近日,火绒安全实验室发布预警,称“‘微信支付’勒索病毒正在快速传播”,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。支付宝安全中心回应称,对此类风险早有防范。
这款名为Bcrypt的病毒首先攻击的是软件开发者的电脑,导致开发者使用某工具编程的软件均带毒。用户下载这些“带毒”软件后电脑就会被感染。病毒能获取键盘记录,这样当用户在各种平台上输入账号、密码时,便会泄露给病毒作者。
对于勒索病毒,不少人有疑问,先来科普下什么事勒索病毒。
介绍
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“度中国媒体十大新词语”。
据“火绒威胁情报系统”监测和和评估,从初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。
相关事件
5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。
6月27日,欧洲、北美地区多个国家遭到“NotPetya”病毒攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”。
10月24日,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。[7]
2月,多家互联网安全企业截获了Mind Lost勒索病毒。[8]
2月,中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现,此次出现的勒索病毒正是GlobeImposter家族的变种,该勒索病毒将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。[9]
3月1日,有杀毒软件厂商表示,他们监测到了“麒麟2.1”的勒索病毒。[10]
3月,国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏,勒索用户付费解锁,对用户财产和手机安全均造成严重威胁。[11]
从初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。[4]
应对方案
根据勒索病毒的特点可以判断,其变种通常可以隐藏特征,但却无法隐藏其关键行为,经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面:
1、通过脚本文件进行Http请求;
2、通过脚本文件下载文件;
3、读取远程服务器文件;
4、收集计算机信息;
5、遍历文件;
6、调用加密算法库。
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
支付宝安全中心表示,已第一时间跟进,目前没有一例支付宝账户受到影响。针对此类风险,支付宝风控系统早有针对性的防护,包括二次校验短信校验码、人脸识别等。即便密码泄露,也能最大程度的确保账户安全。
据介绍,在智能风控的保护下,支付宝的资损率低至千万分之五。即便出现小概率的账户被盗,支付宝也承诺会全额赔付。
