9月22日，首屆國際反病毒大會在天津召開，360公司創(chuàng)始人兼總裁、360企業(yè)安全集團董事長齊向東在大會做主旨演講時表示，當前，網(wǎng)絡(luò)威脅層出不窮，隨著匿名互聯(lián)網(wǎng)等技術(shù)的興起，病毒產(chǎn)業(yè)造成的危害也在不斷升級。他預(yù)警，當前正在爆發(fā)的敲詐者病毒創(chuàng)新的技術(shù)模式、盈利模式正在被大批病毒制造者學(xué)習(xí)復(fù)制，未來將泛濫成災(zāi)。

　　敲詐者病毒猖獗 動輒勒索上萬元

　　最近，南方一家科技公司的信息主管向360公司求助，他辦公室電腦內(nèi)部網(wǎng)盤被Cerber病毒感染，重要的資料文件都不能正常使用了，病毒作者要求每個文件支付1.25個比特幣才給解密，按照現(xiàn)在比特幣的價錢，也就是說，每個文件都要被勒索6000多人民幣。他系統(tǒng)里一共有幾千個重要的文件，要是全部解密需要100多萬元。

　　這個Cerber病毒是敲詐者病毒的一種，是不法分子通過對感染者的重要文件加密等方式，向用戶敲詐錢財才予以解密的一種惡意軟件。

　　齊向東透露，從2014年開始，360就陸續(xù)收到類似求助，一開始，這個病毒基本上是國外比較流行，在中國范圍內(nèi)，被感染的多是外貿(mào)相關(guān)的機構(gòu)，屬于偶然性的中招。但現(xiàn)在，已經(jīng)是對國內(nèi)有針對性的進行攻擊了，被攻擊人數(shù)也在快速增長。有一家央企，曾在兩周之內(nèi)中招三次。

　　根據(jù)360威脅情報中心監(jiān)測，全球范圍內(nèi)，敲詐者病毒的多達80個家族，特別流行的是其中7個家族。2015年第四季度，全球敲詐者病毒數(shù)量較上一季度增加了26%，600萬敲詐者病毒嘗試安裝到電腦。僅2016年上半年，我國國內(nèi)有超過58萬臺電腦遭到了敲詐者木馬攻擊，且有多達5萬多臺電腦最終感染了敲詐者木馬，平均每天有約300臺國內(nèi)電腦感染敲詐者木馬。

　　2016年2月以來，360威脅情報中心監(jiān)測到，一大波敲詐者病毒大規(guī)模爆發(fā)，敲詐者病毒向企業(yè)、醫(yī)院、銀行、政府機構(gòu)、企事業(yè)單位及律師、作家等群體進行攻擊，竊取高價值文件。目前，敲詐者病毒攻擊范圍也在不斷擴大，已經(jīng)涵蓋了Windows、Mac、Android、iOS和虛擬桌面。如果被感染的設(shè)備連接了企業(yè)的網(wǎng)絡(luò)共享存儲，那么共享存儲中的文件也可能會被加密。

　　創(chuàng)新的盈利模式和技術(shù)模式正在被復(fù)制

　　以往的病毒傳播，拼的是技術(shù)，誰用的技術(shù)新，漏洞厲害，傳播就廣，病毒制作者獲利就大。但這類敲詐者病毒用的卻都是已經(jīng)有很長時間的成熟老技術(shù)，例如已經(jīng)有幾十年歷史的非對稱加密技術(shù)，十幾年歷史的匿名網(wǎng)絡(luò)技術(shù)洋蔥頭(也叫Tor)，七八年歷史的比特幣技術(shù)等。

　　但是，他們把這些傳播技術(shù)重新組合起來，形成了一個新的技術(shù)模式，只要一次運行，把文件加密了就能開始勒索，因為加密在這一次運行的時候就完成了，也就不需要修改系統(tǒng)來常駐，不用想辦法隱藏自己，也不用和遠端建立連接。殺毒軟件以前的層層防護在這種技術(shù)模式面前，就沒什么用了。因為就算殺毒軟件把它刪除了，用戶還是得乖乖交錢才能解密文件。在這個技術(shù)模式里，匿名技術(shù)的使用避免了對黑客的追蹤，讓這些犯罪分子有恃無恐，也加劇了敲詐者病毒的泛濫。

　　同時，這個新的技術(shù)模式也構(gòu)造了新的盈利模式，就是直接從終端用戶那里撈錢。之前的病毒也好，木馬也好，他們的盈利模式都是要感染很大的量，然后把這些終端當作“肉雞”，刷流量、裝軟件，一個終端賺十幾塊錢，要想盈利，一方面要感染很大的量，另一方面要能夠在這些終端上持久地存活下來。但是敲詐者只要感染幾個重要的用戶，讓他們交贖金，就能從一個終端上至少賺到幾個比特幣，折算下來就是一萬多塊錢，這筆錢以前是要感染一千個終端才能賺到的。

　　齊向東說，因為這個商業(yè)模式很創(chuàng)新，技術(shù)門檻也不高，匿名互聯(lián)網(wǎng)技術(shù)又保證了自己不會暴露，大量的黑客開始學(xué)習(xí)敲詐者病毒的攻擊思路和技術(shù)手段，大量應(yīng)用于黑產(chǎn)。比如，360威脅情報中心發(fā)現(xiàn)，出現(xiàn)了大量假的敲詐者病毒，他們對文件的加密方式實際上是可以解密的，但在他彈出的敲詐頁面上聲稱自己用的是敲詐者病毒使用的rsa4096結(jié)合aes的加密方式，讓用戶誤以為自己的文件無法解密而支付贖金。這個特點，很明顯就是技術(shù)能力并不高的黑客在學(xué)習(xí)敲詐者病毒的思路，“移花接木”，用于犯罪。

　　正是因為黑產(chǎn)普遍都學(xué)到了這個套路，所以我們觀察到敲詐者病毒開始泛濫了，未來很可能會泛濫成災(zāi)。

　　每天攔截6000余次 “敲詐先賠”提供保障

　　齊向東提到，為了治理敲詐者病毒，360成立了特別行動小組。360公司擁有13億終端用戶和全球最大的網(wǎng)址庫和第三方數(shù)據(jù)庫，目前樣本庫的總樣本已經(jīng)超過了95億條，每天還在源源不斷地更新中。360利用大數(shù)據(jù)和云安全技術(shù)，加上網(wǎng)民的協(xié)同，能多維度的進行安全數(shù)據(jù)監(jiān)控，快速地捕獲樣本，對樣本進行快速的分析和機器學(xué)習(xí)，并迅速響應(yīng)升級，從而做到360安全衛(wèi)士、360天擎等安全軟件能對各類敲詐者病毒及其最新變種進行攔截和查殺，目前，每天攔截敲詐者病毒高達6千多次。

　　360還獨家研發(fā)了獨有的文檔防護功能。這個功能是從源頭上保護用戶的重要數(shù)據(jù)，只要判斷為非正常地試圖修改文檔時，就會進行攔截。也就是說，不管敲詐者有多少種新的變種，也無法達到破壞重要數(shù)據(jù)的目的。

　　“這套技術(shù)上線之后，取得了很好的效果，安裝了360的用戶幾乎沒有中招的?；趯ξ覀兗夹g(shù)的信心，今年9月初我們推出了敲詐先賠服務(wù)。“齊向東告訴記者，對于所有安裝了360安全衛(wèi)士的互聯(lián)網(wǎng)用戶，如果開啟“360文檔保護功能”和“360反勒索服務(wù)”，仍然感染了敲詐者木馬，360可以代替用戶向黑客繳納最高3個比特幣(大約13000元人民幣)的贖金。對于安裝了360天擎的企業(yè)用戶，如果用戶在開啟了敲詐先賠功能后仍然感染了敲詐者病毒，360企業(yè)安全集團負責(zé)賠付贖金，提供每個企業(yè)最高一百萬元的先賠保障。

　　自從推出“敲詐先賠“服務(wù)以來，360公司已經(jīng)收到了大約100起被敲詐者病毒加密的用戶案件，所有都是由于沒有安裝360或者退出360的防護導(dǎo)致中招，沒有一起是由于360沒有防住導(dǎo)致的。