加密原理、對(duì)網(wǎng)絡(luò)安全均有較高的認(rèn)知。然而，許多數(shù)字虛擬幣交易參與者并不具有這些能力,非常容易出現(xiàn)安全問題。

2017年7月1日，中原油田某小區(qū)居民188.31個(gè)比特幣被盜。油田警方幾個(gè)月后將位于上海的竊賊戴某抓獲，價(jià)值280萬(wàn)美元；

2017年10月，東莞一名imToken用戶發(fā)現(xiàn)100多個(gè)ETH（以太坊幣）被盜，最終確認(rèn)是身邊的朋友盜取他的數(shù)字加密貨幣。

三、區(qū)塊鏈數(shù)字貨幣“熱”背后的三大網(wǎng)絡(luò)安全威脅

1.數(shù)字貨幣勒索事件頻發(fā)，基礎(chǔ)設(shè)施成勒索病毒攻擊重點(diǎn)目標(biāo)

勒索病毒是2018年上半年危害互聯(lián)網(wǎng)最嚴(yán)重的病毒之一。勒索病毒加密受害者電腦系統(tǒng)，并要求受害者向某些指定的比特幣錢包轉(zhuǎn)帳，其危害范圍日益擴(kuò)大，影響到事關(guān)國(guó)計(jì)民生的各個(gè)行業(yè)。

1.1上半年勒索病毒攻擊特征與三大勒索病毒家族

從受攻擊行業(yè)分布上看，傳統(tǒng)工業(yè)、互聯(lián)網(wǎng)行業(yè)、教育行業(yè)和政府機(jī)構(gòu)是受勒索病毒攻擊的重災(zāi)區(qū)，醫(yī)療行業(yè)緊隨其后。醫(yī)療由于其行業(yè)特殊性，一旦遭受到病毒攻擊導(dǎo)致業(yè)務(wù)停擺，后果將不堪設(shè)想。

觀察2018上半年勒索病毒攻擊系統(tǒng)占比可知，Windows Server版本系統(tǒng)受攻擊次數(shù)占比大于普通家用、辦公系統(tǒng)。Windows Server版本系統(tǒng)中Windows Server 2008版本系統(tǒng)受勒索病毒攻擊占比最大，造成該現(xiàn)象的主要原因?yàn)槠髽I(yè)服務(wù)器數(shù)據(jù)價(jià)值一般情況下要遠(yuǎn)遠(yuǎn)高于普通用戶，中招后更加傾向于繳納勒索贖金，這一特性進(jìn)一步刺激了攻擊者有針對(duì)性地對(duì)服務(wù)器系統(tǒng)的設(shè)備實(shí)施攻擊行為。

2018上半年以GlobeImposter，Crysis，GandCrab為首的3大勒索家族展開的攻擊活動(dòng)占據(jù)了網(wǎng)絡(luò)勒索事件的絕大部分。此外，Satan家族在2018上半年時(shí)段展開的攻擊也有明顯上升，其它老牌家族依然有不同程度的活躍。

Top1：GlobeImposter勒索病毒家族

2018年2月，春節(jié)過后不久，包括醫(yī)療行業(yè)在內(nèi)的多家國(guó)內(nèi)公共機(jī)構(gòu)的服務(wù)器就遭到最新的GlobeImposter家族勒索病毒變種的攻擊，黑客在突破企業(yè)防護(hù)邊界后釋放并運(yùn)行勒索病毒，加密破壞數(shù)據(jù)庫(kù)文件，最終導(dǎo)致系統(tǒng)被破壞，正常工作秩序受影響。

該勒索病毒變種將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴(kuò)展名，并通過郵件來告知受害者付款方式，使其獲利更加容易方便。

Top2：Crysis勒索病毒家族

Crysis家族最早可以追溯到2016年3月，進(jìn)入2017年后開始針對(duì)windows服務(wù)器發(fā)起持續(xù)攻擊。Crysis勒索病毒家族的攻擊模式主要為黑客通過爆破遠(yuǎn)程登錄后，手動(dòng)傳播勒索病毒并執(zhí)行。

Crysis勒索病毒在2017年5月萬(wàn)能密鑰被公布之后，消失了一段時(shí)間，但在2018上半年中新的變種依然比較活躍。Crysis家族變種也有多種，較為流行的加密后綴多為.arena、.arrow等，并且附加上的后綴中還會(huì)帶有受害者id和勒索者聯(lián)系郵箱，如1.txt.id-EE5106A8.[[email protected]].arrow。贖金金額需要受害者自行聯(lián)系黑客方可獲知。

Top3：GandCrab勒索病毒家族

GandCrab勒索病毒家族堪稱2018年勒索病毒界的“新星”，自1月騰訊御見威脅情報(bào)中心捕獲到首次盯上達(dá)世幣的勒索病毒GrandCrab起，短短幾個(gè)月的時(shí)間，GrandCrab歷經(jīng)四大版本更迭。

第一版本的GandCrab勒索病毒因C&C被海外安全公司與警方合作后控制而登上各大科技媒體頭條，兩個(gè)月后GandCrab V2版本勒索病毒出現(xiàn)，勒索軟件作者為了報(bào)復(fù)安全公司與警方控制了其V1版本的C&C服務(wù)器，在V2版本中直接使用了帶有安全公司與警方相關(guān)的字符做為其V2版本的C&C服務(wù)器，因而又一次登上科技新聞版面。

兩個(gè)月后的GandCrab V3版本結(jié)合了V1版本與V2版本的代碼隱藏技術(shù)，更加隱蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞進(jìn)行傳播，漏洞觸發(fā)后會(huì)釋放包含“?????”（韓語(yǔ)“你好”）字樣的誘餌文檔。與以往版本的該家族的勒索病毒相比，該版本并沒有直接指明贖金金額，而是要求用戶使用Tor網(wǎng)絡(luò)或者Jabber即時(shí)通訊軟件與勒索者聯(lián)系。

GandCrab V4版本為該家族系列病毒中目前最新迭代版本，相比較以往的版本，V4版本文件加密后綴有了進(jìn)一步變化（.KRAB），傳播渠道上也有了進(jìn)一步的擴(kuò)展，病毒通過軟件供應(yīng)鏈劫持，破解軟件打包病毒文件，進(jìn)一步傳播到受害者機(jī)器實(shí)施勒索攻擊。

此外，4月3號(hào)發(fā)現(xiàn)“魔鬼”撒旦（Satan）勒索病毒攜“永恒之藍(lán)”漏洞卷土重來，變種不斷出現(xiàn)，對(duì)企業(yè)用戶威脅極大。該病毒會(huì)加密中毒電腦的數(shù)據(jù)庫(kù)文件、備份文件和壓縮文件，再用中英韓三國(guó)語(yǔ)言向企業(yè)勒索0.3個(gè)比特幣，該病毒的最新變種除了依賴“永恒之藍(lán)”漏洞在局域網(wǎng)內(nèi)攻擊傳播，還會(huì)利用多個(gè)新漏洞攻擊，包括JBoss反序列化漏洞（CVE-2017-12149）、JBoss默認(rèn)配置漏洞(CVE-2010-0738)、Tomcat漏洞（CVE-2017-12615）、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS組件漏洞（CVE-2017-10271）等等。

1.2下半年勒索病毒的傳播趨勢(shì)

（1）勒索病毒與安全軟件的對(duì)抗加劇

隨著安全軟件對(duì)勒索病毒的解決方案成熟完善，勒索病毒更加難以成功入侵用戶電腦，病毒傳播者會(huì)不斷升級(jí)對(duì)抗技術(shù)方案。

（2）勒索病毒傳播場(chǎng)景多樣化

傳統(tǒng)的勒索病毒傳播主要以釣魚郵件為主，勒索病毒更多利用了高危漏洞（如永恒之藍(lán)）、魚叉游戲攻擊，或水坑攻擊等方式傳播，大大提高了入侵成功率。以GandCrab為例，該家族勒索病毒傳播同時(shí)利用了釣魚郵件、水坑攻擊、網(wǎng)頁(yè)掛馬和漏洞利用四種方式。

（3）勒索病毒攻擊目標(biāo)轉(zhuǎn)向企業(yè)用戶

個(gè)人電腦大多能夠使用安全軟件完成漏洞修補(bǔ)，在遭遇勒索病毒攻擊時(shí)，個(gè)人用戶往往會(huì)放棄數(shù)據(jù)，恢復(fù)系統(tǒng)。而企業(yè)用戶在沒有及時(shí)備份的情況下，會(huì)傾向于支付贖金，挽回?cái)?shù)據(jù)。因此，已發(fā)現(xiàn)越來越多攻擊目標(biāo)是政府機(jī)關(guān)、企業(yè)、醫(yī)院、學(xué)校。

（4）勒索病毒更新迭代加快

以GandCrab為例，當(dāng)?shù)谝淮暮笈_(tái)被安全公司入侵之后，隨后在一周內(nèi)便發(fā)布了GandCrab2，現(xiàn)在已升級(jí)到3.0版本。病毒早期發(fā)布時(shí)存在漏洞，使得安全公司可以解密被加密的文件，隨后更新的版本已無法被解密。

（5）勒索贖金提高

隨著用戶安全意識(shí)提高、安全軟件防御能力提升，勒索病毒入侵成本越來越高，贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后，竟被勒索9.5個(gè)比特幣。如今勒索病毒的攻擊目標(biāo)也更加明確，或許接下來在贖金上勒索者會(huì)趁火打劫，提高勒索贖金。

（6）勒索病毒加密對(duì)象升級(jí)

傳統(tǒng)的勒索病毒加密目標(biāo)基本以文件文檔為主，現(xiàn)在越來越多的勒索病毒會(huì)嘗試加密數(shù)據(jù)庫(kù)文件，加密磁盤備份文件，甚至加密磁盤引導(dǎo)區(qū)。一旦加密后用戶將無法訪問系統(tǒng)，相對(duì)加密而言危害更大，也有可能迫使用戶支付贖金。

（７）勒索病毒黑色產(chǎn)業(yè)鏈形成

隨著勒索病毒的不斷涌現(xiàn)，騰訊御見威脅情報(bào)中心甚至觀察到一類特殊的產(chǎn)業(yè)誕生：勒索代理業(yè)務(wù)。當(dāng)企業(yè)遭遇勒索病毒攻擊，關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密，而理論上根本無法解密時(shí)，而勒索代理機(jī)構(gòu)，承接了受害者和攻擊者之間談判交易恢復(fù)數(shù)據(jù)的業(yè)務(wù)。

2.挖礦木馬“異軍突起”，成幣圈價(jià)值“風(fēng)向標(biāo)”

挖礦病毒發(fā)展成為2018年傳播最廣的網(wǎng)絡(luò)病毒，且挖礦熱度往往與幣種價(jià)格成正比。由于挖礦病毒的控制者可以直接通過出售挖到的數(shù)字虛擬貨幣牟利，挖礦病毒的影響力空前高漲，已經(jīng)完全取代幾年前針對(duì)游戲玩家的盜號(hào)木馬、針對(duì)網(wǎng)購(gòu)用戶的交易劫持木馬、甚至是用于偷窺受害者家攝像頭的遠(yuǎn)程控制木馬。

當(dāng)受害者電腦運(yùn)行挖礦病毒時(shí)，計(jì)算機(jī)CPU、GPU資源占用會(huì)上升，電腦因此變得卡慢，如果是筆記本電腦，會(huì)更容易觀察到異常：比如電腦發(fā)燙、風(fēng)扇轉(zhuǎn)速增加，電腦噪聲因此增加，電腦運(yùn)行速度也因此變慢。挖礦年年有，但進(jìn)入2018年以來，PC端挖礦木馬以前所未有的速度增長(zhǎng)，僅上半年爆出挖礦木馬事件45起，比2017年整年爆出的挖礦木馬事件都要多。

2.1上半年挖礦木馬樣本分析與傳播特征

騰訊御見威脅情報(bào)中心對(duì)數(shù)十萬(wàn)挖礦病毒樣本進(jìn)行歸類，對(duì)挖礦木馬使用的端口號(hào)、進(jìn)程名、礦池地址進(jìn)行了總結(jié)。

挖礦木馬最偏愛的端口號(hào)是3333，其次是8008、8080、5555等端口。

木馬最愛的借用的進(jìn)程名是svchost.exe以及csrss.exe，這兩個(gè)名字原本屬于windows系統(tǒng)進(jìn)程，現(xiàn)被挖礦木馬利用來命名以迷惑用戶。

礦池就是一個(gè)開放的、全自動(dòng)的挖礦平臺(tái)，目前挖礦木馬主要通過連接礦池挖礦，礦工將自己的礦機(jī)接入礦池，貢獻(xiàn)自己的算力共同挖礦，共享收益。上半年P(guān)C端僵尸網(wǎng)絡(luò)挖礦應(yīng)用最廣泛的礦池為f2pool。

與以往挖礦木馬相比，2018上半年挖礦木馬出現(xiàn)新的傳播特征：

（1）瞄準(zhǔn)游戲高配機(jī)，高效率挖礦

輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對(duì)電腦性能要求較高，不法分子瞄準(zhǔn)游戲玩家電腦，相當(dāng)于找到了性能“絕佳”的挖礦機(jī)器。

2018年1月，騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進(jìn)行傳播