深入调查“比特币勒索者”背后的大型僵尸网络

背景

今年1月首次出现在中国的“比特币敲诈者”病毒现在呈指数级爆炸式增长。腾讯反病毒实验室最近发现该病毒有疯狂的变种。仅5月7日，新变种数量就达到13万，不仅勒索用户，甚至窃取个人隐私。据腾讯反病毒实验室分析，从攻击源上看，这是一场由黑客控制的僵尸网络以互联网邮件为传输载体发起的风暴。

（“比特币敲诈者”呈指数级增长）

比特币是一种新兴的在线虚拟货币，因其可以转换为大多数国家的货币而受到全球广泛追捧。与此同时，一种名为“CTB-Locker”的“Bitcoin Blackmailer”病毒也在全球肆虐。它对用户电脑中的文档、图片等文件进行远程加密，向用户勒索赎金，否则这些加密文件将在指定时间被​​永久销毁。目前，腾讯电脑管家可以准确识别并完美查杀，保障用户电脑安全。

僵尸网络帮助“比特币勒索者”崛起

据腾讯反病毒实验室监测，“比特币勒索者”的攻击源大部分来自美国，其次是法国和土耳其。从IP上看，这些攻击的源头来自黑客控制的僵尸网络，黑客利用该僵尸网络发起电子邮件风暴。邮件内容多为接收发票等，诱导用户点击下载附件。

（“比特币敲诈者”攻击源分布）

所谓僵尸网络比特币专家分析，是指利用一种或多种传播手段，使大量主机感染僵尸程序（bot program）病毒，从而在控制器与被感染主机之间形成一对多的可控网络。 . . 攻击者通过各种方式传播僵尸程序，感染互联网上的大量主机，被感染的主机会通过控制通道接收攻击者的指令，形成僵尸网络。

据了解，之所以使用僵尸网络这个名称，是为了让人们更加形象地认识到这种危害的特点：很多计算机就像中国古代传说中的僵尸群一样，在不知不觉中被驱动和指挥。成为人们使用的工具。

（僵尸网络帮助“比特币敲诈者”变得更加猖獗）

“比特币勒索者”在全球发起攻击，中国是目标之一。据腾讯反病毒实验室监测，四川、广东、北京是重灾区，占比过半。而且，受害者多为企业，所以“比特币勒索者”不仅针对“高端”用户，还针对企业单位员工，因为企业员工的证件更具商业价值，会强制支付赎金.

（“比特币勒索者”受害者区域分布）

国家互联网应急中心监测的最新数据显示，仅2014年上半年，中国就有超过625万台主机被黑客用作木马或僵尸网络控制的终端，1.5万个网站链接被用于传播恶意代码，2.5万多个网站植入后门程序，3.捕获移动互联网恶意程序6万多个，信息系统高危漏洞1243个。

腾讯反病毒实验室安全专家表示，僵尸网络构成攻击平台，可有效发起各种攻击，可导致整个基础信息网络或重要应用系统瘫痪，也可导致大量机密信息泄露。或泄露个人隐私，也可用于从事网络诈骗等其他违法犯罪活动。无论是对整个网络，还是对用户本身，都造成了严重的危害。“比特币敲诈者”利用僵尸网络发动邮件风暴，进行各种攻击。

“比特币敲诈者”的疯狂变种可能会窃取隐私

据了解，“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、高敲诈金额、攻击高端人群、招收高伤害等“五高”特点。一旦用户受到攻击，病毒就会浏览所有文档（以.txt、.doc、.zip等为后缀的文件）和图片（以.jpg、.png等为后缀的文件），并对这些文件进行加密，使用户无法打开它们。必须支付一定数量的“比特币”作为赎金才能恢复文件内容。

（用户必须支付赎金才能解锁文件）

据腾讯反病毒实验室监测数据显示，今年4月以来，“比特币敲诈者”疫情最为严重。为了避免对静态签名的检测和查杀，病毒在不断进化，图标选择较多。文档图标（如doc、pdf等），其自身的外壳不断变形、变异。其中，新变种在5月7日达到最高值，单日高达13万！

（“比特币敲诈者”突变趋势）

同时，从数据变化规律来看，“比特币敲诈者”的攻击在周末急剧下降，几乎降为零，而在平日，攻击暴增，数据有规律的波动。可以猜测，这是一次有组织的大规模攻击，黑客的工作时间和我们白领一样，周一到周五上班，周六周日下班。

腾讯反病毒实验室安全专家表示，最近发现的“比特币勒索”病毒不仅对用户进行勒索，还增加了盗号功能。、网银账户、比特币钱包等，威胁用户财产安全。目前，腾讯安全团队首次对该病毒进行了深入分析，可以完美查杀此类病毒及所有变种。

赎回文件要上千元，安全专家提供防范技巧

据路透社报道，“比特币勒索者”病毒来自一位名叫 Evgeniy Mikhailovich Bogachev 的俄罗斯黑客，他使用这种类型的勒索软件木马病毒感染了 12 个国家的超过 100 万台计算机，并使经济损失超过 1 亿美元。根据 FBI 官网，Bogchev 在 FBI 的十大通缉黑客名单中排名第二，是一个网络犯罪集团的头目。FBI 悬赏 300 万美元悬赏 Bogchev，这是美国在网络犯罪案件中提供的最大悬赏。

专家强调，正是因为危害更大，FBI才为抓获病毒作者提供如此高的奖励。一旦用户被招募，就意味着合同的电子版、旧照片、新写的项目、新制作的设计在病毒加密下都无法打开。病毒制造者主要利用用户恢复文件的渴望进行勒索，成功率极高。据悉，虽然近期比特币市场一直处于低迷状态，但单笔交易价格也在1391元左右（4月20日数据更新），所以虽然是少数比特币敲诈，但对于用户来说却是一笔不小的数目。

（电脑管家屏蔽技巧）

专家提醒，不要轻易下载来历不明的文件比特币专家分析，尤其是.exe和.scr后缀的可执行文件，也不要只用图标来判断文件的安全性。安装腾讯电脑管家可以有效识别文件的安全性，并能实时的电脑安全。另外，平时要养成备份的习惯，把一些重要的文件备份到移动硬盘和网盘上。一旦被木马感染，也可以及时补救。