种74种，涉及PE样本40000多个，涉及非PE文件10000多个，全国至少有580000
多台用户电脑遭到了敲诈者病毒攻击，且有多达50000多台电脑最终感染敲诈者病毒，
平均每天有约300台国内电脑感染敲诈者木马

挂马）、执行器挂马（DLL挂马）

的人为企业用户，而另外80.3%左右的国内被攻击者为普通个人用户

其次是浙江8.2%，北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%

向和攻击者本人都无法被追踪。赎金的金额一般为2-3个比特币。2016年4月底-5月
初，1个比特币价格约为2900元，而到了2016年6月，1个比特币的价格一度高涨到
了最高5100元。据此计算，2016年4至今，如果有用户按照攻击者限定的时间支付赎
金，赎金额度应在5800 -15300元人民币

联网安全中心就已经累计监测到各类敲诈者木马C&C服务器8000余个。其中，com
域名被使用的最多，超过了总量的一半，为51.4%，org和net占比分别为8.0%和7.8%

此外，欧洲国家的域名占比为17.5%，在各大洲中占比最高

CryptoLocker、Cryptowall、Locky、Teslacrypt、VirLocker

马），期望通过其他技术手段恢复系统文件的愿望通常来说都是无法实现的

关键词：敲诈、比特币、赎金
目录
第一章 敲诈者木马的大规模攻击 . 1
一、 敲诈者木马的感染量 ........ 1
二、 敲诈者木马的传播方式 ..... 2
三、 敲诈者木马的攻击对象 ..... 3
四、 受害者的地域分布4
五、 受害者的经济损失4
第二章 敲诈者木马的服务器分布 . 6
第三章 敲诈者木马的家族与发展 . 7
第四章 敲诈者木马的敲诈过程 ..... 9
第五章 敲诈者木马的应对措施 ... 12
一、 敲诈者木马的不可解 ...... 12
二、 FBI的撕票建议 ... 12
三、 360反勒索服务 ... 13
四、 给用户的安全建议 .......... 13
附录1 360反勒索服务........ 14
附录2 敲诈者木马攻击事件 .......... 15第一章 敲诈者木马的大规模攻击
敲诈者木马是一类特殊形态的木马，它们通过给用户电脑或手机中的系统、屏幕或文件
加密的方式，向目标用户进行敲诈勒索。早期比较简单的敲诈者木马会采用修改锁屏密码或
开机密码的方式来锁定目标设备，但对于专业技术人员而言,要解锁此类木马通常并不太困
难。此类木马目前在PC端已经非常少见，但在手机端仍然比较常见

而近期大规模流行的敲诈者木马则主要采用不对称加密的方式对系统中的特定文件，如
文档、图片、视频等进行高强度加密，使受害者完全不可能在不支付赎金的情况下自行解密
被加密的文件。此类敲诈者木马，对于存储了大量机密或敏感文件的企业用户来说，威胁尤
其严重，以往也主要被用于攻击企业或机构用户。但是，2016年以来，360互联网安全中心
检测到大量针对普通网民的敲诈者木马攻击，并且在4月底至5月初达到攻击高峰，成为
4-5月间，对网民直接威胁最大的一类木马病毒

本次报告重点分析个人电脑端的敲诈者木马威胁形势。关于手机端的敲诈者木马威胁形
势，请参见360互联网安全中心早前发布的专题研究报告《Android勒索软件研究报告》，
参考链接：http://zt.360/1101061855.phpdtid=1101061451&did=1101724388
一、 敲诈者木马的感染量
根据360互联网安全中心的监测，根据360互联网安全中心的监测，仅2016年上半年，
共截获电脑端新增敲诈者病毒变种74种，涉及PE样本40000多个，涉及非PE文件10000
多个，全国至少有580000多台用户电脑遭到了敲诈者病毒攻击，且有多达50000多台电脑
最终感染敲诈者病毒，平均每天有约300台国内电脑感染敲诈者木马

下图给出了敲诈者木马4月1日至5月15日期间每日攻击用户数和最终感染用户数的
对比情况。从图中可见，在4月底至5月初的攻击高峰期，一天之内被攻击的电脑最多可达
4644台，感染敲诈者木马的电脑最多可卡2003台

造成攻击成功率如此之高的主要原因有以下两个方面：一是电脑感染木马前用户未使用
安全软件，或所使用安全软件不具备充分的主动防御能力，不能准确识别此类木马或此类木马的攻击行为；二是在木马的表面诱惑下，很多用户无视安全软件的风险提示，手动放行了
木马程序

二、 敲诈者木马的传播方式
监测显示，近期的敲诈者木马主要采用以下三种传播方式：
1） 钓鱼邮件
这是一种比较经典的木马传播方式，主要手法是将恶意程序以邮件附件的形式发送给攻
击目标。一旦被攻击者打开或运行邮件的附件，恶意程序就会被执行

就敲诈者木马而言，最常见恶意附件形式主要有三种：JS脚本、可执行文件和Office
宏病毒文件等。而从近期的监测来看，敲诈者木马的钓鱼邮件中，已经很少使用PE文件或
Office宏病毒文件这两种形式，主要攻击方法就是恶意的JS脚本附件

2） 下载器挂马（JS挂马）
这是一种比较传统的网页挂马攻击方式，主要方法是在页面中嵌入恶意的JS脚本，一
旦用户使用有漏洞的，且不具备主动防御能力的浏览器或其他客户端软件访问该挂马网页时，
恶意的JS脚本就会被运行

3） 执行器挂马（DLL挂马）
这是最近新出现的一种网页挂马传播方式，而且已经成为了最主流的传播方式。其主要
攻击方式是通过页面挂马程序注入浏览器，启动并执行一个dll类的木马程序

下图给出了敲诈者木马的三类主要传播方式，以及钓鱼邮件恶意附件的主要类型。可以
看到，尽管传统的钓鱼邮件攻击仍然存在，但占比已经仅为14%。而执行器挂马攻击则已
经成为最主要的攻击方式，占比超过了60%，下载器挂马排第二，占比为24%。由于微软
早前已经停止了对IE浏览器的更新,预计国内IE用户遭遇敲诈者木马的挂马攻击的风险还
会继续加大

。。。以上简介无排版格式，详细内容请下载查看