国内日均300台电脑感染敲诈者木马 受害者日付赎金逾174万

　　360互联网安全中心近日发布的《敲诈者木马威胁形势分析报告》披露，2016年上半年，平均每天有约300台国内电脑感染敲诈者木马；2016年4月-7月间，攻击者每天可以从国内受害者手中获得约174万-459万元人民币的赎金。

　　粤浙京用户成为感染者重灾区

　　根据360互联网安全中心的监测，仅2016年上半年，共截获电脑端新增敲诈者病毒变种74种，涉及PE样本40000多个，涉及非PE文件10000多个，全国至少有580000多台用户电脑遭到了敲诈者病毒攻击，且有多达50000多台电脑最终感染敲诈者病毒。

　　360互联网安全中心分析，造成攻击成功率如此之高的主要原因有以下两个方面：一是电脑感染木马前用户未使用安全软件，或所使用安全软件不具备充分的主动防御能力，不能准确识别此类木马或此类木马的攻击行为；二是在木马的表面诱惑下，很多用户无视安全软件的风险提示，手动放行了木马程序。

　　根据360互联网安全中心的监测，在2016年4月1日至5月15日期间感染敲诈者木马的国内电脑用户遍布全国所有省份，其中，广东占比最高，为14.4%，其次是浙江8.2%，北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%。

　　而就感染敲诈者木马的企业用户而言，北京地区最多，占比为13.1%，浙江、广东各占11.9%，排在第二、第三位。相比于普通个人电脑用户，企业用户的感染者更为集中，排名前十的省份的感染者总量占国内所有感染者的75.7%。

　　执行器挂马式攻击占比超过60%

　　监测显示，近期的敲诈者木马主要采用邮件钓鱼、下载器挂马(JS挂马)、执行器挂马(DLL挂马)方式传播。

　　其中，钓鱼邮件是一种比较经典的木马传播方式，主要手法是将恶意程序以邮件附件的形式发送给攻击目标。一旦被攻击者打开或运行邮件的附件，恶意程序就会被执行。

　　下载器挂马(JS挂马)是一种比较传统的网页挂马攻击方式，主要方法是在页面中嵌入恶意的JS脚本，一旦用户使用有漏洞的，且不具备主动防御能力的浏览器或其他客户端软件访问该挂马网页时，恶意的JS脚本就会被运行。

　　执行器挂马(DLL挂马)是最近新出现的一种网页挂马传播方式，而且已经成为了最主流的传播方式。其主要攻击方式是通过页面挂马程序注入浏览器，启动并执行一个dll类的木马程序。

　　360互联网安全中心统计，尽管传统的钓鱼邮件攻击仍然存在，但占比已经仅为14%。而执行器挂马攻击则已经成为最主要的攻击方式，占比超过了60%，下载器挂马排第二，占比为24%。由于微软早前已经停止了对IE浏览器的更新，预计国内IE用户遭遇敲诈者木马的挂马攻击的风险还会继续加大。

　　八成国内被攻击者为普通个人用户

　　360互联网安全中心通过对敲诈者木马的受害者的调研分析发现，在敲诈者木马攻击的国内目标人群中，有19.7%的人为企业用户，而另外80.3%左右的国内被攻击者为普通个人用户。

　　360互联网安全中心指出，相比于普通个人用户，企业用户的攻击价值往往要高得多，因为企业用户电脑中所存储的数据往往更具机密性和不可复制性，因此企业用户为恢复文件而支付赎金的意愿也要比普通个人用户强得多。但从另一个角度来看，普通个人用户在上网安全意识和防护技术水平等方面都比较欠缺，因此也更容易被攻击并中招，攻击者一旦将普通用户设定为攻击目标，其对整个互联网的危害也将更加严重。

　　统计显示，能源行业是敲诈者木马排在首位的重灾区，占受害企业用户总量的36.0%，其次是金融业，占28.2%。学校7.6%，政府及事业单位4.3%和制造业4.3%分列其后。

　　360互联网安全中心针对近期最为活跃的部分敲诈者木马的C&C服务器域名进行了分析，结果显示：com域名被使用的最多，超过了总量的一半，为51.4%，org和net占比分别为8.0%和7.8%。此外，具有明显国家归属的域名，如uk(英国)、ru(俄罗斯)、au(澳大利亚)等，也占到了总量的25.5%左右，其中，属于欧洲国家的域名最多，占17.5%，其次是亚洲国家2.9%，大洋洲国家2.0%。

　　不能实现百分之百有效防御

　　360互联网安全中心介绍，任何安全防护措施都不可能对木马病毒实现百分之百的有效防御，一旦用户电脑感染木马病毒，帮助用户挽回损失，才是安全企业应尽的责任。

　　针对危害日益严重的敲诈木马，360互联网安全中心自2016年8月15日起开始实施“反勒索服务”：一旦使用360安全卫士的用户开启此项服务，在没有看到360安全产品的任何风险提示的情况下感染敲诈者木马，可以直接通过360反勒索服务申请赔付，360公司将替受害者支付最高3个比特币的赎金。

　　对于普通用户，360互联网安全中心建议，不要轻易打开陌生人发来的邮件附件或正文中的网址链接；不要轻易打开后缀名为js或dll的陌生文件。如果陌生人发来的邮件附件为压缩格式，请不要轻易点开，如果附件解压后有后缀名为js的文件，则千万不要打开。电脑应当安装具有云防护和主动防御功能的安全软件，以使电脑尽可能避免遭到敲诈者木马的攻击。

　　此外，尽量使用安全浏览器，以免电脑遭到挂马攻击。打开邮件附件或其他从网络上接受的文件(如聊天软件传输)前，应首先使用安全软件对其进行扫描检测。对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。如果电脑已经被敲诈者木马感染，可以通过敲诈者木马赎金计划来减小自身的经济损失。