國日均300台電腦感染敲詐者木馬 受害者日付贖金逾174萬

　　360網際網路安全中心近日發佈的《敲詐者木馬威脅形勢分析報告》披露，2016年上半年，平均每天有約300台國內電腦感染敲詐者木馬；2016年4月-7月間，攻擊者每天可以從國內受害者手中獲得約174萬-459萬元人民幣的贖金。

　　粵浙京用戶成為感染者重災區

　　根據360網際網路安全中心的監測，僅2016年上半年，共截獲電腦端新增敲詐者病毒變種74種，涉及PE樣本40000多個，涉及非PE文件10000多個，全國至少有580000多臺用戶電腦遭到了敲詐者病毒攻擊，且有多達50000多臺電腦最終感染敲詐者病毒。

　　360網際網路安全中心分析，造成攻擊成功率如此之高的主要原因有以下兩個方面：一是電腦感染木馬前用戶未使用安全軟體，或所使用安全軟體不具備充分的主動防禦能力，不能準確識別此類木馬或此類木馬的攻擊行為；二是在木馬的表面誘惑下，很多用戶無視安全軟體的風險提示，手動放行了木馬程式。

　　根據360網際網路安全中心的監測，在2016年4月1日至5月15日期間感染敲詐者木馬的國內電腦用戶遍佈全國所有省份，其中，廣東佔比最高，為14.4%，其次是浙江8.2%，北京7.0%。排名前十的省份的感染者總量佔國內所有感染者的62.2%。

　　而就感染敲詐者木馬的企業用戶而言，北京地區最多，佔比為13.1%，浙江、廣東各佔11.9%，排在第二、第三位。相比于普通個人電腦用戶，企業用戶的感染者更為集中，排名前十的省份的感染者總量佔國內所有感染者的75.7%。

　　執行器挂馬式攻擊佔比超過60%

　　監測顯示，近期的敲詐者木馬主要採用郵件釣魚、下載器挂馬(JS挂馬)、執行器挂馬(DLL挂馬)方式傳播。

　　其中，釣魚郵件是一種比較經典的木馬傳播方式，主要手法是將惡意程式以郵件附件的形式發送給攻擊目標。一旦被攻擊者打開或運作郵件的附件，惡意程式就會被執行。

　　下載器挂馬(JS挂馬)是一種比較傳統的網頁挂馬攻擊方式，主要方法是在頁面中嵌入惡意的JS腳本，一旦用戶使用有漏洞的，且不具備主動防禦能力的瀏覽器或其他客戶端軟體訪問該挂馬網頁時，惡意的JS腳本就會被運作。

　　執行器挂馬(DLL挂馬)是最近新出現的一種網頁挂馬傳播方式，而且已經成為了最主流的傳播方式。其主要攻擊方式是通過頁面挂馬程式注入瀏覽器，啟動並執行一個dll類的木馬程式。

　　360網際網路安全中心統計，儘管傳統的釣魚郵件攻擊仍然存在，但佔比已經僅為14%。而執行器挂馬攻擊則已經成為最主要的攻擊方式，佔比超過了60%，下載器挂馬排第二，佔比為24%。由於微軟早前已經停止了對IE瀏覽器的更新，預計國內IE用戶遭遇敲詐者木馬的挂馬攻擊的風險還會繼續加大。

　　八成國內被攻擊者為普通個人用戶

　　360網際網路安全中心通過對敲詐者木馬的受害者的調研分析發現，在敲詐者木馬攻擊的國內目標人群中，有19.7%的人為企業用戶，而另外80.3%左右的國內被攻擊者為普通個人用戶。

　　360網際網路安全中心指出，相比于普通個人用戶，企業用戶的攻擊價值往往要高得多，因為企業用戶電腦中所存儲的數據往往更具機密性和不可複製性，因此企業用戶為恢復文件而支付贖金的意願也要比普通個人用戶強得多。但從另一個角度來看，普通個人用戶在上網安全意識和防護技術水準等方面都比較欠缺，因此也更容易被攻擊並中招，攻擊者一旦將普通用戶設定為攻擊目標，其對整個網際網路的危害也將更加嚴重。

　　統計顯示，能源行業是敲詐者木馬排在首位的重災區，佔受害企業用戶總量的36.0%，其次是金融業，佔28.2%。學校7.6%，政府及事業單位4.3%和製造業4.3%分列其後。

　　360網際網路安全中心針對近期最為活躍的部分敲詐者木馬的C&C伺服器域名進行了分析，結果顯示：com域名被使用的最多，超過了總量的一半，為51.4%，org和net佔比分別為8.0%和7.8%。此外，具有明顯國家歸屬的域名，如uk(英國)、ru(俄羅斯)、au(澳大利亞)等，也佔到了總量的25.5%左右，其中，屬於歐洲國家的域名最多，佔17.5%，其次是亞洲國家2.9%，大洋洲國家2.0%。

　　不能實現百分之百有效防禦

　　360網際網路安全中心介紹，任何安全防護措施都不可能對木馬病毒實現百分之百的有效防禦，一旦用戶電腦感染木馬病毒，幫助用戶挽回損失，才是安全企業應盡的責任。

　　針對危害日益嚴重的敲詐木馬，360網際網路安全中心自2016年8月15日起開始實施“反勒索服務”：一旦使用360安全衛士的用戶開啟此項服務，在沒有看到360安全産品的任何風險提示的情況下感染敲詐者木馬，可以直接通過360反勒索服務申請賠付，360公司將替受害者支付最高3個比特幣的贖金。

　　對於普通用戶，360網際網路安全中心建議，不要輕易打開陌生人發來的郵件附件或正文中的網址連結；不要輕易打開尾碼名為js或dll的陌生文件。如果陌生人發來的郵件附件為壓縮格式，請不要輕易點開，如果附件解壓後有尾碼名為js的文件，則千萬不要打開。電腦應當安裝具有雲防護和主動防禦功能的安全軟體，以使電腦盡可能避免遭到敲詐者木馬的攻擊。

　　此外，儘量使用安全瀏覽器，以免電腦遭到挂馬攻擊。打開郵件附件或其他從網路上接受的文件(如聊天軟體傳輸)前，應首先使用安全軟體對其進行掃描檢測。對於安全性不確定的文件，可以選擇在安全軟體的沙箱功能中打開運作，從而避免木馬對實際系統的破壞。如果電腦已經被敲詐者木馬感染，可以通過敲詐者木馬贖金計劃來減小自身的經濟損失。