国内日均300台电脑感染木马,受害者日付赎金174万

标签:木马

访客:5717  发表于:2016-09-13 07:58:06

近日发布的《敲诈者木马威胁形势分析报告》披露,2016年上半年,平均每天有约300台国内电脑感染敲诈者木马;2016年4月-7月间,攻击者每天可以从国内受害者手中获得约174万-459万元人民币的赎金。

国内日均300台电脑感染木马,受害者日付赎金174万

粤浙京用户成为感染者重灾区

据监测,仅2016年上半年,共截获电脑端新增敲诈者病毒变种74种,涉及PE样本40000多个,涉及非PE文件10000多个,全国至少有580000多台用户电脑遭到了敲诈者病毒攻击,且有多达50000多台电脑最终感染敲诈者病毒。

据分析,造成攻击成功率如此之高的主要原因有以下两个方面:一是电脑感染木马前用户未使用安全软件,或所使用安全软件不具备充分的主动防御能力,不能准确识别此类木马或此类木马的攻击行为;二是在木马的表面诱惑下,很多用户无视安全软件的风险提示,手动放行了木马程序。

据监测,在2016年4月1日至5月15日期间感染敲诈者木马的国内电脑用户遍布全国所有省份,其中,广东占比最高,为14.4%,其次是浙江8.2%,北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%。

而就感染敲诈者木马的企业用户而言,北京地区最多,占比为13.1%,浙江、广东各占11.9%,排在第二、第三位。相比于普通个人电脑用户,企业用户的感染者更为集中,排名前十的省份的感染者总量占国内所有感染者的75.7%。

执行器挂马式攻击占比超过60%

监测显示,近期的敲诈者木马主要采用邮件钓鱼、下载器挂马(JS挂马)、执行器挂马(DLL挂马)方式传播。其中,钓鱼邮件是一种比较经典的木马传播方式,主要手法是将恶意程序以邮件附件的形式发送给攻击目标。一旦被攻击者打开或运行邮件的附件,恶意程序就会被执行。

下载器挂马(JS挂马)是一种比较传统的网页挂马攻击方式,主要方法是在页面中嵌入恶意的JS脚本,一旦用户使用有漏洞的,且不具备主动防御能力的浏览器或其他客户端软件访问该挂马网页时,恶意的JS脚本就会被运行。

执行器挂马(DLL挂马)是最近新出现的一种网页挂马传播方式,而且已经成为了最主流的传播方式。其主要攻击方式是通过页面挂马程序注入浏览器,启动并执行一个dll类的木马程序。

据统计,尽管传统的钓鱼邮件攻击仍然存在,但占比已经仅为14%。而执行器挂马攻击则已经成为最主要的攻击方式,占比超过了60%,下载器挂马排第二,占比为24%。由于微软早前已经停止了对IE浏览器的更新,预计国内IE用户遭遇敲诈者木马的挂马攻击的风险还会继续加大。

八成国内被攻击者为普通个人用户

调研分析发现,在敲诈者木马攻击的国内目标人群中,有19.7%的人为企业用户,而另外80.3%左右的国内被攻击者为普通个人用户。

相比于普通个人用户,企业用户的攻击价值往往要高得多,因为企业用户电脑中所存储的数据往往更具机密性和不可复制性,因此企业用户为恢复文件而支付赎金的意愿也要比普通个人用户强得多。但从另一个角度来看,普通个人用户在上网安全意识和防护技术水平等方面都比较欠缺,因此也更容易被攻击并中招,攻击者一旦将普通用户设定为攻击目标,其对整个互联网的危害也将更加严重。

统计显示,能源行业是敲诈者木马排在首位的重灾区,占受害企业用户总量的36.0%,其次是金融业,占28.2%。学校7.6%,政府及事业单位4.3%和制造业4.3%分列其后。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");