360齐向东：敲诈者病毒将泛滥成灾

　　 9月22日，首届国际反病毒大会在天津召开，360公司创始人兼总裁、360企业安全集团董事长齐向东在大会做主旨演讲时表示，当前，网络威胁层出不穷，随着匿名互联网等技术的兴起，病毒产业造成的危害也在不断升级。他预警，当前正在爆发的敲诈者病毒创新的技术模式、盈利模式正在被大批病毒制造者学习复制，未来将泛滥成灾。

　　敲诈者病毒猖獗 动辄勒索上万元

　　最近，南方一家科技公司的信息主管向360公司求助，他办公室电脑内部网盘被Cerber病毒感染，重要的资料文件都不能正常使用了，病毒作者要求每个文件支付1.25个比特币才给解密，按照现在比特币的价钱，也就是说，每个文件都要被勒索6000多人民币。他系统里一共有几千个重要的文件，要是全部解密需要100多万元。

　　这个Cerber病毒是敲诈者病毒的一种，是不法分子通过对感染者的重要文件加密等方式，向用户敲诈钱财才予以解密的一种恶意软件。

　　齐向东透露，从2014年开始，360就陆续收到类似求助，一开始，这个病毒基本上是国外比较流行，在中国范围内，被感染的多是外贸相关的机构，属于偶然性的中招。但现在，已经是对国内有针对性的进行攻击了，被攻击人数也在快速增长。有一家央企，曾在两周之内中招三次。

　　根据360威胁情报中心监测，全球范围内，敲诈者病毒的多达80个家族，特别流行的是其中7个家族。2015年第四季度，全球敲诈者病毒数量较上一季度增加了26%，600万敲诈者病毒尝试安装到电脑。仅2016年上半年，我国国内有超过58万台电脑遭到了敲诈者木马攻击，且有多达5万多台电脑最终感染了敲诈者木马，平均每天有约300台国内电脑感染敲诈者木马。

　　2016年2月以来，360威胁情报中心监测到，一大波敲诈者病毒大规模爆发，敲诈者病毒向企业、医院、银行、政府机构、企事业单位及律师、作家等群体进行攻击，窃取高价值文件。目前，敲诈者病毒攻击范围也在不断扩大，已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果被感染的设备连接了企业的网络共享存储，那么共享存储中的文件也可能会被加密。

　　创新的盈利模式和技术模式正在被复制

　　以往的病毒传播，拼的是技术，谁用的技术新，漏洞厉害，传播就广，病毒制作者获利就大。但这类敲诈者病毒用的却都是已经有很长时间的成熟老技术，例如已经有几十年历史的非对称加密技术，十几年历史的匿名网络技术洋葱头(也叫Tor)，七八年历史的比特币技术等。

　　但是，他们把这些传播技术重新组合起来，形成了一个新的技术模式，只要一次运行，把文件加密了就能开始勒索，因为加密在这一次运行的时候就完成了，也就不需要修改系统来常驻，不用想办法隐藏自己，也不用和远端建立连接。杀毒软件以前的层层防护在这种技术模式面前，就没什么用了。因为就算杀毒软件把它删除了，用户还是得乖乖交钱才能解密文件。在这个技术模式里，匿名技术的使用避免了对黑客的追踪，让这些犯罪分子有恃无恐，也加剧了敲诈者病毒的泛滥。

　　同时，这个新的技术模式也构造了新的盈利模式，就是直接从终端用户那里捞钱。之前的病毒也好，木马也好，他们的盈利模式都是要感染很大的量，然后把这些终端当作“肉鸡”，刷流量、装软件，一个终端赚十几块钱，要想盈利，一方面要感染很大的量，另一方面要能够在这些终端上持久地存活下来。但是敲诈者只要感染几个重要的用户，让他们交赎金，就能从一个终端上至少赚到几个比特币，折算下来就是一万多块钱，这笔钱以前是要感染一千个终端才能赚到的。

　　齐向东说，因为这个商业模式很创新，技术门槛也不高，匿名互联网技术又保证了自己不会暴露，大量的黑客开始学习敲诈者病毒的攻击思路和技术手段，大量应用于黑产。比如，360威胁情报中心发现，出现了大量假的敲诈者病毒，他们对文件的加密方式实际上是可以解密的，但在他弹出的敲诈页面上声称自己用的是敲诈者病毒使用的rsa4096结合aes的加密方式，让用户误以为自己的文件无法解密而支付赎金。这个特点，很明显就是技术能力并不高的黑客在学习敲诈者病毒的思路，“移花接木”，用于犯罪。

　　正是因为黑产普遍都学到了这个套路，所以我们观察到敲诈者病毒开始泛滥了，未来很可能会泛滥成灾。

　　每天拦截6000余次 “敲诈先赔”提供保障

　　齐向东提到，为了治理敲诈者病毒，360成立了特别行动小组。360公司拥有13亿终端用户和全球最大的网址库和第三方数据库，目前样本库的总样本已经超过了95亿条，每天还在源源不断地更新中。360利用大数据和云安全技术，加上网民的协同，能多维度的进行安全数据监控，快速地捕获样本，对样本进行快速的分析和机器学习，并迅速响应升级，从而做到360安全卫士、360天擎等安全软件能对各类敲诈者病毒及其最新变种进行拦截和查杀，目前，每天拦截敲诈者病毒高达6千多次。

　　360还独家研发了独有的文档防护功能。这个功能是从源头上保护用户的重要数据，只要判断为非正常地试图修改文档时，就会进行拦截。也就是说，不管敲诈者有多少种新的变种，也无法达到破坏重要数据的目的。

　　“这套技术上线之后，取得了很好的效果，安装了360的用户几乎没有中招的。基于对我们技术的信心，今年9月初我们推出了敲诈先赔服务。“齐向东告诉记者，对于所有安装了360安全卫士的互联网用户，如果开启“360文档保护功能”和“360反勒索服务”，仍然感染了敲诈者木马，360可以代替用户向黑客缴纳最高3个比特币(大约13000元人民币)的赎金。对于安装了360天擎的企业用户，如果用户在开启了敲诈先赔功能后仍然感染了敲诈者病毒，360企业安全集团负责赔付赎金，提供每个企业最高一百万元的先赔保障。

　　自从推出“敲诈先赔“服务以来，360公司已经收到了大约100起被敲诈者病毒加密的用户案件，所有都是由于没有安装360或者退出360的防护导致中招，没有一起是由于360没有防住导致的。