敲诈者木马是一类特殊形态的木马,它们通过给用户电脑或手机中的系统、屏幕或文件加密的方式,向目标用户进行敲诈勒索。http://www.hibor.com.cn【慧博投研资讯】
根据360互联网安全中心的监测,仅2016年上半年,共截获电脑端新增敲诈者病毒变种74种,涉及PE样本40000多个,涉及非PE文件10000多个,全国至少有580000多台用户电脑遭到了敲诈者病毒攻击,且有多达50000多台电脑最终感染敲诈者病毒,平均每天有约300台国内电脑感染敲诈者木马。http://www.hibor.com.cn(慧博投研资讯)
监测显示,近期的敲诈者木马主要采用以下三种传播方式:邮件钓鱼、下载器挂马(JS挂马)、执行器挂马(DLL挂马)。
通过对敲诈者木马的受害者的调研分析,在敲诈者木马攻击的国内目标人群中,有19.7%的人为企业用户,而另外80.3%左右的国内被攻击者为普通个人用户。
感染敲诈者木马的国内电脑用户遍布全国所有省份,其中,广东占比最高,为14.4%,其次是浙江8.2%,北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%。
用户反馈显示,目前绝大多数的敲诈者木马均以比特币为赎金支付方式,从而使资金流向和攻击者本人都无法被追踪。赎金的金额一般为2-3个比特币。2016年4月底-5月初,1个比特币价格约为2900元,而到了2016年6月,1个比特币的价格一度高涨到了最高5100元。据此计算,2016年4至今,如果有用户按照攻击者限定的时间支付赎金,赎金额度应在5800-15300元人民币。
统计显示,仅自2015年4月敲诈者木马开始大规模爆发至2016年5月15日,360互联网安全中心就已经累计监测到各类敲诈者木马C&C服务器8000余个。其中,com域名被使用的最多,超过了总量的一半,为51.4%,org和net占比分别为8.0%和7.8%。此外,欧洲国家的域名占比为17.5%,在各大洲中占比最高。
在国内曾有过不同规模爆发的PC端敲诈者木马家族主要是以下几个:CTB-Locker、CryptoLocker、Cryptowall、Locky、Teslacrypt、VirLocker。
一旦电脑感染了敲诈者木马(不包括锁屏木马或采用对称加密技术等简单的敲诈者木马),期望通过其他技术手段恢复系统文件的愿望通常来说都是无法实现的。