前段时间,Crysis敲诈者的同门——XTBL木马在服务器上的敲诈风波刚刚平息,新的一波Wallet服务器敲诈又再起波澜。Wallet木马最早出现在11月末,虽爆发规模不算大,但是由于是针对服务器的攻击,造成用户的损失着实不可估计。根据360互联网安全中心的分析发现,这次的Wallet虽然也是通过服务器传播,但是入侵者采用了更多样的手法——不再仅仅是对3389端口的简单扫描了,而是更有针对性的对服务器进行系统性攻击。
之前国外公布了一批Crysis和XTBL用于解密的私钥,导致很多被中两类敲诈者加密的文件最终都使用安全厂商提供的工具成功解密了。而此次的Wallet木马却显得更加严防死守,截止到发稿时,还没有任何私钥流出的消息——也就是说,一旦中招就只能老老实实的交付赎金。
这也引发了我们对于服务器安全的深思:从数量上来说,服务器的数量可能没有个人电脑那么多;从木马传播量来看,XTBL家族的传播量也远不及同为敲诈者却主攻个人用户的Cerber家族来的泛滥。但服务器是用于公共服务的互联网技术设施,牵一发而动全身的位置——一旦陷落,损失将无法估量。从XTBL到Wallet,都一次次的给所有的服务器管理员和提供互联网服务的企业管理者敲响了警钟——安全,是互联网稳定运行的根本前提。
被感染的文件系统会呈现类似如下的截图。
