敲诈者病毒简介：

已知最早的敲诈者病毒出现于1989年，名为“艾滋病信息木马”(Trojan/DOS.AidsInfo)，最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起，敲诈者病毒的传播、劫持和敲诈方式也发生了很大的变化。

如今敲诈者病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储，那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。

新一轮敲诈者病毒从2014年底开始蔓延，来自国外安全机构的报告显示，2015 年第三季度被勒索软件攻击的人数已经高达 500 万，是 2014 年同期的两倍;2015年第四季度，全球敲诈者病毒数量较上一季度增加了26%，发现有600万敲诈者病毒尝试安装。进入2016年敲诈者病毒开始大面积爆发，而且由于有利可图，敲诈者病毒攻击已从面向个人的攻击快速转向了医院、政府机构、企事业单位等各行业的IT基础设施，勒索软件会对公司业务造成严重的危害，导致核心数据出现丢失。

2016年1月，三家印度银行和一家印度制药公司的计算机系统感染了敲诈者病毒，每台被感染的电脑索要1BTC赎金。攻击者渗透到计算机网络，然后利用未保护的远程桌面端口感染网络中的其它计算机。因为被感染的计算机很多，被勒索的印度公司面临数百万美元的损失。

2016年2月5日，美国好莱坞长老教会纪念医学中心的电脑系统在遭受为期一星期的敲诈者病毒攻击后，该中心宣布决定支付给黑客40枚比特币(约17000美元)来修复这一问题。随后加拿大渥太华的一家医院和安大略省的一家医院也被敲诈者病毒攻击。

2016年2月，美国南卡罗来纳州霍里县多所学校的电脑和服务器遭遇敲诈者病毒攻击，黑客控制了当地学校系统的网络和服务器，最终不得不支付价值8500美元的20个比特币给匿名黑客，以便让受到勒索影响的电脑、服务器和网络恢复正常。

2016年2月至3月5日，中国香港地区电脑保安事故协调中心共接获41宗有关敲诈者病毒的报告，电脑受感染后文件会遭加密无法打开，黑客敲诈“比特币”以换取解密钥匙，受害者多是中小企及非牟利机构。

勒索软件表现形式：

1、通过设置电脑开机密码、登录密码等对电脑锁屏，影响用户系统的正常使用：比如WinLocker、PC Cyborg、敲竹杠木马等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用，这种类型的勒索软件相对危害较小。

2、通过威胁恐吓用户，实施敲诈：比如FakeAV敲诈者病毒会伪装成反病毒软件，欺骗在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。而Reveton敲诈者病毒会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。2015年，一位名叫约瑟夫·爱德华兹的17岁中学生因电脑感染了Reveton被敲诈而自杀。

3、加密用户用户文件和数据，要求支付赎金：最典型的是CTB-Locker家族，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。近期流行的CryptoLocker、VirLock、Locky等敲诈者病毒也都是这个类型。由于病毒对文档采用RSA等高强度非对称加密，一旦中招就无法恢复，除非给黑客交赎金购买解密密钥。

4、篡改磁盘MBR，制造计算机蓝屏重启，之后加密电脑整个磁盘敲诈赎金：最近被发现的Petya敲诈者病毒会感染电脑系统，覆盖整个硬盘的MBR，使Windows崩溃并显示蓝屏，而当用户重启计算机时，已修改的MBR会阻止Windows的正常加载，加密整个磁盘，之后显示一个ASCII骷髅图像，提示支付一定数量的比特币，否则将失去文件和计算机的访问权限。Petya感染的电脑有明显的中招症状，而且因为修改MBR，任何具有主动防御功能的安全软件都会报警，所以容易防御。

勒索软件传播方式：

1、网络钓鱼和垃圾邮件：网络罪犯通过伪造邮箱的方式向目标发送邮件，这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。

2、坑式攻击：网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中，一旦访问了这些网站，恶意程序会利用设备上的漏洞对其进行感染。

3、捆绑传播发布：借助其他恶意软件传播渠道，与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播，比如最近发现的首个针对苹果电脑的敲诈者病毒KeRanger就是通过Transmission下载网站捆绑在一些正常的软件传播。

4、借助移动存储传播：借助U盘、移动硬盘、闪存卡等可移动存储介质传播。

勒索软件防范措施：

从最近几年国内流行的敲诈者病毒的传播过程看，360安全卫士、天擎等安全软件对各类敲诈者病毒及其最新变种一直都能够进行防护和查杀，用户需要开启杀毒功能，并及时更新，确保企业免受敲诈者病毒侵害。同时用户需要养成正确的电脑使用习惯和采取相应的安全防护措施，从而远离敲诈者病毒攻击。

企业用户五大防护措施：

1、不要轻易打开陌生人的邮件，特别是主题和附件包含Payment、Invoice字样的邮件;

2、可以逐步部署云桌面，实现集中维护，彻底避免此类攻击;

3、开启安全软件的实时防护功能和云安全查杀功能，并及时升级特征库;

4、开启天擎针对敲诈者病毒开发的文档保护功能，主动阻止恶意加密文档和图片的行为;

5、在天擎终端安全管理系统上开启云QVM引擎能有效增强终端对敲诈者病毒的拦截和查杀。

6、360天擎推出了敲诈先赔服务。对于所有360天擎政企用户，360企业安全承诺，如果用户在开启了360天擎敲诈先赔功能后，仍感染了敲诈者病毒，360企业安全将负责赔付赎金，为政企用户提供百万先赔保障。

个人用户的九项注意：

1、定期备份重要文件，最好能在U盘、本地、云盘都拷贝一份，以防不测;

2、操作系统和IE、Flash等常用软件应及时打好补丁，以免病毒利用漏洞自动入侵电脑;

3、不要随意公开邮箱地址，邮箱密码不要使用弱密码，尽量定期修改;

4、切勿轻易打开陌生人发来的可疑文件及邮件附件;

5、切勿轻易打开来源不可靠的网址;

6、禁止Office宏功能，需要开启宏时，需要确认文件来源是否可信;

7、不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入电脑;

8、电脑中应安装并启用专业的安全软件，及时更新并定期进行安全扫描。