360網(wǎng)際網(wǎng)路安全中心近日發(fā)佈的《敲詐者木馬威脅形勢分析報告》披露，2016年上半年，平均每天有約300臺國內(nèi)電腦感染敲詐者木馬；2016年4月-7月間，攻擊者每天可以從國內(nèi)受害者手中獲得約174萬-459萬元人民幣的贖金。

　　粵浙京用戶成為感染者重災(zāi)區(qū)

　　根據(jù)360網(wǎng)際網(wǎng)路安全中心的監(jiān)測，僅2016年上半年，共截獲電腦端新增敲詐者病毒變種74種，涉及PE樣本40000多個，涉及非PE文件10000多個，全國至少有580000多臺用戶電腦遭到了敲詐者病毒攻擊，且有多達(dá)50000多臺電腦最終感染敲詐者病毒。

　　360網(wǎng)際網(wǎng)路安全中心分析，造成攻擊成功率如此之高的主要原因有以下兩個方面：一是電腦感染木馬前用戶未使用安全軟體，或所使用安全軟體不具備充分的主動防禦能力，不能準(zhǔn)確識別此類木馬或此類木馬的攻擊行為；二是在木馬的表面誘惑下，很多用戶無視安全軟體的風(fēng)險提示，手動放行了木馬程式。

　　根據(jù)360網(wǎng)際網(wǎng)路安全中心的監(jiān)測，在2016年4月1日至5月15日期間感染敲詐者木馬的國內(nèi)電腦用戶遍佈全國所有省份，其中，廣東佔比最高，為14.4%，其次是浙江8.2%，北京7.0%。排名前十的省份的感染者總量佔國內(nèi)所有感染者的62.2%。

　　而就感染敲詐者木馬的企業(yè)用戶而言，北京地區(qū)最多，佔比為13.1%，浙江、廣東各佔11.9%，排在第二、第三位。相比于普通個人電腦用戶，企業(yè)用戶的感染者更為集中，排名前十的省份的感染者總量佔國內(nèi)所有感染者的75.7%。

　　執(zhí)行器掛馬式攻擊佔比超過60%

　　監(jiān)測顯示，近期的敲詐者木馬主要採用郵件釣魚、下載器掛馬(JS掛馬)、執(zhí)行器掛馬(DLL掛馬)方式傳播。

　　其中，釣魚郵件是一種比較經(jīng)典的木馬傳播方式，主要手法是將惡意程式以郵件附件的形式發(fā)送給攻擊目標(biāo)。一旦被攻擊者打開或運(yùn)作郵件的附件，惡意程式就會被執(zhí)行。

　　下載器掛馬(JS掛馬)是一種比較傳統(tǒng)的網(wǎng)頁掛馬攻擊方式，主要方法是在頁面中嵌入惡意的JS腳本，一旦用戶使用有漏洞的，且不具備主動防禦能力的瀏覽器或其他客戶端軟體訪問該掛馬網(wǎng)頁時，惡意的JS腳本就會被運(yùn)作。

　　執(zhí)行器掛馬(DLL掛馬)是最近新出現(xiàn)的一種網(wǎng)頁掛馬傳播方式，而且已經(jīng)成為了最主流的傳播方式。其主要攻擊方式是通過頁面掛馬程式注入瀏覽器，啟動並執(zhí)行一個dll類的木馬程式。

　　360網(wǎng)際網(wǎng)路安全中心統(tǒng)計，儘管傳統(tǒng)的釣魚郵件攻擊仍然存在，但佔比已經(jīng)僅為14%。而執(zhí)行器掛馬攻擊則已經(jīng)成為最主要的攻擊方式，佔比超過了60%，下載器掛馬排第二，佔比為24%。由於微軟早前已經(jīng)停止了對IE瀏覽器的更新，預(yù)計國內(nèi)IE用戶遭遇敲詐者木馬的掛馬攻擊的風(fēng)險還會繼續(xù)加大。

　　八成國內(nèi)被攻擊者為普通個人用戶

　　360網(wǎng)際網(wǎng)路安全中心通過對敲詐者木馬的受害者的調(diào)研分析發(fā)現(xiàn)，在敲詐者木馬攻擊的國內(nèi)目標(biāo)人群中，有19.7%的人為企業(yè)用戶，而另外80.3%左右的國內(nèi)被攻擊者為普通個人用戶。

　　360網(wǎng)際網(wǎng)路安全中心指出，相比于普通個人用戶，企業(yè)用戶的攻擊價值往往要高得多，因為企業(yè)用戶電腦中所存儲的數(shù)據(jù)往往更具機(jī)密性和不可複製性，因此企業(yè)用戶為恢復(fù)文件而支付贖金的意願也要比普通個人用戶強(qiáng)得多。但從另一個角度來看，普通個人用戶在上網(wǎng)安全意識和防護(hù)技術(shù)水準(zhǔn)等方面都比較欠缺，因此也更容易被攻擊並中招，攻擊者一旦將普通用戶設(shè)定為攻擊目標(biāo)，其對整個網(wǎng)際網(wǎng)路的危害也將更加嚴(yán)重。

　　統(tǒng)計顯示，能源行業(yè)是敲詐者木馬排在首位的重災(zāi)區(qū)，佔受害企業(yè)用戶總量的36.0%，其次是金融業(yè)，佔28.2%。學(xué)校7.6%，政府及事業(yè)單位4.3%和製造業(yè)4.3%分列其後。

　　360網(wǎng)際網(wǎng)路安全中心針對近期最為活躍的部分敲詐者木馬的C&C伺服器域名進(jìn)行了分析，結(jié)果顯示：com域名被使用的最多，超過了總量的一半，為51.4%，org和net佔比分別為8.0%和7.8%。此外，具有明顯國家歸屬的域名，如uk(英國)、ru(俄羅斯)、au(澳大利亞)等，也佔到了總量的25.5%左右，其中，屬於歐洲國家的域名最多，佔17.5%，其次是亞洲國家2.9%，大洋洲國家2.0%。

　　不能實現(xiàn)百分之百有效防禦

　　360網(wǎng)際網(wǎng)路安全中心介紹，任何安全防護(hù)措施都不可能對木馬病毒實現(xiàn)百分之百的有效防禦，一旦用戶電腦感染木馬病毒，幫助用戶挽回?fù)p失，才是安全企業(yè)應(yīng)盡的責(zé)任。

　　針對危害日益嚴(yán)重的敲詐木馬，360網(wǎng)際網(wǎng)路安全中心自2016年8月15日起開始實施“反勒索服務(wù)”：一旦使用360安全衛(wèi)士的用戶開啟此項服務(wù)，在沒有看到360安全産品的任何風(fēng)險提示的情況下感染敲詐者木馬，可以直接通過360反勒索服務(wù)申請賠付，360公司將替受害者支付最高3個比特幣的贖金。

　　對於普通用戶，360網(wǎng)際網(wǎng)路安全中心建議，不要輕易打開陌生人發(fā)來的郵件附件或正文中的網(wǎng)址連結(jié)；不要輕易打開尾碼名為js或dll的陌生文件。如果陌生人發(fā)來的郵件附件為壓縮格式，請不要輕易點開，如果附件解壓後有尾碼名為js的文件，則千萬不要打開。電腦應(yīng)當(dāng)安裝具有雲(yún)防護(hù)和主動防禦功能的安全軟體，以使電腦盡可能避免遭到敲詐者木馬的攻擊。

　　此外，儘量使用安全瀏覽器，以免電腦遭到掛馬攻擊。打開郵件附件或其他從網(wǎng)路上接受的文件(如聊天軟體傳輸)前，應(yīng)首先使用安全軟體對其進(jìn)行掃描檢測。對於安全性不確定的文件，可以選擇在安全軟體的沙箱功能中打開運(yùn)作，從而避免木馬對實際系統(tǒng)的破壞。如果電腦已經(jīng)被敲詐者木馬感染，可以通過敲詐者木馬贖金計劃來減小自身的經(jīng)濟(jì)損失。