深度調查「比特幣敲詐者」背後藏大型僵屍網絡

背景

今年一月份首次現身中國的「比特幣敲詐者」病毒現在呈指數級爆發，騰訊反病毒實驗室日前發現，該病毒瘋狂變種，僅 5 月 7 日當天新變種數就已達 13 萬，不只敲詐勒索用戶，甚至還能盜取我的隱私。騰訊反病毒實驗室分析，從攻擊源來看，這是由黑客控制的僵屍網絡以網絡郵件爲傳播載體發起的一場風暴。

（「比特幣敲詐者」 呈指數級爆發）

比特幣是一種新興的網絡虛擬貨幣，因可兌換成大多數國家的貨幣而在全世界廣受追捧。與此同時，一種名爲「CTB-Locker」的「比特幣敲詐者」病毒也肆虐全球，其經過遠程加密用戶電腦內的文檔、圖片等文件，向用戶勒索贖金，不然這些加密的文檔將在指定時間永久銷燬。目前，騰訊電腦管家均能精準識別，並完美查殺，保障用戶電腦安全。

僵屍網絡助「比特幣敲詐者」愈發猖狂

根據騰訊反病毒實驗室監測，「比特幣敲詐者」的攻擊源大部分來自美國，其次是法國、土耳其等。從 IP 來看，這些攻擊源來自一個黑客控制的僵屍網絡，黑客利用這個僵屍網絡發起郵件風暴。郵件內容大可能是接收發票之類，誘導用戶去點擊下載附件。

（「比特幣敲詐者」攻擊源分佈）

所謂僵屍網絡 （Botnet） 是指採用一種或多種傳播手段，將大量主機感染 bot 程序（殭屍程序）病毒，從而在控制者和被感染主機之間所造成的一個可一對多控制的網絡。攻擊者經過各類途徑傳播殭屍程序感染互聯網上的大量主機，而被感染的主機將經過一個控制信道接收攻擊者的指令，組成一個僵屍網絡。

據瞭解，之因此用僵屍網絡這個名字，是爲了更形象地讓人們認識到這類危害的特色：衆多的計算機在不知不覺中如同中國古老傳說中的殭屍羣同樣被人驅趕和指揮着，成爲被人利用的一種工具。

（僵屍網絡助「比特幣敲詐者」愈發猖狂）

「比特幣敲詐者」向全球發起攻擊，中國是其中目標之一，騰訊反病毒實驗室監測，國內四川省，廣東省，北京市是重災區，佔總比一半以上。並且受害目標大致都是企業，因此「比特幣敲詐者」不只是針對「高端」用戶，並且針對企業單位的員工，由於企業員工的文檔更具商業價值，會迫使交贖金。

（「比特幣敲詐者」受害地區分佈）

國家互聯網應急中心監測的最新數據顯示，僅 2014 年上半年，中國境內就有 625 萬餘臺主機被黑客用做木馬或僵屍網絡受控端，1.5 萬個網站連接被用於傳播惡意代碼，2.5 萬餘個網站被植入後門程序，捕獲移動互聯網惡意程序 3.6 萬餘個，新出現信息系統高危漏洞 1243 個。

騰訊反病毒實驗室安全專家表示，僵屍網絡構成了一個攻擊平臺，利用這個平臺能夠有效地發起各類各樣的攻擊行爲，能夠致使整個基礎信息網絡或者重要應用系統癱瘓，也能夠致使大量機密或我的隱私泄漏，還能夠用來從事網絡欺詐等其餘違法犯罪活動。不管是對整個網絡仍是對用戶自身，都形成了比較嚴重的危害。「比特幣敲詐者」即是利用僵屍網絡發起郵件風暴，進行各類各樣的攻擊。

「比特幣敲詐者」瘋狂變種 可竊取隱私

據瞭解，「比特幣敲詐者」病毒敲詐過程具備高隱蔽性、高技術犯罪、敲詐金額高、攻擊高端人士、中招危害高的「五高」特色。用戶一旦中招，病毒將瀏覽全部文檔（後綴爲.txt、.doc、.zip 等文件）和圖片（後綴爲.jpg、.png 等文件），並將這些文件進行加密讓用戶沒法打開，用戶必須支付必定數量的「比特幣」當作贖金才能夠還原文件內容。

（用戶必須支付贖金纔可解鎖文件）

騰訊反病毒實驗室的監測數據顯示，從今年 4 月開始，「比特幣敲詐者」疫情最爲嚴重，爲了持久有效的攻擊，躲避靜態特徵碼的查殺，病毒也在不斷地演變，圖標多選用文檔圖標（如 doc,pdf 等），而自身的殼不斷地變形變異。其中，5 月 7 日新變種達到最高值，單天就高達 13 萬個！

（「比特幣敲詐者」變異趨勢）

同時從數據變化規律來看，在週末「比特幣敲詐者」攻擊大幅度降低，幾乎掉零，而到了工做日，攻擊瘋狂上飆，數據的波動有規律，能夠猜想出這是一個有組織有規模的攻擊，黑客上班時間與咱們白領相同，週一到週五上班，週六週日下班。

騰訊反病毒實驗室安全專家表示，近期發現的「比特幣敲詐者」病毒不只敲詐用戶，並且還新增了盜號的特性，會默默蒐集用戶電腦裏的密碼配置文件，如：電子郵箱、聊天工具、網銀賬號、比特幣錢包等等的密碼，威脅用戶財產安全。目前，騰訊安全團隊已第一時間對該病毒進行了深刻分析，並可完美查殺此類病毒以及全部變種。

贖回文件需數千元 安全專家支招防範技巧

據路透社報道，「比特幣敲詐者」病毒出自俄羅斯的一名黑客，名字叫艾維蓋尼耶·米哈伊洛維奇·波格契夫(Evgeniy Mikhailovich Bogachev)，曾憑藉這類勒索木馬病毒令 12 個國家超過一百萬計算機感染，經濟損失超過 1 億美圓。美國聯邦調查局（FBI）官網顯示，波格契夫在 FBI 通緝十大黑客名單中排名第二，是某網絡犯罪團體的頭目。FBI 懸賞 300 萬美圓通緝波格契夫，這也是美國在打擊網絡犯罪案件中所提供的最高懸賞金。

專家強調，正由於危害較大，FBI 纔會懸賞如此高的獎金緝拿病毒做者。用戶一旦中招，意味着電子版的合同，多年老照片，剛剛寫好的企劃案，剛剛作成的設計圖，通通在病毒的加密下沒法打開。病毒製造者主要利用用戶急切恢復文件的心理實施敲詐，成功率極高。據悉，比特幣近期雖然行情低迷，但單個成交價也在 1391 元人民幣左右（4 月 20 日更新數據），因此，雖然是幾個比特幣的勒索，對於用戶來講也不是小數目。

（電腦管家攔殺提示）

專家提醒，不要輕易下載來路不明的文件，尤爲是後綴爲.exe，.scr 的可執行性文件，不要僅憑圖標判斷文件的安全性，安裝騰訊電腦管家可有效識別文件安全性，並可實時保障電腦安全。另外，平時養成備份習慣，將一些重要文件備份到移動硬盤、網盤，一旦被木馬感染，也可及時補救。

本文轉載自騰訊雲，已得到做者受權。