近日,一种名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播,该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。
反病毒专家称,目前国内外尚无法破解该病毒。
据外媒报道,该病毒的始作俑者为美国联邦调查局(FBI)最高网络罪犯赏金通缉犯俄罗斯籍黑客波格契夫,目前仍未归案。
中毒电脑无法打开文件
4月27日,在北京一家公司担任市场总监助理的小徐查收企业邮箱邮件时,打开一封发件人为“bothman”的邮件,发现一封名为“term and condition”的附件,邮件图标显示为一个写字板。
小徐回忆:“这封邮件不是出现在垃圾箱和广告邮件的文件夹里,我怕是重要的工作邮件,就打开了附件。”
附件内容为全英文。十分钟后,小徐的电脑屏幕上出现一个弹窗,弹窗显示:“your personal files are encrypted by CTB-Locker”(你的私人文件已被CTB-Locker加密),并提示要在96个小时内支付3个比特币才能解密。弹窗无法关掉,只能收起,并已经开始倒计时。
小徐发现,自己电脑上所有文件全部无法打开。
她拍下弹窗图片发到朋友圈介绍了自己的遭遇:“开始我以为这就是一般骗钱的广告,况且我根本不知道比特币是什么,看了很多朋友的评论后我才意识到自己打开的那封英文邮件让我的电脑中病毒了。”小徐说。
截至4月30日13时许,桌面弹窗显示,离小徐的电脑文件被锁死还剩21个小时。但反病毒专家告知小徐,目前唯一的办法是向对方支付3个比特币。
比特币是一种电子货币,目前单个比特币的成交价约1400元人民币。
“我从同事那儿找回了大部分重要的文件,不给黑客交赎金。”小徐在网络专家的帮助下重装了系统,但一些文件还得加班重做。
木马瞄准“有钱人”
据360网络安全中心监测,目前日均截杀该木马样本超过4000个,粗略估计有超过400台电脑被感染。
“这几天日拦截量持续上升,有爆发趋势。至今保守估计已造成国内上千台电脑中招,造成经济损失可能会达到上千万元。”反病毒专家王亮称近两日接到多起同类病毒中毒求助,其中不乏国内某些知名企业高管。
“‘CTB-Locker’运用的是4096位算法”,王亮介绍,这种算法,普通电脑需要几十万年才能破解出来,超级电脑破解所需时间也可能得按年计算,目前国内外尚无任何机构和个人能够破解该病毒,支付赎金是恢复文件的唯一办法。
王亮介绍,“CTB-Locker”病毒主要通过邮件附件传播,因敲诈金额较高,该类木马投放精准,瞄准“有钱人”,通过大企业邮箱、高级餐厅官网等方式传播。
十分钟后,木马会给受感染电脑中的docx、pdf、xlsx、jpg等110种文件加密,几乎覆盖全部类型的文档和图片,使其无法正常打开。
中木马后,虽然可以使用杀毒软件杀掉该木马,但加密文件没有任何办法还原。如果超过96小时未支付,木马不再弹窗,加密文件也随之被永久锁定。
■背景
病毒作者被FBI悬赏300万美元
据路透社报道,“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev),是一名俄罗斯黑客。
据美国联邦调查局(FBI)官网显示,波格契夫在FBI通缉十大黑客名单中排名第二,是某网络犯罪团体的头目。
2012年8月22日,波格契夫以“幸运12345”的昵称受到内布拉斯加州联邦大陪审团多项指控,包括合谋进行银行诈骗、计算机诈骗和身份信息盗取。2014年5月19日,他再次被美国法院指控其犯有计算机诈骗、银行诈骗、洗钱、电信欺诈等多项罪名。2014年5月30日,他的昵称“幸运12345”第3次受到起诉,被指控合谋进行银行诈骗。
根据FBI的调查,波格契夫仅凭“终结者宙斯”木马病毒以及“比特币敲诈者”勒索病毒,就令12个国家超过一百万计算机感染,经济损失超过1亿美元。
FBI对抓捕波格契夫提出了巨额悬赏。悬赏令显示,提供关键信息导致波格契夫被拘捕者可获得300万美元的奖励,这也是美国在打击网络犯罪案件中所提供的最高悬赏金。
据王亮介绍,木马最开始支付比特币的时候没有使用匿名网络导致服务器暴露,病毒作者身份随之被查出。自波格契夫身份暴露后,“比特币敲诈者”家族木马的设计愈发狡猾,比特币支付环节改在TOR(洋葱网)上进行,这使得警方对波格契夫的抓捕更为困难。