20160907_360_敲诈者木马威胁形势分析报告

敲诈者木马威胁形势分析报告2016年8月31日摘要?敲诈者木马是一类特殊形态的木马，它们通过给用户电脑或手机中的系统、屏幕或文件加密的方式，向目标用户进行敲诈勒索。?根据360互联网安全中心的监测，仅2016年上半年，共截获电脑端新增敲诈者病毒变种74种，涉及PE样本40000多个，涉及非PE文件10000多个，全国至少有580000多台用户电脑遭到了敲诈者病毒攻击，且有多达50000多台电脑最终感染敲诈者病毒，平均每天有约300台国内电脑感染敲诈者木马。?监测显示，近期的敲诈者木马主要采用以下三种传播方式：邮件钓鱼、下载器挂马（JS挂马）、执行器挂马（DLL挂马）。?通过对敲诈者木马的受害者的调研分析，在敲诈者木马攻击的国内目标人群中，有19.7%的人为企业用户，而另外80.3%左右的国内被攻击者为普通个人用户。?感染敲诈者木马的国内电脑用户遍布全国所有省份，其中，广东占比最高，为14.4%，其次是浙江8.2%，北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%。?用户反馈显示，目前绝大多数的敲诈者木马均以比特币为赎金支付方式，从而使资金流向和攻击者本人都无法被追踪。赎金的金额一般为2-3个比特币。2016年4月底-5月初，1个比特币价格约为2900元，而到了2016年6月，1个比特币的价格一度高涨到了最高5100元。据此计算，2016年4至今，如果有用户按照攻击者限定的时间支付赎金，赎金额度应在5800-15300元人民币。?统计显示，仅自2015年4月敲诈者木马开始大规模爆发至2016年5月15日，360互联网安全中心就已经累计监测到各类敲诈者木马C&C服务器8000余个。其中，com域名被使用的最多，超过了总量的一半，为51.4%，org和net占比分别为8.0%和7.8%。此外，欧洲国家的域名占比为17.5%，在各大洲中占比最高。?在国内曾有过不同规模爆发的PC端