通付盾移动安全实验室发布2017移动互联网勒索病毒专项研究报告

我们对抢红包和王者荣耀皮肤两类勒索病毒中共同存在的锁屏信息进行攻击者溯源分析，追踪到以推广和售卖锁机源码、抢红包、免流插件、秒赞工具等为主的“彼岸花技术”黑产团队，该团队以QQ群、网店的形式活跃，通过百度网盘传播勒索病毒，人数总计数百人，相关联群成员总数达千余人。除了进群时需要支付费用之外，群内源码、工具的获取也需要另外付费。下图展示“彼岸花技术”团伙的溯源过程，我们可以看出，大部分病毒开发者之间相互关联。

“彼岸花”团队溯源分析图

c) 威胁行为分析

我们对活跃度集中区的勒索病毒进行分析，根据锁屏实现方式，大体将勒索病毒威胁行为分为两大类：一类是通过修改设备的开机密码来实现，另一类是通过控制悬浮窗置顶属性来实现。

这两类锁屏在实现流程上存在共性，首先，通过伪装获取设备的系统权限；然后，通过系统权限直接激活设备管理器，修改系统开机密码，或控制手机悬浮窗强制置顶属性，使用户无法正常使用设备。同时，有些勒索病毒为防止被破解，设置可反复锁屏机制，即用户在破解第一层锁屏之后会出现第二层锁屏，反复循环。最后被攻击者需要通过被锁屏幕中预留的QQ码、邮箱、手机号等信息联系勒索者缴纳赎金方可解锁。下图展示了勒索病毒实现的具体流程。

勒索病毒实现流程图

威胁趋势分析

1. 勒索病毒活跃度总体呈上升趋势

本次报告中，我们采样的数据为 2016 年 9 月到 2017 年 9 月全网范围内的恶意勒索病毒，从分析结果来看，勒索病毒活跃度总体呈上升趋势，每月新增病毒数持续增加。其中， 2017 年 4 月份勒索病毒急剧增加，新增病毒总数达 812 个，比 3 月份增加了160.2%。国家互联网应急响应中心从 4 月份起发布一系列勒索病毒通报，相关单位和部门对勒索病毒采取了一定的防御措施。 5 月份之后，虽然勒索病毒总体仍然处于上升趋势，但每月病毒新增速度有所放缓。 9 月份新增 219 个勒索病毒，增长速度有所下降但仍然相当活跃。

2.勒索病毒仍将主要攻击经济发达地区

从恶意样本的地理分布图中可以看出，勒索病毒主要活跃在广东、北京等互联网氛围较好地区。 2016 年 9 月份到 2017 年 1 月份，勒索病毒集中活跃在北京、广东、湖北经济发达地区， 2017 年 2 月至 5 月份，勒索病毒活跃范围在原来的基础上向湖南、福建、安徽、四川、天津等邻近省市扩散，直至 9 月份，北京、广东仍然是勒索病毒攻击的重灾区，除此以外，在上海、浙江等经济发展较好的省市也发现了勒索病毒的踪迹并且数量逐月增加，经济发达地区仍将是勒索病毒的主要攻击目标。

3.勒索病毒查杀成本或将提高

为了逃避安全产品的查杀，病毒开发者开始利用各种手段，提高病毒免杀能力。我们在逆向分析病毒样本时发现，部分勒索病毒使用加密平台进行加密保护，不仅难以破解，而且加密过后能够躲过病毒防御类产品检测查杀。某些加固产品无安全认证机制，免费为各类开发者包括病毒程序开发者提供加密服务。经过此类加固平台加固的病毒，恶意代码被隐藏，查杀难度增大，提高了查杀成本。下图为捕获到的使用某加固平台加固后的病毒样本代码示例。

使用加固平台加密的病毒样本截图示意

总结

1. 不法收益诱惑下的网络攻击仍将持续

当移动端遭受恶意攻击时，被攻击者通常为非专业技术人员，比起报案或请求技术破解，绝大部分被攻击者更愿意“主动”交费以解除威胁。而攻击者的主要目的就是通过非法手段索取钱财，从这一角度来看，移动端具有“诱人”的黑色收益，且这种收益并不会随着技术的创新或防御手段提升而减少，反而攻击者利用用户的依赖心理表现的更加肆无忌惮，移动端的勒索攻击将持续发生。

2. 社会工程学成为主流攻击手段

勒索攻击在社会工程学中的主要表现为直接诱惑和利用好奇心理达到攻击目的。直接诱惑中，攻击者将恶意程序乔装成与用户利益直接相关或有利可图的助手软件，如在社交类软件中，“红包”几乎是聊天必备，“抢红包”作为一种新型庆祝和游戏方式十分受用户欢迎。攻击者利用红包的诱惑伪装成红包助手类应用诱导下载，如“秒抢红包”、“红包速抢”、“红包外挂”等带有直接诱惑性的词语。另一种不同的心理攻击方法则是利用人的好奇心理，通常恶意应用的名称带有一定的“劝诫或阻挠”意义，如勒索软件“不要点我”、“千万别点开”等。当用户“不听劝诫”点开软件图标则面临系统锁住的危险。

3. 勒索攻击低龄化、团体化

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!