目前,国内典型敲诈类恶意软件“锁机”泛滥,百度安全中心对其进行了实验和分析。另外,国外敲诈类恶意软件CryptoWall在国内的影响也不容小觑,重要数据如果被加密,受害者只能接受敲诈。国内恶意敲诈类软件在技术难度、危害程度上来看没有国外恶意敲诈类软件高。国内敲诈软件传播途径主要为互联网社交/论坛,国外敲诈软件传播途径为通过钓鱼邮件传播,更具有全球性。 一、国内典型敲诈类恶意软件“锁机” “锁机”是一款通过增加管理员,只在一定条件下,通过图形登录界面难住普通用户的敲诈类恶软。该恶软制作成本非常的低,主要通过QQ群传播,但传播者月收入可超三万。 锁机”运行后一闪而过,立刻注销当前帐户,此时出现新的登录帐户:
请勿使用多线程下载工具下载论坛附件!
切换到传统登录框,发现Administrator帐户的密码也已经被修改,无法登陆:
请勿使用多线程下载工具下载论坛附件!
二、国外敲诈类恶软CryptoWall 该恶软在九月底开始影响国内用户,在互联网上有相当数量的用户寻求解密帮助。CryptoWall采用了RSA算法加密文件,密钥对的产生与被感染的计算机信息相关。公钥用于文件加密,在没有获得对应私钥的情况下,文件无法被解密,如果重要数据被加密,受害者只能接受敲诈,向CryptoWall作者支付比特币。 三、国内外敲诈类恶软对比 1、从技术难度上比较,国产敲诈恶软的技术实现非常简单,能否成功实施敲诈,得看“受害者”对计算机的掌握情况。国外敲诈类,目前基本是对重要数据文件不对称加密的方式来实现,密钥对产生与机器环境相关,公钥用于客户端加密,私钥存储于服务器,敲诈成功后给予(之前的CryptoLocker也是)。 2、从危害程度上比较,国产的敲诈类恶软危害不大,不会破坏资料,大多为“锁屏”类;而国外敲诈类恶软,有锁屏恐吓类,更可怕的是有CryptoWall,CryptoLocker这样的文件加密类,直接导致用户重要数据丢失,危害相当大。 3、从传播途径比较,国内敲诈恶软多依赖互联网社交/论坛进行传播。而国外此类恶软,大多采用钓鱼邮件进行散播,这种方式更具有全球传播性。 4、从收款方式上比较,国内敲诈恶软作者,还在采用“面对面”的方式,甚至还告知了银行卡号及姓名,而且在敲诈金额上也能讨价还价。而国外敲诈者则采用BTC作为交易货币,单纯地从BTC Address无法追踪到敲诈者。 以下是国外文件加密类恶软(CryptoLocker,CryptoWall),在2014年8月至10月的国内检测到的数量为29例(实际感染量会大于此值),分布情况如下:
请勿使用多线程下载工具下载论坛附件!
更多详细内容请参照附件。
国内外典型敲诈类恶意软件分析及对比.rar
(1.3 MB, 下载次数: 2)
|