【導(dǎo)讀】20xx年360互聯(lián)網(wǎng)安全中心共截獲PC端新增惡意程序樣本億個。國內(nèi)發(fā)生兩次大規(guī)模傳播，全國至少有497多萬臺用戶電腦遭到了敲詐者病毒攻擊。通過對受害者調(diào)研，%的受害者不知道感染病毒的原因。預(yù)計在2017年敲詐者會。增長10倍，且利用掛馬攻擊也將再次爆發(fā)。資費消耗類程序為%。同PC端相似，手機端勒索軟件也開始爆發(fā)，360全年截獲。在截獲盜取個人信息的手機惡意程序樣本中，%的樣本會竊取短信信息，%的。20xx年360互聯(lián)網(wǎng)安全中心共攔截騷擾電話億次，其中主要為廣告推銷、詐騙。被騷擾的人群主要集中在廣東、北京、上海等經(jīng)濟發(fā)達地區(qū)。騷擾電話在一天中不僅會白天進行騷擾，對受害者造成大額損失的詐騙類型。撥打的詐騙成功率最高，為%。另有%為典型的詐騙短信。獵網(wǎng)平臺共收到全國用戶提交的網(wǎng)絡(luò)詐騙舉報20623例，舉報總金額億余元，人。20xx年，360威脅情報中心已累計監(jiān)測到針對中國境內(nèi)目標(biāo)發(fā)動攻擊的境內(nèi)外APT組

　　

【正文】 個人安 全 篇 2 第一章 惡 意 程序 一、 PC 端惡意 程序 （一） PC 端惡意程序基 本 現(xiàn)狀 20xx 年， 360 互 聯(lián) 網(wǎng)安全 中 心共截獲 PC 端新增惡 意 程序樣本 億個 ， 同比 20xx 年 （ 億 個） 下 降 %， 平 均每天 截 獲新增 惡 意 程 序樣本 萬 個。從 攔 截量看 ， 20xx 年攔截惡 意 程序攻擊 億 次 ，同比 20xx 年（ 億次）下降 %，平均 每 天為用 戶攔截惡 意 程序攻 擊 約 億 次，具 體 見下圖。 （二） PC 端惡意程序發(fā) 展 趨勢 1） 敲詐者病 毒 興起 ， 2017 年預(yù) 計 增長 10 倍 360 互聯(lián)網(wǎng)安 全 中心的 監(jiān) 測顯示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒變種 113 種， 涉及樣本 萬個 ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 根據(jù)監(jiān)測 顯 示 ， 20xx 年上 、 下 半年共 發(fā) 生過兩 次 大 規(guī) 模的敲詐 者 病毒攻 擊 ， 一次 發(fā) 生 在 4 月底至 5 月 初 ， 是由 于 國外一 批 色情 網(wǎng) 站被黑 客 掛馬所 致 ， 另一 次 發(fā)生在 9 月底至 10 月初，是 由 于國內(nèi) 某 個大型 金 融服務(wù) 平 臺網(wǎng)站 被 黑 客 掛馬所 致 。 但是， 上 半年攻 擊 高峰時 一天之內(nèi) 被 攻擊的 電 腦最多 可 達到 4644 臺 ， 下 半 年 攻 擊高峰時 單 日攔截 敲 詐者病 毒 超過 2 萬余次的 情 況。詳 細 情況請 見 下一節(jié) 敲 詐者專 題 內(nèi) 容 。 根據(jù) IBM Security 的一項研究表 明 ， 20xx 年帶有 勒索 軟件的垃 圾 郵件數(shù) 量 同比增 長 了 6000%， 近 40%的垃 圾 信息中 都 帶有勒 索 軟件。 可見 勒索軟件 在 全球范 圍 內(nèi)近乎 瘋 狂的傳 播與增長 ， 預(yù)計 2017 年增長 10 倍。 2） 網(wǎng)頁掛馬 爆 發(fā)增長 20xx 年以 來 ， 針 對 國內(nèi)用 戶 的掛馬 攻 擊的事 件 呈現(xiàn) 持 續(xù)大幅下 降 的趨 勢 ， 到 20xx20xx 年時，掛 馬 攻擊在 國 內(nèi)已經(jīng) 幾 乎絕跡 。 這主要 得 益 于 國內(nèi)安全 瀏 覽器的 普 及和第 三 方打補 丁工具的 普 及 。 但 20xx 年 以 來 ， 網(wǎng) 頁掛馬 攻 擊在國 內(nèi) 又開始重 新 流行 ， 黑客針 對 網(wǎng)站的掛 3 馬活動重 新 活躍了 起 來，并 呈 現(xiàn)一定 程 度爆發(fā) 趨 勢 。 例如運營 商 被掛馬 ， 導(dǎo)致英 雄 聯(lián)盟、 Live 等用戶中了流氓推廣 ， 被安裝 大 量軟件 到本 地。 監(jiān)測顯示 ， 誘發(fā)掛 馬 攻擊在 國 內(nèi)死灰 復(fù) 燃的主 要 原 因 有以下幾 個 方面： Team 大量攻擊代碼泄漏； 漏洞增多，修 復(fù) 周期較 長 ； 毒 的流 行 間接推 動 了掛馬 產(chǎn) 業(yè)發(fā)展。 二、 PC 端的敲 詐 者病毒 敲詐者病 毒 是一類 特 殊形態(tài) 的 木馬， 它 們通過 給 用 戶 電腦或手 機 中的系 統(tǒng) 、屏幕 或 文 件加密的 方 式，向 目 標(biāo)用戶 進 行敲詐 勒 索 。 敲 詐 者 病 毒已有十 多 年的歷 史 ，之前 的 敲詐方 式是加密 或 隱藏文 件 后要求 轉(zhuǎn) 賬或者 購 買指定 商 品 ， 傳播量和 影 響力并 不 高。 目前 ， 流行的 比 特幣敲 詐 者病毒 ， 在 20xx 年 時 已經(jīng) 開 始在國外 流 行了 ， 到 20xx 年開 始大 量 流 入 國 內(nèi) 。 在 國內(nèi) 大 量 傳 播 的 主 流 敲 詐者 家 族 有 TeslaCrypt、 Locky、 Cerber、 CryptXXX、 XTBL 等多個家族 ， 每 個家族 在 傳播對 抗 過程中又 產(chǎn) 生多個 分 支版 本 。 目前捕 獲的敲詐 者 病毒和 敲 詐者病 毒 變種超過 200 個 版 本 ， 傳播量和 影 響力都 非 常大。 下面章節(jié) ， 我們?yōu)?您 呈現(xiàn)對 敲 詐者病 毒 研究的 主 要 內(nèi) 容 ， 完整 版 請參見 360 互聯(lián) 網(wǎng) 安 全中心發(fā) 布 的《 20xx 敲詐者 病 毒威脅 形 勢分析 報 告 （ 年報 ）》 ， 下 載鏈接： （一） 敲詐者病 毒 的大規(guī) 模 攻擊 1） 敲詐者病 毒 的攻擊量 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測 顯 示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒 變 種 113 種， 涉及樣本 萬個 ， 全國至 少 有 497 多 萬臺用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 根據(jù)監(jiān)測 顯 示 ， 20xx 年 上 、 下 半 年共發(fā) 生 過兩次 大規(guī) 模的敲詐 者 病毒攻擊 ， 一次發(fā)生 在 4 月底至 5 月 初 ， 另一 次 發(fā)生在 9 月底至 10 月初 。 但是 ， 上 半年攻 擊 高峰時 一 天之內(nèi)被 攻擊的電 腦 最多可 達 到 4644 臺 ， 下半年 攻 擊高峰 時單 日攔截敲 詐 者病毒 超 過 2 萬 余 次的情 況。下面 兩 張圖分 別 給出了 20xx 年 4 月 至 5 月 ， 8 月 至 11 月期間 ， 敲詐者 病 毒攻擊 的 態(tài) 勢分析圖 形 。 4 20xx 年上 半 年發(fā)生 的 大規(guī)模 攻 擊，主 要 是因為 國 外 某 些色情網(wǎng) 站 被黑客 掛 馬攻擊所 致，而下 半 年發(fā)生 的 大規(guī)模 敲 詐者病 毒 攻擊， 主 要 是 因 為 國內(nèi) 某 大型金 融 服務(wù)平 臺 網(wǎng)站被 黑客掛馬 攻 擊所致 。 掛馬攻 擊 是指攻 擊 者在網(wǎng) 頁 中 嵌 入惡意代 碼 ，當(dāng)用 戶 訪問該 網(wǎng) 頁時， 嵌入的惡 意 代碼利 用 瀏覽器 本 身的漏 洞 ，在用 戶 不 知 情的情況 下 下載并 執(zhí) 行 惡 意 木 馬。 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測 顯 示 ， 20xx 年以 來 ， 掛馬 攻 擊主要是 利 用了 IE 漏洞和 Flash 漏洞 ， 其中 ， IE 漏洞占 比 為 %， Flash 漏洞占 比 為 %。 被 利 用最多 的 四個漏 洞 分別 是 CVE20xx6332（ IE 漏洞 ） 、 CVE20xx0189（ IE 漏洞 ） 、 CVE20xx5122（ Flash 漏洞 ） 、 CVE20xx5119（ Flash 漏洞 ） 。 5 2） 敲詐者病 毒 的家族 360 互聯(lián)網(wǎng) 安 全中 心 監(jiān)測顯 示 ， Cerber、 Locky、 XTBL 是目前最主流的 三 大敲詐 者 病 毒家族。 其 中， Cerber 占 比 為 %， Locky 占比為 %， XTBL 占比為 %。 3） 敲詐者病 毒 的傳播 方 式 360 互聯(lián)網(wǎng) 安 全中 心 監(jiān)測顯 示 ，近期 的 敲詐者 病 毒 主 要采用以 下 三種傳 播 方式： 1. 網(wǎng)頁掛馬 傳 播 利用瀏覽 器 或 Flash 等應(yīng)用程序 漏 洞， 在 網(wǎng)頁內(nèi) 嵌入 惡意腳本 。 一旦用 戶 使用未 打 補 丁的程序 訪 問網(wǎng) 站 ， 便會 觸 發(fā)惡意 腳 本 。 腳 本會自 動 執(zhí) 行 敲詐 者 病毒 ， 進而加 密 用戶文件。 這類敲詐 者 病毒屬 于 撒網(wǎng)抓 魚 式的傳 播 ，并沒 有 特 定 的針對性 ， 一般中 招 的受害 者 多數(shù)為 裸奔用戶 ， 未安裝 任 何殺毒 軟 件。 2. 郵件附件 傳 播 通過偽裝 成 產(chǎn)品訂 單 詳情或 圖 紙等重 要 文檔類 的 釣 魚 郵件 ， 在附件 中 夾帶含 有 惡意代 6 碼的腳本 文 件。一 旦 用戶打 開 郵件附 件 ，便會 執(zhí) 行 里 面的腳本 ， 釋 放 敲 詐 者病毒 。 這類傳 播方式的 針 對性較 強 ，主要 瞄 準(zhǔn)公司 企 業(yè) 、各 類 單 位 和院校， 他 們最大 的 特點是 電 腦中的 文檔往往 不 是個人 文 檔，而 是 公司文 檔 。 3. 服務(wù)器入 侵 傳播 最近以 XTBL 家族為代表的 敲 詐者 病 毒主要 采 用此 類 攻擊方式 。 黑 客通過 弱 口令 、 服 務(wù)器漏洞 等 方式攻 擊 服務(wù)器 ， 并嘗試 以 高權(quán)限 登 錄 。 一旦登錄 成 功，黑 客 就可以 在 服務(wù)器 上為所欲 為 ，例如 ： 卸載服 務(wù) 器上的 安 全軟件 并 手 動 運 行 敲詐 者 病毒。 最 后，黑 客 會留下 支付贖金 的 方式， 進 而實施 敲 詐勒索 。 這類傳 播 途 徑 針對的情 況 與郵件 傳 播類似 ， 最終目 的都是給 公 司業(yè)務(wù) 的 運轉(zhuǎn)制 造 破壞， 迫 使公司 為 了 止 損而不得 不 交付贖 金 。 4） 敲詐者病 毒 的攻擊 對 象 360 互聯(lián)網(wǎng) 安 全中心 的 監(jiān)測顯 示 ， 在 敲 詐 者病毒 攻擊 的國內(nèi)目 標(biāo) 人群中，有 %為 企業(yè)用戶 ， 而另外 %為 個人用 戶 。 相比于個 人 用戶， 企 業(yè)用戶 的 攻擊價 值 往往要 高 得 多 ，因為企 業(yè) 用戶電 腦 中所存 儲 的 數(shù)據(jù)往往 更 具機密 性 和不可 復(fù) 制 性 ； 個 人用戶 在 上 網(wǎng) 安全意識 和 防護技 術(shù) 水平等 方 面都比 較欠缺， 因 此也更 容 易被攻 擊 并中招。 5） 敲詐者病 毒 的服務(wù) 器 分布 敲詐者病 毒 通常會 使 用 Camp。C 服務(wù)器 ， 用于向 木 馬 發(fā) 布加密公 鑰 或記錄 感 染者信 息 。 統(tǒng)計顯示 ， 僅自 20xx 年 1 月敲 詐 者病毒 開 始大規(guī) 模爆 發(fā)至 20xx 年 11 月底 ， 360 互 聯(lián)網(wǎng)安 全中心已 經(jīng) 累計監(jiān) 測 到各 類 敲 詐者病毒 Camp。C 服 務(wù)器 14775 個。 針對最為 活 躍的部 分 敲詐者 病 毒的 Camp。C 服務(wù)器 域名 進行了分 析 ，結(jié)果 顯 示 ： 域 名被使用 的 最多， 超 過了總 量 的一半 ， 為 %， 和 占比分別為 %和 %。此 外，具有 明 顯國家 歸 屬的域 名 ，如 uk（英國 ） 、 ru（ 俄羅斯 ） 、 au（澳大利 亞 ）等 ， 也占到 了總量的 %左 右 ， 其中 ， 屬于歐 洲 國家 的 域名 最 多 ， 占 %， 其 次 是亞洲 國 家 %， 南美洲國家 %， 大洋 洲 國家 %，北 美 洲國家 %，非 洲 國家 %。 7 （二） 受害者感 染 途徑和 文 件類型 截至 20xx 年 11 月 30 日 ， 360 反 勒索服 務(wù) 共接到了 1000 余位遭 遇 敲詐者 病 毒攻擊 的 受 害者求助 。 目前絕 大 多數(shù) （ %） 求助用 戶 并不 是 在安裝了 360 安 全衛(wèi)士 ， 并開啟 了 反 勒索服務(wù) 的 情況下 感 染的敲 詐 者病毒 。 特別值 得 注 意 的是，還 有 相當(dāng)數(shù) 量 的受害 者 在感染 敲詐者病 毒 時，電 腦 上沒有 安 裝任何 安 全軟件。 為了更好的了解敲詐者病毒的感染原因及受害者特 點 ，以幫助更多的用戶提高安全意 識 ， 免遭敲 詐 者病毒 侵 害 ， 本 次 報 告特別 對 這 1000 余 位求助的 受 害者進 行 了抽樣 調(diào) 研分析。 1） 受害者的 基 本屬性 根據(jù)調(diào)研 數(shù) 據(jù)顯示 ， 男性是 最 容易受 到 敲詐者 病 毒 攻 擊的對象 ，占比高達 %，而 女性占比 僅 為 %。 同 時 調(diào)查還 顯 示 ， 男 性受害 者感 染敲詐者 病 毒的主 要 原因 是 通 過瀏覽 陌生網(wǎng)頁。 在 360 互 聯(lián) 網(wǎng)安全 中 心接到 的 受害者 主 動尋求 幫 助 的 人群中 ， %為 企 業(yè)用戶 ， % 為個人用 戶 。這與 我 們前面 分 析的敲 詐 者病毒 攻 擊 對 象的構(gòu)成 形 成了鮮 明 的對比 。 在前面 8 的分析中 我 們看到 ， 在敲詐 者 病毒的 攻 擊對象 中 ， 僅 %為 企業(yè)用 戶 ， %為普 通 個人 用戶。 企業(yè)用戶 電 腦中毒 以 后， 由 于被 加 密的多 是 相對更 加 重要的公 司 辦公和 業(yè) 務(wù)文 件 ，因 此，企業(yè) 用 戶往往 會 更加積 極 尋求解 決 辦法， 特 別 是 更加積極 向 專業(yè)安 全 廠商尋 求 幫助。 2） 敲詐者病 毒 的感染 途 徑 從求助的 受 害者感 染 敲詐者 病 毒的途 徑 可以看 出 ， %的受 害 者不知 道 自己 是 如何感 染的敲詐 者 病毒 ， 可見該 病 毒在感 染 、 執(zhí) 行 過程中 具 有極強的 隱 蔽性 ， 讓受害 者 難以察覺。 %的受害 者 是在瀏覽陌生網(wǎng) 頁 時感染病毒 ， %的受害者是下載 軟 件時感染病 毒 ， %的 受 害者是 主 動點擊 查 看了陌 生 郵件 的 附件感 染 病毒 ， %的受害 者 是通過 U 盤 傳播 感染病毒 ， %的 受 害者是 開 啟 3389 端 口 （ Windows 系統(tǒng)自帶 的 遠程控