【導(dǎo)讀】20xx年360互聯(lián)網(wǎng)安全中心共截獲PC端新增惡意程序樣本億個(gè)。國(guó)內(nèi)發(fā)生兩次大規(guī)模傳播，全國(guó)至少有497多萬臺(tái)用戶電腦遭到了敲詐者病毒攻擊。通過對(duì)受害者調(diào)研，%的受害者不知道感染病毒的原因。預(yù)計(jì)在2017年敲詐者會(huì)。增長(zhǎng)10倍，且利用掛馬攻擊也將再次爆發(fā)。資費(fèi)消耗類程序?yàn)?。同PC端相似，手機(jī)端勒索軟件也開始爆發(fā)，360全年截獲。在截獲盜取個(gè)人信息的手機(jī)惡意程序樣本中，%的樣本會(huì)竊取短信信息，%的。20xx年360互聯(lián)網(wǎng)安全中心共攔截騷擾電話億次，其中主要為廣告推銷、詐騙。被騷擾的人群主要集中在廣東、北京、上海等經(jīng)濟(jì)發(fā)達(dá)地區(qū)。騷擾電話在一天中不僅會(huì)白天進(jìn)行騷擾，對(duì)受害者造成大額損失的詐騙類型。撥打的詐騙成功率最高，為%。另有%為典型的詐騙短信。獵網(wǎng)平臺(tái)共收到全國(guó)用戶提交的網(wǎng)絡(luò)詐騙舉報(bào)20623例，舉報(bào)總金額億余元，人。20xx年，360威脅情報(bào)中心已累計(jì)監(jiān)測(cè)到針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的境內(nèi)外APT組

　　

【正文】 個(gè)人安 全 篇 2 第一章 惡 意 程序 一、 PC 端惡意 程序 （一） PC 端惡意程序基 本 現(xiàn)狀 20xx 年， 360 互 聯(lián) 網(wǎng)安全 中 心共截獲 PC 端新增惡 意 程序樣本 億個(gè) ， 同比 20xx 年 （ 億 個(gè)） 下 降 %， 平 均每天 截 獲新增 惡 意 程 序樣本 萬 個(gè)。從 攔 截量看 ， 20xx 年攔截惡 意 程序攻擊 億 次 ，同比 20xx 年（ 億次）下降 %，平均 每 天為用 戶攔截惡 意 程序攻 擊 約 億 次，具 體 見下圖。 （二） PC 端惡意程序發(fā) 展 趨勢(shì) 1） 敲詐者病 毒 興起 ， 2017 年預(yù) 計(jì) 增長(zhǎng) 10 倍 360 互聯(lián)網(wǎng)安 全 中心的 監(jiān) 測(cè)顯示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒變種 113 種， 涉及樣本 萬個(gè) ， 全國(guó)至 少 有 497 多 萬臺(tái)用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 根據(jù)監(jiān)測(cè) 顯 示 ， 20xx 年上 、 下 半年共 發(fā) 生過兩 次 大 規(guī) 模的敲詐 者 病毒攻 擊 ， 一次 發(fā) 生 在 4 月底至 5 月 初 ， 是由 于 國(guó)外一 批 色情 網(wǎng) 站被黑 客 掛馬所 致 ， 另一 次 發(fā)生在 9 月底至 10 月初，是 由 于國(guó)內(nèi) 某 個(gè)大型 金 融服務(wù) 平 臺(tái)網(wǎng)站 被 黑 客 掛馬所 致 。 但是， 上 半年攻 擊 高峰時(shí) 一天之內(nèi) 被 攻擊的 電 腦最多 可 達(dá)到 4644 臺(tái) ， 下 半 年 攻 擊高峰時(shí) 單 日攔截 敲 詐者病 毒 超過 2 萬余次的 情 況。詳 細(xì) 情況請(qǐng) 見 下一節(jié) 敲 詐者專 題 內(nèi) 容 。 根據(jù) IBM Security 的一項(xiàng)研究表 明 ， 20xx 年帶有 勒索 軟件的垃 圾 郵件數(shù) 量 同比增 長(zhǎng) 了 6000%， 近 40%的垃 圾 信息中 都 帶有勒 索 軟件。 可見 勒索軟件 在 全球范 圍 內(nèi)近乎 瘋 狂的傳 播與增長(zhǎng) ， 預(yù)計(jì) 2017 年增長(zhǎng) 10 倍。 2） 網(wǎng)頁(yè)掛馬 爆 發(fā)增長(zhǎng) 20xx 年以 來 ， 針 對(duì) 國(guó)內(nèi)用 戶 的掛馬 攻 擊的事 件 呈現(xiàn) 持 續(xù)大幅下 降 的趨 勢(shì) ， 到 20xx20xx 年時(shí)，掛 馬 攻擊在 國(guó) 內(nèi)已經(jīng) 幾 乎絕跡 。 這主要 得 益 于 國(guó)內(nèi)安全 瀏 覽器的 普 及和第 三 方打補(bǔ) 丁工具的 普 及 。 但 20xx 年 以 來 ， 網(wǎng) 頁(yè)掛馬 攻 擊在國(guó) 內(nèi) 又開始重 新 流行 ， 黑客針 對(duì) 網(wǎng)站的掛 3 馬活動(dòng)重 新 活躍了 起 來，并 呈 現(xiàn)一定 程 度爆發(fā) 趨 勢(shì) 。 例如運(yùn)營(yíng) 商 被掛馬 ， 導(dǎo)致英 雄 聯(lián)盟、 Live 等用戶中了流氓推廣 ， 被安裝 大 量軟件 到本 地。 監(jiān)測(cè)顯示 ， 誘發(fā)掛 馬 攻擊在 國(guó) 內(nèi)死灰 復(fù) 燃的主 要 原 因 有以下幾 個(gè) 方面： Team 大量攻擊代碼泄漏； 漏洞增多，修 復(fù) 周期較 長(zhǎng) ； 毒 的流 行 間接推 動(dòng) 了掛馬 產(chǎn) 業(yè)發(fā)展。 二、 PC 端的敲 詐 者病毒 敲詐者病 毒 是一類 特 殊形態(tài) 的 木馬， 它 們通過 給 用 戶 電腦或手 機(jī) 中的系 統(tǒng) 、屏幕 或 文 件加密的 方 式，向 目 標(biāo)用戶 進(jìn) 行敲詐 勒 索 。 敲 詐 者 病 毒已有十 多 年的歷 史 ，之前 的 敲詐方 式是加密 或 隱藏文 件 后要求 轉(zhuǎn) 賬或者 購(gòu) 買指定 商 品 ， 傳播量和 影 響力并 不 高。 目前 ， 流行的 比 特幣敲 詐 者病毒 ， 在 20xx 年 時(shí) 已經(jīng) 開 始在國(guó)外 流 行了 ， 到 20xx 年開 始大 量 流 入 國(guó) 內(nèi) 。 在 國(guó)內(nèi) 大 量 傳 播 的 主 流 敲 詐者 家 族 有 TeslaCrypt、 Locky、 Cerber、 CryptXXX、 XTBL 等多個(gè)家族 ， 每 個(gè)家族 在 傳播對(duì) 抗 過程中又 產(chǎn) 生多個(gè) 分 支版 本 。 目前捕 獲的敲詐 者 病毒和 敲 詐者病 毒 變種超過 200 個(gè) 版 本 ， 傳播量和 影 響力都 非 常大。 下面章節(jié) ， 我們?yōu)?您 呈現(xiàn)對(duì) 敲 詐者病 毒 研究的 主 要 內(nèi) 容 ， 完整 版 請(qǐng)參見 360 互聯(lián) 網(wǎng) 安 全中心發(fā) 布 的《 20xx 敲詐者 病 毒威脅 形 勢(shì)分析 報(bào) 告 （ 年報(bào) ）》 ， 下 載鏈接： （一） 敲詐者病 毒 的大規(guī) 模 攻擊 1） 敲詐者病 毒 的攻擊量 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測(cè) 顯 示 ， 20xx 年共截 獲 電 腦 端新增敲 詐 者病毒 變 種 113 種， 涉及樣本 萬個(gè) ， 全國(guó)至 少 有 497 多 萬臺(tái)用 戶 電 腦 遭到了敲 詐 者病毒 攻 擊 。 根據(jù)監(jiān)測(cè) 顯 示 ， 20xx 年 上 、 下 半 年共發(fā) 生 過兩次 大規(guī) 模的敲詐 者 病毒攻擊 ， 一次發(fā)生 在 4 月底至 5 月 初 ， 另一 次 發(fā)生在 9 月底至 10 月初 。 但是 ， 上 半年攻 擊 高峰時(shí) 一 天之內(nèi)被 攻擊的電 腦 最多可 達(dá) 到 4644 臺(tái) ， 下半年 攻 擊高峰 時(shí)單 日攔截敲 詐 者病毒 超 過 2 萬 余 次的情 況。下面 兩 張圖分 別 給出了 20xx 年 4 月 至 5 月 ， 8 月 至 11 月期間 ， 敲詐者 病 毒攻擊 的 態(tài) 勢(shì)分析圖 形 。 4 20xx 年上 半 年發(fā)生 的 大規(guī)模 攻 擊，主 要 是因?yàn)?國(guó) 外 某 些色情網(wǎng) 站 被黑客 掛 馬攻擊所 致，而下 半 年發(fā)生 的 大規(guī)模 敲 詐者病 毒 攻擊， 主 要 是 因 為 國(guó)內(nèi) 某 大型金 融 服務(wù)平 臺(tái) 網(wǎng)站被 黑客掛馬 攻 擊所致 。 掛馬攻 擊 是指攻 擊 者在網(wǎng) 頁(yè) 中 嵌 入惡意代 碼 ，當(dāng)用 戶 訪問該 網(wǎng) 頁(yè)時(shí)， 嵌入的惡 意 代碼利 用 瀏覽器 本 身的漏 洞 ，在用 戶 不 知 情的情況 下 下載并 執(zhí) 行 惡 意 木 馬。 360 互聯(lián)網(wǎng) 安 全中 心 的監(jiān)測(cè) 顯 示 ， 20xx 年以 來 ， 掛馬 攻 擊主要是 利 用了 IE 漏洞和 Flash 漏洞 ， 其中 ， IE 漏洞占 比 為 %， Flash 漏洞占 比 為 %。 被 利 用最多 的 四個(gè)漏 洞 分別 是 CVE20xx6332（ IE 漏洞 ） 、 CVE20xx0189（ IE 漏洞 ） 、 CVE20xx5122（ Flash 漏洞 ） 、 CVE20xx5119（ Flash 漏洞 ） 。 5 2） 敲詐者病 毒 的家族 360 互聯(lián)網(wǎng) 安 全中 心 監(jiān)測(cè)顯 示 ， Cerber、 Locky、 XTBL 是目前最主流的 三 大敲詐 者 病 毒家族。 其 中， Cerber 占 比 為 %， Locky 占比為 %， XTBL 占比為 %。 3） 敲詐者病 毒 的傳播 方 式 360 互聯(lián)網(wǎng) 安 全中 心 監(jiān)測(cè)顯 示 ，近期 的 敲詐者 病 毒 主 要采用以 下 三種傳 播 方式： 1. 網(wǎng)頁(yè)掛馬 傳 播 利用瀏覽 器 或 Flash 等應(yīng)用程序 漏 洞， 在 網(wǎng)頁(yè)內(nèi) 嵌入 惡意腳本 。 一旦用 戶 使用未 打 補(bǔ) 丁的程序 訪 問網(wǎng) 站 ， 便會(huì) 觸 發(fā)惡意 腳 本 。 腳 本會(huì)自 動(dòng) 執(zhí) 行 敲詐 者 病毒 ， 進(jìn)而加 密 用戶文件。 這類敲詐 者 病毒屬 于 撒網(wǎng)抓 魚 式的傳 播 ，并沒 有 特 定 的針對(duì)性 ， 一般中 招 的受害 者 多數(shù)為 裸奔用戶 ， 未安裝 任 何殺毒 軟 件。 2. 郵件附件 傳 播 通過偽裝 成 產(chǎn)品訂 單 詳情或 圖 紙等重 要 文檔類 的 釣 魚 郵件 ， 在附件 中 夾帶含 有 惡意代 6 碼的腳本 文 件。一 旦 用戶打 開 郵件附 件 ，便會(huì) 執(zhí) 行 里 面的腳本 ， 釋 放 敲 詐 者病毒 。 這類傳 播方式的 針 對(duì)性較 強(qiáng) ，主要 瞄 準(zhǔn)公司 企 業(yè) 、各 類 單 位 和院校， 他 們最大 的 特點(diǎn)是 電 腦中的 文檔往往 不 是個(gè)人 文 檔，而 是 公司文 檔 。 3. 服務(wù)器入 侵 傳播 最近以 XTBL 家族為代表的 敲 詐者 病 毒主要 采 用此 類 攻擊方式 。 黑 客通過 弱 口令 、 服 務(wù)器漏洞 等 方式攻 擊 服務(wù)器 ， 并嘗試 以 高權(quán)限 登 錄 。 一旦登錄 成 功，黑 客 就可以 在 服務(wù)器 上為所欲 為 ，例如 ： 卸載服 務(wù) 器上的 安 全軟件 并 手 動(dòng) 運(yùn) 行 敲詐 者 病毒。 最 后，黑 客 會(huì)留下 支付贖金 的 方式， 進(jìn) 而實(shí)施 敲 詐勒索 。 這類傳 播 途 徑 針對(duì)的情 況 與郵件 傳 播類似 ， 最終目 的都是給 公 司業(yè)務(wù) 的 運(yùn)轉(zhuǎn)制 造 破壞， 迫 使公司 為 了 止 損而不得 不 交付贖 金 。 4） 敲詐者病 毒 的攻擊 對(duì) 象 360 互聯(lián)網(wǎng) 安 全中心 的 監(jiān)測(cè)顯 示 ， 在 敲 詐 者病毒 攻擊 的國(guó)內(nèi)目 標(biāo) 人群中，有 %為 企業(yè)用戶 ， 而另外 %為 個(gè)人用 戶 。 相比于個(gè) 人 用戶， 企 業(yè)用戶 的 攻擊價(jià) 值 往往要 高 得 多 ，因?yàn)槠?業(yè) 用戶電 腦 中所存 儲(chǔ) 的 數(shù)據(jù)往往 更 具機(jī)密 性 和不可 復(fù) 制 性 ； 個(gè) 人用戶 在 上 網(wǎng) 安全意識(shí) 和 防護(hù)技 術(shù) 水平等 方 面都比 較欠缺， 因 此也更 容 易被攻 擊 并中招。 5） 敲詐者病 毒 的服務(wù) 器 分布 敲詐者病 毒 通常會(huì) 使 用 Camp。C 服務(wù)器 ， 用于向 木 馬 發(fā) 布加密公 鑰 或記錄 感 染者信 息 。 統(tǒng)計(jì)顯示 ， 僅自 20xx 年 1 月敲 詐 者病毒 開 始大規(guī) 模爆 發(fā)至 20xx 年 11 月底 ， 360 互 聯(lián)網(wǎng)安 全中心已 經(jīng) 累計(jì)監(jiān) 測(cè) 到各 類 敲 詐者病毒 Camp。C 服 務(wù)器 14775 個(gè)。 針對(duì)最為 活 躍的部 分 敲詐者 病 毒的 Camp。C 服務(wù)器 域名 進(jìn)行了分 析 ，結(jié)果 顯 示 ： 域 名被使用 的 最多， 超 過了總 量 的一半 ， 為 %， 和 占比分別為 %和 %。此 外，具有 明 顯國(guó)家 歸 屬的域 名 ，如 uk（英國(guó) ） 、 ru（ 俄羅斯 ） 、 au（澳大利 亞 ）等 ， 也占到 了總量的 %左 右 ， 其中 ， 屬于歐 洲 國(guó)家 的 域名 最 多 ， 占 %， 其 次 是亞洲 國(guó) 家 %， 南美洲國(guó)家 %， 大洋 洲 國(guó)家 %，北 美 洲國(guó)家 %，非 洲 國(guó)家 %。 7 （二） 受害者感 染 途徑和 文 件類型 截至 20xx 年 11 月 30 日 ， 360 反 勒索服 務(wù) 共接到了 1000 余位遭 遇 敲詐者 病 毒攻擊 的 受 害者求助 。 目前絕 大 多數(shù) （ %） 求助用 戶 并不 是 在安裝了 360 安 全衛(wèi)士 ， 并開啟 了 反 勒索服務(wù) 的 情況下 感 染的敲 詐 者病毒 。 特別值 得 注 意 的是，還 有 相當(dāng)數(shù) 量 的受害 者 在感染 敲詐者病 毒 時(shí)，電 腦 上沒有 安 裝任何 安 全軟件。 為了更好的了解敲詐者病毒的感染原因及受害者特 點(diǎn) ，以幫助更多的用戶提高安全意 識(shí) ， 免遭敲 詐 者病毒 侵 害 ， 本 次 報(bào) 告特別 對(duì) 這 1000 余 位求助的 受 害者進(jìn) 行 了抽樣 調(diào) 研分析。 1） 受害者的 基 本屬性 根據(jù)調(diào)研 數(shù) 據(jù)顯示 ， 男性是 最 容易受 到 敲詐者 病 毒 攻 擊的對(duì)象 ，占比高達(dá) %，而 女性占比 僅 為 %。 同 時(shí) 調(diào)查還 顯 示 ， 男 性受害 者感 染敲詐者 病 毒的主 要 原因 是 通 過瀏覽 陌生網(wǎng)頁(yè)。 在 360 互 聯(lián) 網(wǎng)安全 中 心接到 的 受害者 主 動(dòng)尋求 幫 助 的 人群中 ， %為 企 業(yè)用戶 ， % 為個(gè)人用 戶 。這與 我 們前面 分 析的敲 詐 者病毒 攻 擊 對(duì) 象的構(gòu)成 形 成了鮮 明 的對(duì)比 。 在前面 8 的分析中 我 們看到 ， 在敲詐 者 病毒的 攻 擊對(duì)象 中 ， 僅 %為 企業(yè)用 戶 ， %為普 通 個(gè)人 用戶。 企業(yè)用戶 電 腦中毒 以 后， 由 于被 加 密的多 是 相對(duì)更 加 重要的公 司 辦公和 業(yè) 務(wù)文 件 ，因 此，企業(yè) 用 戶往往 會(huì) 更加積 極 尋求解 決 辦法， 特 別 是 更加積極 向 專業(yè)安 全 廠商尋 求 幫助。 2） 敲詐者病 毒 的感染 途 徑 從求助的 受 害者感 染 敲詐者 病 毒的途 徑 可以看 出 ， %的受 害 者不知 道 自己 是 如何感 染的敲詐 者 病毒 ， 可見該 病 毒在感 染 、 執(zhí) 行 過程中 具 有極強(qiáng)的 隱 蔽性 ， 讓受害 者 難以察覺。 %的受害 者 是在瀏覽陌生網(wǎng) 頁(yè) 時(shí)感染病毒 ， %的受害者是下載 軟 件時(shí)感染病 毒 ， %的 受 害者是 主 動(dòng)點(diǎn)擊 查 看了陌 生 郵件 的 附件感 染 病毒 ， %的受害 者 是通過 U 盤 傳播 感染病毒 ， %的 受 害者是 開 啟 3389 端 口 （ Windows 系統(tǒng)自帶 的 遠(yuǎn)程控