熟悉雷鋒網(wǎng)的讀者可能知道，一個月前，我雷好幾個讀者爆料：

本來一路心情愉快地去上班，開機卻遭遇突發(fā)異常狀況——昨天下班前電腦還好好的，今天突然開機之后電腦突然很卡，我并沒有在意。結(jié)果等了一會，突然瀏覽器自動打開，彈出了一個勒索界面，告訴我所有的文件都已經(jīng)被加密了，只有點擊鏈接用比特幣交付贖金之后才能拿到解密的密鑰。

有幾個讀者反應(yīng)是這樣的：

A：贖金要一萬多，如果老板逼我，我就準備辭職了（你辭一個試試）。

B：還是有很多重要資料的，繳納贖金吧，就當(dāng)幾個月工資喂了狗（無辜的狗狗到底做錯了什么）。

B：咦，贖金怎么繳納？怎么買比特幣（探索到?？菔癄€）？

C：嗚嗚，求高手反攻解密（坐等到天荒地老）！

看到這篇文章的你，是不是不想遇到這樣的慘??？勒索木馬在天朝已經(jīng)屢見不鮮，為了讓更多無辜讀者完美躲避勒索木馬的襲擊，本期雷鋒網(wǎng)宅客頻道（微信ID：letshome）邀請了360反病毒小組負責(zé)人、擁有長達9年惡意軟件查殺經(jīng)驗的王亮來解密勒索木馬。

嘉賓介紹

王亮：360反病毒小組負責(zé)人，擁有長達9年的惡意軟件查殺經(jīng)驗，是國內(nèi)最早追蹤敲詐者病毒的安全專家之一，目前已經(jīng)帶領(lǐng)團隊攔截到超過80類敲詐者病毒變種。

問答精華回顧

一、與勒索木馬斗爭的辛酸史

1.勒索木馬層出不窮，雷鋒網(wǎng)也活捉過好幾次勒索木馬的受害者，想問問上次您被拖到群里和勒索木馬受害者面對面是一種怎樣的感受？

王亮：一直以來做的分析工作都是針對木馬病毒的，更多的是一種技術(shù)性的工作，并沒有太多感情因素在其中,但通過與受害者的溝通，才真切感受到他們的無奈與無助，也更加堅定了我們與木馬對抗到底的決心。

那段時間掛馬中招的反饋確實比較多，當(dāng)時是想盡快了解一下具體情況。聯(lián)系確認后，發(fā)現(xiàn)受害者主要是因為使用了某款沒有升級的flash插件的瀏覽器，訪問掛馬頁面而中招。用戶在操作上并沒有明顯過錯，只是由于訪問的站點自身存在問題，使用的瀏覽器又沒有及時更新最終造成這個結(jié)果。這里也想提醒大家，此類木馬威脅離普通網(wǎng)民其實很近，可能一個不經(jīng)意的操作就會中招。

之前我們接到過一個反饋，一家公司的職員，計算機中一直沒裝殺毒軟件，周末時還沒有關(guān)閉計算機。當(dāng)他周一來公司時發(fā)現(xiàn)他計算機上的文件和一臺文件共享服務(wù)器的文件全部被加密。我們協(xié)助追查發(fā)現(xiàn)，是它機器上安裝的一款視頻工具軟件，周末時彈出了一個廣告，而這個廣告恰巧被植入了flash漏洞攻擊代碼，結(jié)果在他沒有任何操作的情況下，機器上的文件被木馬加密。很多時候，用戶甚至沒有什么感知的情況下就中招了。

2.這類受害者每年大概有多少？干這個勾搭的黑帽子群體大概有多少？

王亮：今年上半年我們攔截的敲詐者攻擊超過 44 萬次，下半年由于國內(nèi)掛馬攻擊的出現(xiàn)，曾經(jīng)出現(xiàn)過單日攔截敲詐者木馬超過 2 萬次的情況，敲詐者木馬的攻擊規(guī)模還在不斷刷新。

目前我們抓到的敲詐者的各類變種超過 200 種，積極傳播與活躍對抗的就有8個家族。根據(jù)樣本行為、代碼分析、攻擊溯源看，攻擊者來自國內(nèi)、俄羅斯、日韓、美國等地，參與其中的黑產(chǎn)組織至少有幾十個。

另外，從制作門檻上來說，敲詐者病毒的制作門檻并不高，各類加密算法都有現(xiàn)成的源碼和庫代碼可以使用，只要對其原理略知一二就可以做出一款簡單的敲詐者。而網(wǎng)上也有很多公開的勒索軟件源碼，對其做一些修改就能做出一款可以使用的敲詐者病毒。高利潤低門檻，使得敲詐者病毒的制作團體越來越多。

3.勒索木馬到底是什么時候出現(xiàn)的？迄今為止有多少主流版本？

王亮：此類木馬有十多年歷史，之前的敲詐方式是加密或者隱藏文件后要求轉(zhuǎn)賬或者購買指定商品，傳播量和影響力不高。

最近流行的比特幣敲詐者其實在 2014 年就在國外流行了，到 2015 年大量流入國內(nèi)。在國內(nèi)大量傳播的主流敲詐者家族就有 CryptoWall , CTB-Locker ,  TeslaCrypt ,  Cerber ,  Locky ,  CryptXXX ,  xtbl 等多個家族，每個家族在傳播對抗過程中又產(chǎn)生有多個分支版本。目前捕獲的敲詐者木馬超過200個版本，傳播量和影響力都非常大。

4.聽說你擁有長達 9 年的惡意軟件查殺經(jīng)驗，想聽聽你和勒索木馬的斗爭經(jīng)驗。

王亮：多年前制作病毒木馬還有炫技的成分存在，現(xiàn)在市面?zhèn)鞑サ哪抉R全部是利益驅(qū)使，互聯(lián)網(wǎng)上哪里有利可圖，哪里就有搞黑產(chǎn)、賺黑錢的網(wǎng)絡(luò)黑手。敲詐者病毒也不例外，國內(nèi)中招比較早的一批受害者是外貿(mào)相關(guān)的企業(yè)和個人。

攻擊者發(fā)現(xiàn)能從國內(nèi)賺到錢之后，也開始專門針對國內(nèi)進行攻擊，同時因為這一木馬知名度的提示，也帶動了一批黑產(chǎn)人員加入到敲詐者病毒的制作和傳播中。以比特幣為代表的各類匿名支付手段，也給敲詐者勒索贖金提供了方便，造成現(xiàn)在敲詐者木馬家族多，變種多的情況。

隨著信息化程度越來越高，不管是企業(yè)還是個人，對于信息系統(tǒng)的依賴度也越來越高，而勒索軟件的主要危害就是破壞信息系統(tǒng)中的數(shù)據(jù)資源。企業(yè)個人的信息化程度越高，危害也越大。

前兩年，這一波敲詐勒索木馬剛剛興起時，因為主要在國外傳播，木馬的演變主要也是針對的國外的殺軟。那時我們可能只需要幾個簡單的技術(shù)手段，就能很好的查殺和防御這類木馬，那時我們已經(jīng)意識到，攻擊者可能很快就會發(fā)現(xiàn)在中國也是有利可圖的，會轉(zhuǎn)過來專門攻擊我們。在敲詐者木馬剛剛開始在國外流行時，我們已經(jīng)在實驗我們的防護策略和手段，當(dāng)時我們測試過對文件做備份，對文件寫入內(nèi)容做檢測，對文件寫入方法做檢查，對數(shù)據(jù)操作流程做檢查等十多種方案。

這中間有過不少嘗試，比如剛剛測試文件格式攔截時，發(fā)現(xiàn)會誤報發(fā)票打印程序，后來研究發(fā)現(xiàn)有些發(fā)票打印程序會改圖片格式。我們測試備份方案的時候，發(fā)現(xiàn)磁盤IO太高，性能上劃不來。我們就在這中間不斷嘗試，最后將其中比較有效且消耗合理的方案應(yīng)用到了我們的產(chǎn)品中。

很快 2015 年就開始出現(xiàn)專門針對國內(nèi)進行傳播免殺的敲詐者木馬，而且很多木馬剛剛出現(xiàn)時都是免殺全球殺軟的，在 VirusTotal 上掃描都是 0 檢出的。我們之前已經(jīng)準備了一套可行的防護方案，所以即使在引擎無法檢出的情況下，仍能識別攻擊保護數(shù)據(jù)安全。在這個對抗過程中，我們根據(jù)木馬的傳播特點和行為特征又補充增加了多個攔截方案。比如針對掛馬傳播，即使用戶沒打補丁，我們的引擎沒檢出，但在文件落地時我們?nèi)匀荒軐⑦@類惡意程序報出，多層防御使我們有一個很高的攔截成功率。

到 2016 年，這個木馬已經(jīng)開始在國內(nèi)大范圍傳播了，很多普通用戶計算機因為訪問掛馬網(wǎng)頁也造成感染。我們在今年 8 月開始推出“360 反勒索”服務(wù)，給用戶承諾，開啟這個服務(wù)后，如果正常開啟我們的防護功能，仍然被敲詐者木馬感染的話，我們幫用戶支付贖金解密文檔。

這個服務(wù)剛開的時候，我們壓力還是很大的，當(dāng)時一個比特幣 4000 多人民幣（現(xiàn)在已經(jīng)漲到 5000 多了），我們承諾給用戶最多賠付 3 個比特幣，也就是 1.2 萬。當(dāng)時一天對這個木馬有 1 萬多次的攔截，如果沒防住，可能一天就得賠出去幾十萬上百萬去。我們陸續(xù)開始收到一批批反饋，結(jié)果發(fā)現(xiàn)中招用戶很大一部分是裸奔用戶，一直認為殺毒軟件無用，平時機器都是裸奔狀態(tài)，結(jié)果中招了，后悔莫及。

也有用戶給我們提了不少建議，比如前不久有一位用戶說：“那個木馬確實攔截了，但是沒看出來我們攔截的這玩意會加密他的文件”，所以他就給放了。用戶給我們的反饋，也幫我們完善了產(chǎn)品，保護了更多用戶不受傷害。

只要這類攻擊仍然有利可圖，這些攻擊者就會繼續(xù)對抗下去，我們和他們的攻防戰(zhàn)爭就不會停。 

 二、你長了一張被勒索木馬敲詐的臉

1.勒索木馬有針對特定國家感染嗎？國內(nèi)和國外誕生的勒索木馬有什么不一樣？

王亮：有部分勒索木馬是針對特定國家的，比如， Cerber 會避開俄語國家，XTBL主要針對中日韓。國內(nèi)和國外的勒索木馬很多是使用相同的技術(shù)手段，只是在傳播方式和渠道上有所不同。不過國內(nèi)出現(xiàn)過一些比較“本土化”的勒索木馬屬于黑客新人練手的作品，可能會顯得比較另類，有些甚至留下QQ號敲詐Q幣，這些木馬很多并沒有使用規(guī)范的加密方式，很大一部分可以通過技術(shù)手段破解。

比如，這款敲詐者就將密鑰保存到了本地，詳情請見：《分享一款失敗的國產(chǎn)加密勒索軟件》

這里還有一個 php 編寫的敲詐者，為了能夠正常執(zhí)行，本地還帶了一個 php 的執(zhí)行器，但是在加密上其實只是進行了異或操作，留給用戶的信息謊稱使用的 RSA 結(jié)合 AES 加密，詳情請見：《用世界上最好的編程語言寫成的敲詐者木馬》。

2.勒索木馬到底是怎么瞄上受害者，又成功潛入受害者的電腦、手機……的？真的有人長著一張受害者的臉嗎？

王亮：勒索木馬主要的傳播途徑有兩種：一類是通過網(wǎng)頁掛馬，這類木馬屬于撒網(wǎng)抓魚式的傳播，并沒有特定的針對性，這類受害用戶主要是裸奔用戶，常年裸奔自認為很安全，哪成想一不留神打開一個網(wǎng)頁甚至什么都沒做就中招了。而另一類則是通過郵件傳播，這類傳播方式的針對性較強，主要瞄準公司企業(yè)，各類單位和院校，他們最大的特點是電腦中的文檔往往不是個人文檔，而是公司文檔。這樣文檔一旦被加密，其損失往往不是個人能夠承擔(dān)的，無論是員工為了保住飯碗還是公司為了保住業(yè)務(wù)，都會更傾向于交付贖金減少損失。

另外，有別于以上兩種途徑，最近第三種傳播途徑又逐漸形成趨勢——服務(wù)器入侵。黑客通過一些技術(shù)手段進入服務(wù)器，然后加密服務(wù)器上的文檔和程序，使服務(wù)器的擁有者遭受巨大的損失，這類傳播途徑針對的情況與郵件傳播類似，最終目的都是給公司業(yè)務(wù)的運轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

3.可以圖文詳解一下他們的加密技術(shù)嗎？

王亮：一般來說，敲詐者的加密流程如下：

1. 生成一組隨機數(shù)，用于文件加密的密鑰。

2. 使用這組隨機數(shù)做為密鑰，加密文件。

3. 通過非對稱加密，加密這組隨機數(shù)，并保存，解密時使用。

4. 保存使用的非對稱加密密鑰相關(guān)信息，以備解密時核對使用。

敲詐者對文件的加密強度，很大程度上就是其使用加密算法的“正確程度”。

敲詐者木馬常犯的幾個錯誤有：

1. 隨機數(shù)生成不隨機，我們就可以繞過整個繁瑣的過程，直接對文件解密。

2. 錯誤的存儲密鑰和 hash 值，依靠這些錯誤存儲的hash值，我們可以加快破解流程到一個可接受的范圍內(nèi)。

3. 錯誤的套用加密算法和保存數(shù)據(jù)。這也是一個很常見的問題，比如使用RSA時，有木馬將p和q直接存儲到了本地，造成 RSA 的安全性喪失。

4. 文件操作是否合理。比如有木馬直接通過寫入一個新文件，刪除老文件的方法，進行加密。此時通過文件恢復(fù)工具，能夠恢復(fù)部分文件。 

以最近捕獲的“ XTBL ”樣本為例進行分析，解釋一下這個過程。和大部分敲詐者木馬相似，“ XTBL ”敲詐者木馬解密數(shù)據(jù)段的數(shù)據(jù)，創(chuàng)建本進程另一實例作為“傀儡”進程進行進程替換，以達到運行 shellcode 的目的。程序主要由五大功能模塊組成。包含 API 字符串的解密及地址獲取，啟動項的添加，刪除卷影，發(fā)送服務(wù)器信息以及加密文件。

五大功能模塊

API 名稱加密與動態(tài)獲取地址，是為了對抗殺毒引擎的查殺，對于純靜態(tài)引擎來說，純 shellcode 的惡意代碼就是一個黑盒，這樣可以多到一定程度的免殺。

加密前寫入啟動項，是為了防止加密過程中關(guān)機，下次開機后可以繼續(xù)加密，如果加密完成，這個啟動項會被刪除。

在進行加密之前，程序會刪除卷影備份。防止用戶通過系統(tǒng)恢復(fù)來恢復(fù)數(shù)據(jù)。

值得一提的是，“ XTBL ”敲詐者使用管道來傳遞命令行，這和“ Ceber ”系列敲詐者使用方法相同，而通過“ mode con select=1251 ”命令行設(shè)置 MS-DOS 顯示為西里爾語可能與作者來自俄羅斯有關(guān)。

完成以上準備工作之后，程序產(chǎn)生兩組密鑰塊，其中一組用于本地文件加密，另一組用于網(wǎng)絡(luò)共享資源文件加密。

 

產(chǎn)生兩組密鑰

密鑰塊大小為 184 字節(jié)，前 32 字節(jié)存放 RC4 加密后的隨機數(shù)密鑰，該密鑰用于之后加密文檔。為了加強隨機數(shù)的隨機性，程序以系統(tǒng)時間作種生成隨機數(shù)作為循環(huán)次數(shù)，每次異或地址 0x4326F0 的值與系統(tǒng)時間后求其 SHA-1 值，并將最終所得隨機數(shù)經(jīng) RC4 加密得到密鑰。

 

產(chǎn)生RC4加密的隨機數(shù)密鑰

密鑰塊第 33 字節(jié)起存放系統(tǒng)序列號，用作服務(wù)器的唯一標識符。之后的 128 字節(jié)存放 RSA 加密后的隨機數(shù)密鑰，而 RSA 公鑰的 SHA-1 值則存放在最末端的 20 字節(jié)中。

 

密鑰塊生成過程

 

密鑰塊分布圖

密鑰塊產(chǎn)生之后，程序會將密鑰塊中部分內(nèi)容以及其他系統(tǒng)信息以 POST 的方式發(fā)送至黑客的服務(wù)器上。每個字段的標識及參數(shù)值如下表所示。

發(fā)送的數(shù)據(jù)

除了在加密文件之前發(fā)送數(shù)據(jù)，在加密完成后也會再次向黑客服務(wù)器發(fā)送數(shù)據(jù)，兩者用函數(shù)最后一個參數(shù)作區(qū)別，當(dāng)最后一個參數(shù)為 0 時表示即將進行加密，為 1 時表示加密完成，參數(shù)不同帶來的結(jié)果是 POST 數(shù)據(jù)的目的地址不同。

 

兩次發(fā)送數(shù)據(jù)

之后程序開始進行加密，由兩個線程完成加密工作，其中一個線程枚舉網(wǎng)絡(luò)資源并對獲取的共享文件進行加密，另一個線程加密本地文件。

枚舉網(wǎng)絡(luò)資源并加密

加密本地文件的線程中，通過枚舉磁盤中的文件并判斷文件后綴來確定需要加密的文件路徑，完成文件路徑的確認后，程序開啟四個子線程進行加密。由于父線程負責(zé)傳遞文件路徑給子線程以及開啟子線程進行加密，如果只創(chuàng)建一個子線程進行加密，當(dāng)子線程由于某些原因無法返回時，父線程將無法繼續(xù)執(zhí)行下去，這會導(dǎo)致父線程無法傳遞下一個文件路徑并且無法再創(chuàng)建新的子線程。而開啟四個子線程進行加密時，只需保證其中一個線程正常返回即可繼續(xù)下一輪加密。

 

開啟四個線程進行加密

加密的第一步是判斷文件大小。當(dāng)文件大小大于 0x180000 字節(jié)時，直接對文件內(nèi)容進行加密，并將文件重命名；當(dāng)文件大小小于等于 0x180000 字節(jié)時，則創(chuàng)建新文件并加密舊文件內(nèi)容后寫入新文件，之后刪除舊文件。

根據(jù)文件大小選擇加密方案

之后程序使用之前生成的隨機數(shù)初始化 AES 密鑰，加密文件內(nèi)容。加密完成后需要在文件尾部寫入信息，以供黑客解密文件時使用。

對于大小小于等于 0x180000 字節(jié)的文件，按照如下圖所示的方法在文件尾部寫入信息。

 

文件大小小于0x180000字節(jié)時寫入文件頭的數(shù)據(jù)

對于文件大小大于 0x180000 字節(jié)的文件，按照如下圖所示的方法在文件尾部寫入數(shù)據(jù)。

 

文件大小小于0x180000字節(jié)時寫入文件頭的數(shù)據(jù)

至此，加密完成。被加密的文件類型包括 exe，dll，doc，docx，pdf，xls，xlsx，ppt，zip，rar，bz2，7z，dbf，1cd，jpg 。

如果要解密被加密的文件的話，我們需要獲取到隨機生成的文件加密密鑰，而這個文件加密密鑰被 RSA 加密之后，保存到了文件頭中，只有獲取到 RSA 的私鑰，解開這段數(shù)據(jù)，才能實現(xiàn)解密，這是一個大致的加密流程，細節(jié)還有很多。

三、如何對抗勒索木馬

1.你們在技術(shù)上有什么對抗方法？ 

王亮：對抗主要有四個方面：源頭，木馬落地，木馬行為，和事后處理。

1) 源頭方面：我們對來自于網(wǎng)頁漏洞的掛馬有網(wǎng)盾防護，對于郵件附件，我們的下載安全也能有效保護，力爭從源頭直接阻斷木馬的入侵。

2) 木馬落地：這一步主要依靠我們的各類引擎，我們的云 QVM 、 AVE 有對敲詐者病毒的專門學(xué)習(xí)，能夠有效檢出市面上現(xiàn)存的各類變種。

3) 木馬行為：我們在主動防御系統(tǒng)中加入了對文檔加密類程序的行為特征分析，一旦發(fā)現(xiàn)行為符合勒索木馬加密文件的行為，便會攔截這一行為并通知用戶查殺。

4) 事后處理：我們現(xiàn)在還推出了針對這種勒索木馬的“反勒索服務(wù)”，如果用戶在 360 的安全防護之下依然中了勒索木馬，我們協(xié)助用戶恢復(fù)文檔，甚至不排除幫用戶交付贖金。最大限度的降低用戶損失。我們有專門的團隊分析這類木馬，對能夠解密的木馬，我們也開發(fā)了解密工具，用戶無需支付贖金就能夠解密文件。

2.中了勒索木馬后，到底會帶來什么危害？

王亮：對于每個人來說，計算機中的文檔數(shù)據(jù)價值各有不同。以實際收到的用戶反饋案例看，我們接到的一些個人用戶受到的損失如下：

曾經(jīng)有一位老教授，編寫了多年的文稿，大量的資料都被加密，那是他十幾年的心血。而當(dāng)時敲詐者留下的聯(lián)系方式已經(jīng)失效，想支付贖金解密都沒有辦法。最后還好在另外一臺計算機中有幾個月前的一部分備份，才減小了一部分損失。

還有一個案例是有個大四學(xué)生，而被加密的文檔包括他辛辛苦苦完成的論文——如果無法解密甚至可能影響到該學(xué)生的畢業(yè)。

對于企業(yè)，影響可能就更大了，曾經(jīng)有過一個影樓的攝影師電腦中毒了，有很多客戶的照片還沒有交付照片都被加密了，無法解密的話直接損失就有數(shù)萬元之多，還有可能是影樓信譽掃地，以及自己丟了工作。
還有一家律師事務(wù)所，因為一位員工的計算機中招，除了這位員工計算機文件被加密外，還將數(shù)臺文件共享服務(wù)器中文檔加密，直接造成公司業(yè)務(wù)停擺。

很多時候這個損失已經(jīng)無法用錢來衡量了，我們之前接到一位用戶，敲詐者將其計算機中大量照片加密，用戶不愿意給攻擊者支付贖金，不愿意助長這類行為，但自己多年來拍攝的照片全部損壞，甚是心痛。

3.中招勒索木馬之后怎么辦？文件恢復(fù)有可能嗎？有補救和解決辦法嗎？

王亮：中招之后，可以先使用殺毒軟件對木馬滅活，防止其繼續(xù)感染其它文件或系統(tǒng)。對于部分敲詐木馬，目前有解密工具，比如 TeslaCrypt 和一些國產(chǎn)家族，我們網(wǎng)站上有相應(yīng)的工具和介紹，可以關(guān)注我們的網(wǎng)站。

對于大多數(shù)主流敲詐者木馬，目前都采用了比較規(guī)范的非對稱結(jié)合對稱的加密手段，這直接導(dǎo)致了在沒有拿到黑客手中的私鑰的前提下，解密文件幾乎不可能。只能支付贖金或者等待黑客放出手中私鑰，而支付贖金操作本身也比較復(fù)雜，同時也帶有一定風(fēng)險。所以此類木馬我們更推薦對重要文檔事前做好備份工作，以減少損失。

4.木馬背后的黑產(chǎn)可以說說嗎？還有代理木馬，掛馬之類的。

王亮：目前國內(nèi)的黑產(chǎn)，已經(jīng)形成了一些分工明確的產(chǎn)業(yè)化形態(tài)。有專門負責(zé)制作木馬的，有負責(zé)免殺的，有進行傳播的，還有負責(zé)贓款轉(zhuǎn)移洗錢的。這些可能是多個成員組成的一個團伙，也可能是互不相識單獨行動的幾伙人共同完成。

從之前破獲的案件中看，很大一部分木馬開發(fā)者是一些IT人員兼職或者在校學(xué)生所為，他們利用手上掌握的技術(shù)，幫助黑產(chǎn)，賺外快。很多這樣的人覺得，在自己電腦上寫寫程序，也沒傳播，也沒騙人，自認這樣并不違法，在被警察抓獲時才后悔惋惜。

木馬的傳播者，很多是利用渠道商，平臺商管理不嚴，甚至有很多根本沒有審核管理（只是條文中寫了一條，本平臺禁止傳播木馬病毒）的漏洞，利用一些平臺傳播。比如最近多次爆發(fā)的廣告位掛馬攻擊，就是利用廣告聯(lián)盟審核不嚴的漏洞（也有一些根本沒能力審核，我們之前通報過幾家廣告商，結(jié)果對方查了一圈之后沒找到哪里出問題），在廣告資源中插入帶掛馬攻擊的內(nèi)容，當(dāng)客戶端訪問這些資源時，如果所使用的軟件存在漏洞那么就會造成產(chǎn)品被掛馬攻擊。而廣告展示平臺根本沒有審核廣告聯(lián)盟的廣告，直接插入頁面播放。結(jié)果經(jīng)常會出現(xiàn)多家大站被掛馬，動輒每天幾十萬上百萬的木馬傳播量。

木馬傳播中，還有一些屬于“代理木馬”，從別人手里購買現(xiàn)有的成品木馬，并自行傳播獲利，這里面經(jīng)常能看到黑吃黑的現(xiàn)象存在。就比如之前 TeslaCrypt ，內(nèi)部就有多級密鑰。作者將這個木馬在黑市出售，除了給購買者的一套公私鑰體系之外，作者手里還掌握一套密鑰，可以解開他出售木馬加密的文件。其內(nèi)部還有分成，所有購買木馬傳播收到的贓款也要分成給作者。

5.勒索木馬未來的苗頭是怎樣？比如，技術(shù)會有什么演進？植入會有更多途徑？

王亮：勒索軟件的慣用伎倆是破壞信息系統(tǒng)，根本目的是敲詐財物。實際上，無論是加密文件、加密磁盤、還是阻止系統(tǒng)正常運行，都是不法分子的手段，拿到錢才是王道。從目前的情況來看，勒索軟件破壞信息系統(tǒng)的手段可能會越來越暴力直接，攻擊的設(shè)備也不局限于個人電腦，各類移動設(shè)備，公司的服務(wù)器目前都已經(jīng)成為了此類木馬攻擊的目標，未來聯(lián)網(wǎng)的設(shè)備越來越豐富，各類物聯(lián)網(wǎng)設(shè)備也很有可能成為此類木馬的下一個目標。但不論形式方法如何變，其目的是不變的，勒索財物獲取利益。

6.如何完美躲避敲詐木馬，對大家有什么安全建議？ 

王亮：木馬攻防是一個對抗的過程，木馬的防御手段和攻擊手法在對抗過程中是不斷更新的，不存在一勞永逸的完美策略。但有一些安全建議，可以大大提高攻擊的門檻，減小被木馬攻擊的損失：

其一，及時更新系統(tǒng)和軟件，各類安全補丁需要及時打上，提升漏洞的防護能力。

其二，提升安全意識，不輕易打開陌生人發(fā)來的郵件附件，聊天軟件傳過來的各類文件。

其三，安裝安全防護軟件并及時更新，不隨意退出安全軟件、關(guān)閉防護功能，對安全軟件提升的各類風(fēng)險行為不要輕易放行。

其四，也是最主要的——重要文檔數(shù)據(jù)要多做備份，存放在不同設(shè)備中。一旦文件損壞或丟失，也不至于有太大的損失。

觀眾提問：如何抓取木馬代碼？

王亮：對于如何獲取樣本，我們主要有下面幾個途徑：

一是引擎獲取，主要還是依靠我們自身的云體系，通過我們?nèi)W(wǎng)的客戶端來收集樣本。

二是交換樣本，這個和其他安全廠商一樣，我們互通有無，豐富我們自己的樣本庫。

三是用戶舉報，這類樣本雖然少，但精確度往往會比較高，也能聯(lián)系到用戶進行進一步的了解。對我們了解木馬入侵用戶機器的方法有很大的幫助。

還有一些沙箱類的自動分析平臺，也會幫我們產(chǎn)出大量樣本。對于木馬代碼的定位，主要有以下幾種： QVM 自動學(xué)習(xí)機制，由機器深度學(xué)習(xí)自動提取惡意代碼，對樣本做分類檢出；通過 AVE 引擎，增加一些啟發(fā)特征抓取一些特定樣本；依靠我們的主防體系，提取木馬行為，不單獨針對代碼，對抗免殺。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。