“你的文件已被鎖定，在XX時間內(nèi)將錢打進(jìn)指定賬號，否則我們將銷毀所有文件”，近兩年，隨著敲詐者木馬的大規(guī)模爆發(fā)，這樣的字眼并不只存在電影中，且已給眾多個人、企業(yè)的電腦、財產(chǎn)安全造成嚴(yán)重?fù)p失。據(jù)安全公司統(tǒng)計，敲詐者木馬在所有惡意軟件中的占比，從2015年的第三位上升到了2016年的首位，形勢十分嚴(yán)峻。近期，騰訊安全聯(lián)合實驗室聯(lián)合騰訊視頻推出的安全推理系列劇第五集《燒腦24小時之隱形的敲詐者》上線，以剖析真實案例的方式將安全廠商與敲詐者木馬作者的對抗過程還原在觀眾面前。而如何防御敲詐者木馬，已成為個人和企業(yè)面臨的重要課題。

　　Petya敲詐者木馬最新變種來襲 中招網(wǎng)民被迫交贖金恢復(fù)數(shù)據(jù)

　　據(jù)騰訊安全反病毒實驗室專家介紹，敲詐者木馬簡單來說就是木馬界的“綁匪”，通過加密受害者電腦上的文件，索取贖金。而最早的敲詐者木馬可以追溯到1989年的“PC Cyborg”，但隨著加密算法的完善，當(dāng)前的敲詐者木馬已與之前大相徑庭，主要以高強度密碼學(xué)算法加密受害者電腦上的文件，因此在部分場合也被稱為密鎖類木馬。

　　2013年，一個名為“CryptoLocker”木馬被曝入侵了超過25萬臺電腦，成為較早引起人們關(guān)注的敲詐者木馬之一。而在國內(nèi)最早產(chǎn)生反響的要數(shù)“CTB-Locker”敲詐者木馬，該木馬主要通過郵件附件傳播，2015年隨一部分郵件流入國內(nèi)，導(dǎo)致一批受害者被敲詐，在國際上甚至引發(fā)美國FBI關(guān)注。不僅如此，目前安全界內(nèi)已先后發(fā)現(xiàn)曾敲詐某組織數(shù)萬美金的“Locky”、首款使用簡體中文的“Shujin”、首款加密磁盤引導(dǎo)扇區(qū)的“Petya”以及已更新至第五代的“Cerber”等超過180種敲詐者木馬。

(CTB-Locker木馬敲詐界面)

　　而隨著智能手機的全民化普及，針對Android操作系統(tǒng)的敲詐者木馬在近幾年也有愈演愈烈的趨勢。與加密用戶電腦文件不同的是，手機側(cè)的敲詐者木馬主要通過鎖定受害者手機屏幕，使受害者無法正常使用手機，借機進(jìn)行敲詐。

　　更為嚴(yán)重的是，不法分子還會對敲詐者木馬進(jìn)行“版本升級”，生成變種。12月初，騰訊安全反病毒實驗室就捕獲到修改磁盤引導(dǎo)扇區(qū)的Petya敲詐者木馬最新變種。事實上，早在今年4月份，該敲詐者木馬就曾大規(guī)模爆發(fā)，致使不少網(wǎng)民中招并被迫交贖金恢復(fù)數(shù)據(jù)。而針對Petya敲詐者木馬此次 “變裝”重來，騰訊電腦管家已可全面識別查殺。

　　算法加密 敲詐者木馬破解成難題

　　事實上，敲詐者木馬近兩年能持續(xù)地爆發(fā)，很大程度上與加密算法的日益完善有關(guān)。一個成熟的加密算法，可以做到在算法完全公開的前提下，僅需要安全保存密鑰，便可以使加密后的密文無法被惡意破解，這就是“柯克霍夫原則(Kerckhoffs’s principle )”。而不法分子也利用了這個特性，使得我們雖然知道了木馬的算法，但由于不知道作者使用的密鑰，也就沒有辦法恢復(fù)被惡意加密的文件。

　　不法分子用成熟的、高強度的加密算法，對受害者電腦上的文件進(jìn)行加密操作后，刪除原文件。當(dāng)圖片、文檔等資料文件都變得不可用，就有可能給受害者帶來不可估量的損失。最為致命的是，如果不法分子加密算法使用得當(dāng)?shù)脑?，被加密的文件是無法在沒有密鑰的情況下恢復(fù)的。但各類敲詐者木馬在具體的運作中，也可能遺留了一些漏洞，如果發(fā)現(xiàn)了此類漏洞，就有可能使用一些較低的代價恢復(fù)文件。  

　　正如《燒腦24小時之隱形的敲詐者》劇集中表現(xiàn)的那樣，騰訊安全反病毒實驗室負(fù)責(zé)人馬勁松發(fā)現(xiàn)勒索某貴金屬公司的木馬漏洞，并利用該漏洞助力該公司化解此次危機。而普通的企業(yè)一旦不慎中招敲詐者木馬，如果沒有安全專家的介入，只能任憑不法分子擺布。

　　事前構(gòu)筑反“敲詐”防御 成行業(yè)共識

　　當(dāng)前，較為復(fù)雜的敲詐者木馬一旦感染網(wǎng)民電腦，很難通過其他技術(shù)手段恢復(fù)系統(tǒng)文件。在行業(yè)看來，敲詐者木馬的治理，事前預(yù)防遠(yuǎn)比事后補救來得重要。而世界上安全廠商近兩年來也在加大對敲詐者木馬及其變種的攔截、查殺力度。Fortinet、英特爾、Palo Alto Networks等世界安全廠商聯(lián)合成立網(wǎng)絡(luò)威脅聯(lián)盟(CTA)，采用共享威脅情報的方式追蹤和分析惡意軟件。

　　而國內(nèi)的安全廠商也緊鑼密鼓地構(gòu)建安全防御?！稛X24小時之隱形的敲詐者》中扮演“拯救者”的騰訊安全反病毒實驗室，一直以來致力于反木馬攔截和病毒修復(fù)，構(gòu)建云主防實時處理機制和運營體系，每天為超100萬個用戶解除安全威脅，單日攔截木馬次數(shù)高達(dá)2000萬次。除此之外，騰訊安全反病毒實驗室自主研發(fā)的中國首個自主研發(fā)反病毒引擎TAV，成為騰訊電腦管家和騰訊手機管家連續(xù)獲得AV-C、AV-Test、VB100等國際權(quán)威評測中認(rèn)可的重要依托。

　　騰訊安全反病毒實驗室負(fù)責(zé)人馬勁松表示，敲詐者木馬的作案方式相較于電信網(wǎng)絡(luò)詐騙，在時間、人力以及手段上大大縮減成本。不法分子只需通過誘導(dǎo)網(wǎng)民點擊感染了敲詐者木馬的鏈接、文件、郵件即可完成作案。網(wǎng)民需要養(yǎng)成良好的上網(wǎng)習(xí)慣，不隨意打開不明來源的附件或鏈接，也不要隨意下載運行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機應(yīng)用。如果遇到安全性不確定的文件，也可以上傳到哈勃分析系統(tǒng)(https://habo.qq.com/)檢查是否安全。日常生活中，建議使用騰訊電腦管家、騰訊手機管家等安全類產(chǎn)品，實時保護(hù)電腦和手機的安全。