安全中心 > 安全热点分析 > 腾讯反病毒实验室2017年Q2安全报告

腾讯反病毒实验室2017年Q2安全报告

时间:2017年 08月 11日   作者:腾讯反病毒实验室

PC端安全情况:

Ø  2017年上半年统计数据显示,PC端总计已拦截病毒10亿次,病毒总体数量相比2016年下半年增长30%;平均每月拦截木马病毒近1.7亿次。2017Q2季度相较于2016Q2季度病毒拦截量同比增长了23.7%

Ø  2017年上半年共发现2.3亿次用户机器中木马病毒,相比2016年下半年下降0.5%,平均每月为3,880万中毒机器进行病毒查杀。2017Q2季度相较于2016Q2季度报毒用户量同比增长3%

Ø  2017Q2季度病毒样本从病毒种类上木马类占总体数量的53.80%,依然是第一大种类病毒。Adware类为第二大病毒类,占总体数量的39.02%。而后门类为第三大病毒类,占总体数量的5.13%。相比2017Q1季度,病毒种类并没有太大变化。

 

移动端安全情况:

Ø  2017年上半年总计已检测Android病毒样本量1,300多万个,平均每月检测Android病毒样本200万个。

Ø  2017Q2季度Android病毒样本,PUA(灰色软件)占总体数量的34.56%,是第一大病毒种类。SMS类为第二大病毒种类,占总体数量的13.99%Spy类为第三大病毒种类,占总体数量的8.63%

 

Q2热点安全事件:

Ø  WannaCry敲诈勒索病毒512日在全球爆发,袭击了全球150多个国家。

Ø  “暗云”系列病毒升级为“暗云III”再度来袭,增加DDoS攻击。

Ø  6月新一轮“勒索病毒”Petya来袭,修改系统MBR,更具破坏性。

 

前言

一、互联网安全形势不容乐观

在互联网高速发展,为社会发展提供便利的同时,互联网安全变得越来越重要。2014年中央网络安全与信息化领导小组正式成立,习近平直接担任组长,重视程度可见一斑。在中央网络安全和信息化领导小组第一次会议上,习近平首次提出“网络强国”战略,“没有网络安全就没有国家安全”,网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。

在中国,网络已走入千家万户,网民数量世界第一,我国已成为网络大国。互联网已经深度介入民众生活的方方面面。根据一份关于民众信息获得模式的调查报告显示,大学生和白领群体的互联网使用率已经接近100%,九成以上大学生和白领群体最主要的信息获取渠道为互联网。网民在互联网上进行的活动主要有获取新闻资讯、学习工作、即时沟通、网络社交及各类休闲娱乐。那么,网民的网络安全如何保证?企业的网络在面对网络攻击时如何进行有效的防御?这些都是我们安全行业的人需要考虑的问题。

从国内的”暗云III“病毒到席卷全球的”WannaCry“敲诈勒索病毒再到”Petya“恶性破坏性病毒,都无一不说明目前的网络安全形势严峻,企业安全防护脆弱,大力发展网络安全防护势在必行。

二、网络安全建设刻不容缓

我国虽然已成网络大国,但离网络强国还有距离。木马和僵尸网络、移动互联网恶意程序、拒绝服务攻击、安全漏洞、网页钓鱼、网页篡改等网络安全事件多有发生,基础网络设备、域名系统、工业互联网等我国基础网络和关键基础设施依然面临着较大的安全风险,加强网络安全建设迫在眉睫。

网络安全已经上升至国家战略,国家也在大力投入、推动网络安全建设。但做好网络安全工作不是某个机构、某个部门的事,而是需要全社会的参与。从出台《关于支持国家网络安全人才与创新基地发展的政策措施》投入45亿建设资金,到201761日正式施行的《中华人民共和国网络安全法》都是为了网络安全健康、稳健的发展。我们也呼吁作为有社会责任的安全企业、机构、个人积极投入到网络安全建设中来,为国家、国民的网络安全防护贡献一份力量。

 

三、关于腾讯反病毒实验室

腾讯反病毒实验室作为耕耘在网络安全反病毒第一战线上的一员,有责任主动担负保障国家、民众互联网安全的社会责任。

腾讯反病毒实验室成立于2010年,始终致力于互联网安全防护、计算机与移动端恶意软件检测查杀、网络威胁情报预警等工作。通过“自研引擎能力、安全事件运营、哈勃分析平台”的“三剑合璧”,对”安全查杀能力、漏洞监测能力及病毒样本分析“提供了全面、系统、一体化的产品运营式的标准化防护,为腾讯安全实力进一步提供了强大技术支撑,也为网民构建了安全的上网环境。

实验室拥有专业的反病毒团队,在自主反病毒引擎TAV研发上深耕多年,拥有多项自主知识产权病毒检测专利。在AV-CAV-TEST等国际安全评测中反超国际老牌杀毒软件,多次取得大满贯的成绩,这也表明中国自主研发的杀毒引擎已经达到了世界先进水平。

一、PC安全方面

腾讯电脑管家英文版连续通过VB100, ICSA等认证测试,不仅2016年以来在赛可达测试获得6次第一的成绩,更是在AV-C 2016年国际评测中作为国内唯一参测产品,5项测试A+评级,获得年度荣誉产品称号,单项奖项斩获清除测试金奖(排名第一)、检出测试银奖两项大奖,比肩卡巴斯基,比特梵德,小红伞国际知名厂商。

二、移动安全方面

在移动威胁检测能力方面,腾讯手机管家Wesecure则在2016年以来AV-Test国际评测中,连续8次满分13分通过,国内独树一帜。

三、动态检测方面

反病毒实验室哈勃动态分析系统为网民提供了未知文件动态检测能力,实时帮助网民检测、分析可疑文件。

328日全球信息安全行业的最高盛会Black Hat Aisa 2017,哈勃分析系统开源项目HaboMalHunter入选Black Hat Arsenal(兵器谱),这不但是本届BlackHat唯一入选的中国开源项目,也是中国开源项目第一次“亮剑”世界反病毒舞台。

第一章 PC端恶意程序

一、恶意程序拦截量与中毒用户量

2017年上半年统计数据显示,PC端总计已拦截病毒10亿次,病毒总体数量相比2016年下半年增长30%;平均每月拦截木马病毒近1.7亿次。4月、6月为拦截病毒的高峰,都是拦截了1.8亿次。具体数值如: 1

1

2017Q2季度相较于2016Q2季度病毒拦截量同比增长了23.7%。从2014年到2017Q2季度病毒拦截量来看,恶意程序数量逐年攀升。具体数值如: 2

2

根据统计,每天中毒高峰时间为上午10-上午11点,这也符合企业及普通用户上午9-上午11点开启电脑处理工作的规律,而这段时间用户中毒的病毒类型较多为利用邮件、共享等方式传播的Office文档类宏病毒,这也说明企业办公安全防护形势依旧严峻。每时段上报数据如 3

3

2017年上半年共发现2.3亿次用户机器中木马病毒,相比2016年下半年下降0.5%,平均每月为3,880万中毒机器进行病毒查杀。2017Q2季度相比Q1季度中毒机器数略有增长,具体数值如 4

4

2017Q2季度相较于2016Q2季度报毒用户量同比增长3%。从2015年到2017Q2季度中毒机器数增长情况基本平稳,具体数值如: 5

 

5

二、恶意程序详细分类

(一)恶意程序种类及量级上的分类

2017Q2季度根据获取到的病毒样本分析,从病毒种类上,木马类占总体数量的53.80%,依然是第一大种类病毒。Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的39.02%。而后门类为第三大病毒类,占总体数量的5.13%。相比2017Q1季度,病毒种类并没有太大变化,具体数值如 6

6(病毒种类上划分)

 从病毒样本的数量上来划分,可以看到 7中排在第一位和第二位的仍然是木马类和Adware类,但排在第三位的变成了PE感染型,占总体数量的25.07%

7(样本量级上划分)

从种类上感染型样本的种类并不多,这与感染型病毒制作难度大、黑客等编程人员需要掌握的技术多、成本高、开发时间久等因素有关。感染型病毒种类虽然不多,但是感染型病毒的传播性很大,存活时间相对也比较久,因此,种类少的PE感染型种类在样本传播量级上占了一定的比例,这也是由于感染型病毒具有感染、传播的特性。

(二)木马类的详细分类

在第一大病毒类木马类中,可以详细划分为多种类型的木马病毒。有下载其他有害软件的程序,勒索软件,释放有害软件的程序,盗取个人信息,银行盗号诈骗,社交软件工具盗号,虚假反病毒软件,DDoS攻击软件,游戏盗号软件,以及流量点击等有害程序。其中值得注意的是,敲诈勒索病毒样本的数量在呈上涨趋势,相比2017Q1季度,敲诈勒索病毒样本的数量新增13.39%

在木马类中排在第一位的是释放有害文件的Dropper类木马,占全部木马类的68.60%,具体数值如 8

8

(三)PE感染型病毒分类

根据用户上报数据分析,感染型病毒在用户侧仍然十分活跃,其中以PolyRansomNimnulVirut等病毒最为活跃。由于感染型病毒不同于普通的木马病毒,感染型病毒会通过修改宿主程序代码的方式将恶意代码寄生在宿主进程中运行,而每个文件被感染后的哈希(Hash,文件内数据的”信息摘要“)值都会变化,因此,被感染型病毒感染后的文件是无法进行”云查杀“的。

PE文件的感染型病毒中,可以发现2016年爆发的PolyRansom感染型病毒依然为排名第一的感染型类,这是一款感染型和敲诈勒索相结合的病毒,占感染型病毒总体数据的39.50%。第二大感染型病毒为Nimnul,占感染型病毒总体数据的23.51%。具体数据如 9

9

 杀毒引擎能否修复被感染的文件,体现了反病毒引擎对感染型病毒修复的能力。这是由于感染型病毒是将用户的文件进行修改,写入恶意代码,因此被感染后的文件并不能像其他木马类病毒一样直接删除,而是需要杀毒引擎帮助用户将被感染的文件恢复到感染前的状态。

目前腾讯反病毒实验室的自研TAV反病毒引擎可以查杀并修复国际、国内流行的各类感染型病毒。

三、中毒用户地域分布

根据中毒PC数量统计,从城市分布来看,互联网较为发达的城市用户中毒情况较重,全国拦截病毒排名第一城市为深圳市,占全部拦截量的3.76%,第二名为成都市,占全部拦截量的3.57%,第三名为广州市,占全部拦截量的3.39%。具体数据如 10

10

如果从省级地域分布来看地,中毒PC数量最多的还是广东省排在全国第一省,占全部拦截量的13.29%,第二名为江苏省,占全部拦截量的7.75%,第三名为山东省,占全部拦截量的7.12%。具体数据如 11

 11

 

PC端敲诈勒索病毒详情

敲诈勒索病毒是以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意加密,造成用户数据丢失。目前,由国外传进国内的敲诈勒索病毒大多需要支付比特币赎金才能进行解密,由于比特币完全匿名流通,目前技术手段无法追踪敲诈勒索病毒背后的幕后操纵者,这也使得敲诈勒索病毒从2013年后呈现爆发式增长。

(一)敲诈勒索病毒查杀量

根据检测到的敲诈勒索病毒显示,2017上半年总计已发现敲诈勒索病毒样本数量在300万,平均每月检测到敲诈勒索病毒数量近50万个。5月、6月为拦截病毒的高峰,分别为57万个、53万个。具体数值如 12

 12

(二)敲诈勒索病毒种类

根据相关数据分析显示,512是爆发的WannaCry敲诈勒索病毒是本季度最活跃,影响最大的病毒,该病毒与其他病毒最明显不同的是传播方式,由于使用了windows系统漏洞进行传播,使得该病毒能够在全球范围内传播,成为本季度的热点安全事件。在627号一种名为Petya的新型勒索病毒开始在世界各地传播,其敲诈手段与WannaCry相似,但更具有破坏性,直接加密了用户硬盘的MFT并修改了MBR,导致用户无法进入到windows系统。

以上病毒影响虽大,但从样本量上来统计,通过 13可以看到,样本量最大的还是带有感染传播方式的PolyRansom量最大,此病毒会感染、加密用户的文件进行敲诈,但并没有使用像WannaCry之类的使用AESRSA之类的密钥加密方式,而是使用了简单的加密算法,并且算法可逆,杀毒软件可以帮助用户正常恢复文件,因此影响并不是很大。此类敲诈病毒占了所有敲诈类病毒的78.84%,由此可见感染型病毒的传播能力。

 13

如果去掉感染型病毒敲诈类,实际我们可以看到排在第一的是Blocker,占全部敲诈类病毒的36.82%,第二大类是Zerber,占全部敲诈类病毒的23.63%,第三大类才是本季度影响最大的WannaCry敲诈病毒,占全部敲诈类病毒的12.06%,而WannaCry病毒量之所以快速上升到了第三的位置则是因为传播手段使用了漏洞传播。详细数据见 14

14

(三)敲诈勒索病毒传播方式

目前的敲诈勒索病毒主要采用以下几种传播方式:

敲诈勒索病毒传播方式

文件感染传播

网站挂马传播

利用系统漏洞传播

邮件附件传播

网络共享文件传播

 

 

1、文件感染传播

利用感染型病毒的特点进行传播,如PolyRansom就是利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上后运行,就会使得该电脑的文件也被全部感染加密。

2、网站挂马传播

网站挂马通过是在获取网站或者网站服务器的部分或全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等浏览器漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码。

病毒也可以利用已知的软件漏洞进行攻击,例如利用FlashPDF软件漏洞,向网站中加入带有恶意代码的文件,用户使用带有漏洞的软件打开文件后便会执行恶意代码,下载病毒。

3、利用系统漏洞传播

5月爆发的WannaCry就是利用Windows系统漏洞进行传播,利用系统漏洞传播的特点是被动式中毒,即用户没有去访问恶意站点,没有打开未知文件也会中毒,因为病毒会扫描同网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会被攻击。

腾讯反病毒实验室提醒大家,及时更新第三方软件补丁,及时更新操作系统补丁,以防被已知漏洞攻击。

4、邮件附件传播

通过邮件附件进行传播的敲诈勒索病毒通常会伪装成用户需要查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。这类伪装病毒通过会批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。

5、网络共享文件传播
       一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,病毒作者会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等地方,以分享的方式发送给特定人群诱骗下载安装。

腾讯反病毒实验室提醒大家,下载软件请到官方正规渠道下载安装,切勿下载未知程序,如需要使用未知来源的程序,可提前安装腾讯电脑管家进行安全扫描。

(四)敲诈勒索病毒案例

1、Win32.Trojan.Wannacry类,Wannacry敲诈勒索病毒实际经过多版本更新变化,腾讯反病毒实验早上在2月就已经收到相关样本,但当时Wannacry的传播方式还仅是网站挂马、弱口令破解传播。4月被爆出NSA武器库泄露后,才开始在5月12号大规模使用系统漏洞进行传播。

Wannacry早期版本:

Wannacry 1.0版本:

Wannacry 2.0版本:

 

Win32.Trojan.Reconyc类,该类敲诈勒索病毒将所有文件加密后留下一个txt文本文件,在文件中写有3Email联系方式,同样需要交赎金后联系黑客索要解密工具。与其他类不同的是,此黑客将该病毒自己命名为revenge ransomware

 

Win32.Trojan.Filecoder类,该敲诈勒索病毒在弹出勒索信息时会显示用户的IDPC名及用户名,黑客声称只是使用了加密方式保护了用户的文件,并不承认是在勒索。如果想要解密文件需要使用bitmessage(比特信)软件联系黑客,比特信软件是类似比特币一样的通信工具,它基于一个p2p的去中心化和无须第三方提供信用担保协议,不存在一个中心服务器可以控制你的通信,窃听者也不能通过运行未经授权的程序监听你的消息

 

Win32.Trojan.Jaff类,该敲诈勒索病毒同样会在弹出的勒索信息用显示用户ID,黑客要求用户使用Tor浏览器登录到匿名网页上查看解密办法,因此在页面中仅留下一个洋葱地址,并没有说明需要支付多少赎金。

 

第二章 Android端恶意程序

一、恶意程序检测量

2017年上半年统计数据显示,总计已检测Android病毒样本量1,300多万个,平均每月检测Android病毒样本200万个。3月、6月为检测病毒的高峰,分别为270万个、290万个。具体数值如: 15

 

15

二、恶意程序详细分类

(一)恶意程序种类及量级上的分类

2017Q2季度根据获取到的病毒样本分析,从病毒种类上,PUA(灰色软件)占总体数量的34.56%,是第一大病毒种类。SMS类为第二大病毒种类,占总体数量的13.99%Spy类为第三大病毒种类,占总体数量的8.63%。具体数值如 16(病毒种类上划分)

 

16(病毒种类上划分)

 从病毒样本的数量上来划分,可以看到 17(病毒量级上划分)中排在第一位和第二位仍然是PUASMS,但排在第三位的变成了Ransom类,占总体数量的13.03%

 

17(病毒量级上划分)

(二)第一大类PUA类的详细分类

在第一大类PUA类中,可以详细划分为多种类型的样本。有纯色情类,流氓推广软件类,诱导安装类,诱导分享类,红外或游戏外挂类等有害程序。

PUA类中排在第一位的是色情类样本,占全部PUA类的41.32%,排在第二位的是推广软件类,占全部PUA类的24.82%,排在第三位的是静默下载类,占全部PUA类的14.48%。具体数值如 18

 

 18

Android端恶意程序举例

(一)色情类病毒举例

色情类病毒通常会以较为诱惑的图标或名称引起用户的注意,在用户下载安装后开始在后台进行恶意操作,常见的恶意行为有:扣费、弹广告、下载推广软件、搜集用户信息等。

1、利用诱惑的图标或名称吸引用户安装。

2、申请各类权限,以便后台执行恶意行,如申请读取短信、发送短信等。成功申请权限后可以获取手机用户信息,上传到指定网络中,或直接发送扣费短信获利。

3、弹出广告、下载各类推广软件进行安装,而弹出的广告一般为置顶广告,会在手机桌面上直接显示,无论用户是否直接点击广告还是点击广告上的关闭按钮都会进行下载安装。

4、这些色情类恶意软件如果是视频播放类的就会直接要求充值会员才可以播放,通常即使用户购买会员也不会真实进行播放视频,会虚假的播放几秒而再次要求充值升级会员。如果是游戏类的则要求用户购买相应游戏道具。

 

(二)伪装类病毒举例

伪装类病毒通常会伪装成移动、联通、商业银行等软件,达到欺骗用户安装并骗取用户信息的目的。

1、伪装成正常应用软件,使用相关名称及图标,让用户无法分辨真伪。

2、申请种类权限,准备后台进行恶意行为。如果用户为病毒样本激活了设备管理器权限,病毒样本就可以隐藏图标、静默下载和安装APP、修改用户密码、锁屏等极为敏感操作。

3、伪造界面,欺骗用户填写各类银行信用卡账号及密码,而这些信息都会通过短信或直接上传到网络发送给背后的黑客。

 

(三)敲诈类病毒举例

敲诈类病毒是一种通过锁住用户移动设备,使用户无法使用设备,胁迫用户支付赎金来解锁的一种恶意软件。当用户的移动设备被锁住后,一般情况无论用户关机重启都无法进入到系统。

1、此类病毒通常会使用伪装手段诱骗用户下载安装,一般伪装成色情播放器、游戏外挂、系统工具等软件。

2、一旦病毒被安装运行后,会立即要求申请激活设备管理器权限,因为如果想要锁定用户的手机,必须拥有此权限才能完成。此权限可以修改用户密码、锁定手机、清除数据等。

3、用户激活设备管理器之后,一般会立即锁定,并在屏幕上弹出勒索信息,而即使用户重启手机,也需要解锁密码,此时的解锁密码是木马自动设置的,已无法得知。用户强制恢复出厂设置时,也是需要输入密码的,因此用户也没有办法恢复出厂设置。

 

敲诈类病解除办法

腾讯反病毒实验室对移动设备敲诈锁屏类木马进行了专项查杀,可帮助用户解除密码,清除相关木马。只需要用户安装腾讯电脑管家,在工具箱中即可找到此工具。

 

附录1  2017年上半年网络安全事件盘点

一、维基解密CIA绝密文件泄露事件

37日维基解密(WiKiLeaks)公布了数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密,根据泄密文档中记录的内容,该组织不仅能够入侵iPhone手机、Android手机和智能电视,而且还可以入侵攻击WindowsMacLinux操作系统,甚至可以控制智能汽车发起暗杀活动。外界将此次泄漏事件取名为Vault 7Vault 7公布的机密文件记录的是美国中央情报局(CIA)所进行的全球性黑客攻击活动.

Vault7包含8761份机密文档及文件,这些文件记录了CIA针对Android以及苹果智能手机所研发的入侵破解技术细节,其中有些技术还可以拿到目标设备的完整控制权。维基解密创始人阿桑奇表示,文件显示出“CIA网络攻击的整体能力”,而维基解密在发布这些文件时声称“CIA的网络军械库已失控”

 

二、影子经纪人公开NSA(美国国家安全局)黑客武器库

414日,影子经纪人(Shadow Brokers)在steemit.com上公开了一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。任何人都可以使用NSA的黑客武器攻击别人电脑。其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。

 

三. WannaCry敲诈勒索病毒512日在全球爆发

512日,WannaCry(想哭)比特币勒索病毒让在全球范围内爆发,本次事件涉及到150多个国家和地区,10多万的组织和机构受到影响,影响30多万网民,损失总计高达500多亿人民币,包括医院,教育机构,政府部门都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播,是此次攻击事件大规模爆发的重要原因。

用户中毒后最明显的症状就是电脑桌面背景被修改,许多文件被加密锁死,病毒弹出提示,要求用户向相关比特币地址转账300美元以便解锁文件。目前安全公司已经找到恢复加密文件的相关办法。

 

四、FireBall火球病毒感染超过2.5亿电脑

61日国外安全机构Check Point发报告说在国外爆发了FireBall病毒,并声称全球有超过2.5亿台电脑受到感染,其中受影响最大的国家分别是印度(10.1%)和巴西(9.6%)。美国有550万台电脑中招,占2.2%。受感染的企业网络中,印度和巴西分别占到43%38%,美国则为10.7%

此恶意软件强行将浏览器主页改为自家网站和搜索引擎,并将搜索结果重定向到谷歌或雅虎。这些伪造的搜索引擎跟踪用户数据,暗中搜集用户信息。而制作此病毒的作者为中国的Rafotech公司,目前该公司网站已无法访问

 

五、“暗云”系列病毒升级为“暗云III”再度来袭,增加DDoS攻击

69日,腾讯电脑管家检测到早在2015年就被首次发现并拦截查杀的“暗云Ⅲ”病毒“死灰复燃”,通过下载站大规模传播,同时通过感染磁盘MBR实现开机启动,感染用户数量已达数百万。

升级过后的“暗云III”将主要代码存储在云端,可实时动态更新,其功能目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页id等。用户一旦中招,电脑便会沦为“肉鸡”形成“僵尸网络”,目前已经开始利用DDoS攻击影响搭建在某云服务商平台上的棋牌类网站,导致该网站访问变得异常卡慢。

 

六、Android移动设备出现类似WannaCry敲诈勒索病毒

6月初一种新的勒索病毒开始在手机出现,该病毒界面和勒索手法几乎与5WannaCry病毒一致,通过冒充王者荣耀等时下热门手游辅助工具诱导用户下载安装,病毒运行后会对手机中的照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。

河南安阳警方官方微博@平安安阳表示,目前已在腾讯守护者计划安全团队的协助下抓获了勒索病毒制作者:67日上午,专案组分别在芜湖、安阳将勒索病毒制作者陈某(男,20岁,安徽芜湖人)及主要传播者晋某(男,13岁,安阳市人)抓获。同时,在该两人的手机上找到了相关电子证据。

 

 

七、新一轮“勒索病毒”Petya来袭,更具破坏性

627日新一轮勒索病毒Petya袭击了欧洲多个国家,包括乌克兰、俄罗斯、印度、西班牙、法国、英国、丹麦等国家都遭受了攻击,这些国家的政府、银行、企业、电力系统、通讯系统及机场等都受到了不同程序的影响。

此病毒相比WannaCry更具破坏性,病毒对电脑的硬盘MFT进行了加密,并修改了MBR,让操作系统无法进入,而根据相关的分析表示,开机界面上留下来的信息即使提供给黑客也是没有办法进行解密的,因此,不得不怀疑此次Petya病毒的真正目的。Petya更像是在做有目的性的攻击,对目标进行无法修复的破坏性攻击,而并非以敲诈勒索为目的。

 

 

 

 

 

 

 

 

 

 

 

相关热点分析