北京新浪網 2015-05-03
近日,一種名為「CTB-Locker」的比特幣敲詐病毒在國內爆發式傳播,該病毒通過遠程加密用戶電腦文件,從而向用戶勒索贖金,用戶文件只能在支付贖金後才能打開。反病毒專家稱,目前國內外尚無法破解該病毒。
據外媒報導,該病毒的始作俑者為美國聯邦調查局(FBI)最高網路罪犯賞金通緝犯俄羅斯籍黑客波格契夫,目前仍未歸案。
中毒電腦無法打開文件
4月27日,在北京一家公司擔任市場總監助理的小徐查收企業郵箱郵件時,打開一封發件人為「bothman」的郵件,發現一封名為「term and condition」的附件,郵件圖標顯示為一個寫字板。小徐回憶:「這封郵件不是出現在垃圾箱和廣告郵件的文件夾里,我怕是重要的工作郵件,就打開了附件。」
附件內容為全英文。十分鐘後,小徐的電腦屏幕上出現一個彈窗,彈窗顯示:「your personal files are encrypted by CTB-Locker」(你的私人文件已被CTB-Locker加密),並提示要在96個小時內支付3個比特幣才能解密。彈窗無法關掉,只能收起,並已經開始倒計時。小徐發現,自己電腦上所有文件全部無法打開。
她拍下彈窗圖片發到朋友圈介紹了自己的遭遇:「開始我以為這就是一般騙錢的廣告,況且我根本不知道比特幣是什麼,看了很多朋友的評論后我才意識到自己打開的那封英文郵件讓我的電腦中病毒了。」小徐說。
截至4月30日13時許,桌面彈窗顯示,離小徐的電腦文件被鎖死還剩21個小時。但反病毒專家告知小徐,目前唯一的辦法是向對方支付3個比特幣。比特幣是一種電子貨幣,目前單個比特幣的成交價約1,400元人民幣。
「我從同事那兒找回了大部分重要的文件,不給黑客交贖金。」小徐在網路專家的幫助下重裝了系統,但一些文件還得加班重做。
木馬瞄準「有錢人」
據360網路安全中心監測,目前日均截殺該木馬樣本超過4,000個,粗略估計有超過400台電腦被感染。「這幾天日攔截量持續上升,有爆發趨勢。至今保守估計已造成國內上千台電腦中招,造成經濟損失可能會達到上千萬元。」反病毒專家王亮稱近兩日接到多起同類病毒中毒求助,其中不乏國內某些知名企業高管。
「『CTB-Locker』運用的是4096位演算法」,王亮介紹,這種演算法,普通電腦需要幾十萬年才能破解出來,超級電腦破解所需時間也可能得按年計算,目前國內外尚無任何機構和個人能夠破解該病毒,支付贖金是恢復文件的唯一辦法。
王亮介紹,「CTB-Locker」病毒主要通過郵件附件傳播,因敲詐金額較高,該類木馬投放精準,瞄準「有錢人」,通過大企業郵箱、高級餐廳官網等方式傳播。十分鐘後,木馬會給受感染電腦中的docx、pdf、xlsx、jpg等110種文件加密,幾乎覆蓋全部類型的文檔和圖片,使其無法正常打開。
中木馬後,雖然可以使用殺毒軟體殺掉該木馬,但加密文件沒有任何辦法還原。如果超過96小時未支付,木馬不再彈窗,加密文件也隨之被永久鎖定。
背景: 病毒作者被FBI懸賞300萬美元
據路透社報導,「比特幣敲詐者」木馬家族的作者名叫艾維蓋尼耶·米哈伊洛維奇·波格契夫(Evgeniy Mikhailovich Bogachev),是一名俄羅斯黑客。據美國聯邦調查局(FBI)官網顯示,波格契夫在FBI通緝十大黑客名單中排名第二,是某網路犯罪團體的頭目。
2012年8月22日,波格契夫以「幸運12345」的暱稱受到內布拉斯加州聯邦大陪審團多項指控,包括合謀進行銀行詐騙、計算機詐騙和身份信息盜取。2014年5月19日,他再次被美國法院指控其犯有計算機詐騙、銀行詐騙、洗錢、電信欺詐等多項罪名。2014年5月30日,他的暱稱「幸運12345」第3次受到起訴,被指控合謀進行銀行詐騙。
根據FBI的調查,波格契夫僅憑「終結者宙斯」木馬病毒以及「比特幣敲詐者」勒索病毒,就令12個國家超過一百萬計算機感染,經濟損失超過1億美元。FBI對抓捕波格契夫提出了巨額懸賞。懸賞令顯示,提供關鍵信息導致波格契夫被拘捕者可獲得300萬美元的獎勵,這也是美國在打擊網路犯罪案件中所提供的最高懸賞金。
據王亮介紹,木馬最開始支付比特幣的時候沒有使用匿名網路導致伺服器暴露,病毒作者身份隨之被查出。自波格契夫身份暴露後,「比特幣敲詐者」家族木馬的設計愈發狡猾,比特幣支付環節改在TOR(洋蔥網)上進行,這使得警方對波格契夫的抓捕更為困難。
