動(dòng)終端惡意代碼的增長速度已超過PC端的增長速度。不過,目前特制以勒索為方式為主的威脅行為短期內(nèi)還是以PC端為主。”安天科技公司副總裁王小豐說。
王小豐認(rèn)為,就目前而言,PC端多為生產(chǎn)力工具,攻擊者會(huì)通過勒索方式變現(xiàn);移動(dòng)端目前還不是主要的生產(chǎn)力工具,且移動(dòng)終端攻擊者有更多的變現(xiàn)手段,至少現(xiàn)在還很少會(huì)選用勒索的方式。
“未來有兩種可能導(dǎo)致移動(dòng)端涌現(xiàn)出大量勒索,但要看移動(dòng)終端本身的發(fā)展。一個(gè)是它什么時(shí)候能在生產(chǎn)力的工具做得越來越多,再一個(gè)要看攻擊者是誰。”王小豐說。
如果手機(jī)一旦中招,用戶如何清除?獵豹移動(dòng)安全專家李鐵軍表示,部分手機(jī)可先嘗試進(jìn)入安全模式,找到可疑App進(jìn)行卸載;如果無效,用戶可通過手機(jī)的售后服務(wù),在專業(yè)人員的指導(dǎo)下進(jìn)行刷機(jī)。“不建議聯(lián)系騙子花錢解鎖,在防止再次被騙的同時(shí),也堅(jiān)決不助漲騙子的囂張氣焰。”李鐵軍說。
此外,李鐵軍還提醒手機(jī)用戶,平時(shí)不要安裝、打開未知來源應(yīng)用;不要隨便給未知軟件設(shè)備管理器權(quán)限,謹(jǐn)防中招。