通付盾移动安全实验室发布2017移动互联网勒索病毒专项研究报告

我们对抢红包和王者荣耀皮肤两类勒索病毒中共同存在的锁屏信息进行攻击者溯源分析，追踪到以推广和售卖锁机源码、抢红包、免流插件、秒赞工具等为主的“彼岸花技术”黑产团队，该团队以QQ群、网店的形式活跃，通过百度网盘传播勒索病毒，人数总计数百人，相关联群成员总数达千余人。除了进群时需要支付费用之外，群内源码、工具的获取也需要另外付费。下图展示“彼岸花技术”团伙的溯源过程，我们可以看出，大部分病毒开发者之间相互关联。

“彼岸花”团队溯源分析图

c) 威胁行为分析

我们对活跃度集中区的勒索病毒进行分析，根据锁屏实现方式，大体将勒索病毒威胁行为分为两大类：一类是通过修改设备的开机密码来实现，另一类是通过控制悬浮窗置顶属性来实现。

这两类锁屏在实现流程上存在共性，首先，通过伪装获取设备的系统权限；然后，通过系统权限直接激活设备管理器，修改系统开机密码，或控制手机悬浮窗强制置顶属性，使用户无法正常使用设备。同时，有些勒索病毒为防止被破解，设置可反复锁屏机制，即用户在破解第一层锁屏之后会出现第二层锁屏，反复循环。最后被攻击者需要通过被锁屏幕中预留的QQ码、邮箱、手机号等信息联系勒索者缴纳赎金方可解锁。下图展示了勒索病毒实现的具体流程。

勒索病毒实现流程图

威胁趋势分析

1. 勒索病毒活跃度总体呈上升趋势

本次报告中，我们采样的数据为 2016 年 9 月到 2017 年 9 月全网范围内的恶意勒索病毒，从分析结果来看，勒索病毒活跃度总体呈上升趋势，每月新增病毒数持续增加。其中， 2017 年 4 月份勒索病毒急剧增加，新增病毒总数达 812 个，比 3 月份增加了160.2%。国家互联网应急响应中心从 4 月份起发布一系列勒索病毒通报，相关单位和部门对勒索病毒采取了一定的防御措施。 5 月份之后，虽然勒索病毒总体仍然处于上升趋势，但每月病毒新增速度有所放缓。 9 月份新增 219 个勒索病毒，增长速度有所下降但仍然相当活跃。

2.勒索病毒仍将主要攻击经济发达地区

从恶意样本的地理分布图中可以看出，勒索病毒主要活跃在广东、北京等互联网氛围较好地区。 2016 年 9 月份到 2017 年 1 月份，勒索病毒集中活跃在北京、广东、湖北经济发达地区， 2017 年 2 月至 5 月份，勒索病毒活跃范围在原来的基础上向湖南、福建、安徽、四川、天津等邻近省市扩散，直至 9 月份，北京、广东仍然是勒索病毒攻击的重灾区，除此以外，在上海、浙江等经济发展较好的省市也发现了勒索病毒的踪迹并且数量逐月增加，经济发达地区仍将是勒索病毒的主要攻击目标。

3.勒索病毒查杀成本或将提高

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!