国日均300台电脑感染敲诈者木马 受害者日付赎金逾174万

360互联网安全中心近日发布的《敲诈者木马威胁形势分析报告》披露，2016年上半年，平均每天有约300台国内电脑感染敲诈者木马；2016年4月-7月间，攻击者每天可以从国内受害者手中获得约174万-459万元人民币的赎金。

粤浙京用户成为感染者重灾区

根据360互联网安全中心的监测，仅2016年上半年，共截获电脑端新增敲诈者病毒变种74种，涉及PE样本40000多个，涉及非PE文件10000多个，全国至少有580000多台用户电脑遭到了敲诈者病毒攻击，且有多达50000多台电脑最终感染敲诈者病毒。

360互联网安全中心分析，造成攻击成功率如此之高的主要原因有以下两个方面：一是电脑感染木马前用户未使用安全软件，或所使用安全软件不具备充分的主动防御能力，不能准确识别此类木马或此类木马的攻击行为；二是在木马的表面诱惑下，很多用户无视安全软件的风险提示，手动放行了木马程序。

根据360互联网安全中心的监测，在2016年4月1日至5月15日期间感染敲诈者木马的国内电脑用户遍布全国所有省份，其中，广东占比最高，为14.4%，其次是浙江8.2%，北京7.0%。排名前十的省份的感染者总量占国内所有感染者的62.2%。

而就感染敲诈者木马的企业用户而言，北京地区最多，占比为13.1%，浙江、广东各占11.9%，排在第二、第三位。相比于普通个人电脑用户，企业用户的感染者更为集中，排名前十的省份的感染者总量占国内所有感染者的75.7%。

执行器挂马式攻击占比超过60%

监测显示，近期的敲诈者木马主要采用邮件钓鱼、下载器挂马(JS挂马)、执行器挂马(DLL挂马)方式传播。

其中，钓鱼邮件是一种比较经典的木马传播方式，主要手法是将恶意程序以邮件附件的形式发送给攻击目标。一旦被攻击者打开或运行邮件的附件，恶意程序就会被执行。

下载器挂马(JS挂马)是一种比较传统的网页挂马攻击方式，主要方法是在页面中嵌入恶意的JS脚本，一旦用户使用有漏洞的，且不具备主动防御能力的浏览器或其他客户端软件访问该挂马网页时，恶意的JS脚本就会被运行。

执行器挂马(DLL挂马)是最近新出现的一种网页挂马传播方式，而且已经成为了最主流的传播方式。其主要攻击方式是通过页面挂马程序注入浏览器，启动并执行一个dll类的木马程序。

360互联网安全中心统计，尽管传统的钓鱼邮件攻击仍然存在，但占比已经仅为14%。而执行器挂马攻击则已经成为最主要的攻击方式，占比超过了60%，下载器挂马排第二，占比为24%。由于微软早前已经停止了对IE浏览器的更新，预计国内IE用户遭遇敲诈者木马的挂马攻击的风险还会继续加大。