敲诈者木马编年史分析

 最近,locky勒索木马的大规模爆发再次引起了大家对敲诈者木马的关注。包括国家计算机病毒应急处理中心在内的国家机构也都发布了相应的计算机病毒疫情通报。

早在2013年,此类敲诈者木马便引起了360安全响应中心的关注,并发布了一系列的通告、解决方案以及分析报告。以下依时间顺序列举出一些在重要时间节点上360发布的相关通告和技术分析:

1、2013年10月10日,360安全响应中心监控到一类通过篡改Windows系统登录密码敲诈用户的木马在国内迅速升温,第一时间作出安全响应处理,并发布了通告:《“敲竹杠”木马来袭!360国内独家防御》,提醒大家对此类木马保持警惕。

2、2013年11月22日,360安全响应中心发文宣布推出敲竹杠木马解锁服务:《电脑开机密码被木马篡改?现在有救了!》,为受害用户提供无偿的解锁服务。

3、2014年6月6日,国外安全厂商发现一款基于移动设备的锁屏敲诈软件Simplocker,360移动安全部门第一时间做出安全响应,并对此病毒给出了分析报告:《Simplocker分析报告》,向国内用户介绍此类病毒的技术原理。

4、2015年1月20日,在美日等国流传并且造成很大危害的CTB-Locker木马首次传入中国,360第一时间发出通告《CTB-Locker敲诈者病毒传入中国,360全面查杀》,对该木马的传播方法和危害做了简明介绍。

5、2015年1月21日,仅一天之后,360QVM团队便对CTB-Locker病毒进行了详尽分析:《首次现身中国的CTB-Locker“比特币敲诈者”病毒分析》。

6、2015年1月23日,与CTB-Locker同类型的敲诈者木马VirLock同步传入中国,360杀毒部门对此给出了说明和通报《又一个敲诈者病毒VirLock来了!》。

7、2015年1月30日,经过360QVM团队的分析研究,发现被VirLock木马感染的文件可以通过技术手段恢复,遂发布分析报告《360全球唯一可成功修复还原VirLock变种感染文件》,与国内外其他安全厂商分享技术细节,推动对此木马的修复工作,最大限度的降低受害者损失。

8、2015年5月19日,国内木马作者基于Simplocker木马思路衍生出的手机锁屏勒索木马被360移动安全部门截获,并发布了分析报告《手机锁屏勒索国内首现身》

9、2015年5月27日,CTB-Locker木马经过5个月的“本土化”过程,逐渐被国内木马坐着学习和利用。并在此期间出现了国内的第一次大规模爆发和针对性变种。对此360安全响应中心做出了针对性的防御(文档保护功能),并且发布了新的分析报告《CTB-LOCKER分析报告》,针对新的木马疫情做出了分析说明。

10、2015年8月12日,CTB-Locker近亲CryptoLocker在国内木马作者手中已经逐渐形成与安全软件进行常规对抗的木马。360再度发布病毒警报《CryptoLocker敲诈者病毒再出新变种》

11、2016年2月18日,CryptoLocker再次从传播手段上出现新变种(即当前最新版的locky木马)。360安全响应中心发布报告《警惕CryptoLocker敲诈者卷土重来!》,阐述木马最新的传播手段和注意事项。

最后要提醒广大用户,无论是危害较小的锁屏敲诈者还是危害深远的文件加密敲诈者,养成良好的安全意识都是最佳的防御手段:

1.定期备份重要文件,最好能在U盘、本地、云盘都拷贝一份,以防不测;

2.操作系统和IE、Flash等常用软件应及时打好补丁,以免病毒利用漏洞自动入侵电脑;

3.切勿轻易打开陌生人发来的可疑文件及邮件附件,切勿轻易打开来源不可靠的网址;

4.电脑中应安装并启用专业的安全软件,及时更新并定期进行安全扫描。