网络安全等级保护：了解计算机病毒骗局

病毒骗局

这个概念来自国外，在国内探讨的不是太多。不过在实际落实工作中，我们可以多一条思路。

多年来，另一种病毒现象变得更加普遍——病毒骗局。人们并不是真的编写病毒，而是向他拥有的每个地址发送电子邮件。该电子邮件声称来自某个知名的防病毒中心，并警告正在传播的一种新病毒可能会损坏用户的计算机。电子邮件通常会指示人们从计算机中删除某些文件以清除病毒。然而，该文件实际上并不是病毒，而是计算机系统的一部分。这jdbgmgr.exe病毒骗局就使用了这个方案。它鼓励读者删除系统实际需要的文件。令人惊讶的是，许多人听从了这个建议，不仅删除了该文件，还立即向他们的朋友和同事发送电子邮件，警告他们从计算机上删除该文件。

纳税申报骗局

纳税申报骗局首次出现于2003年，但此后每年都会以这样或那样的形式卷土重来。该电子邮件的要点是让收件人认为通过互联网在美国提交联邦税并不安全。事实上，这种在线提交是完全安全的，并且通常可以为纳税人带来更快的退款。电子邮件正文如下所示：

警告

没有人知道这是否属实，但保护自己是值得的。

不要通过互联网发送纳税申报表（暂时）。

一种新病毒已通过互联网发布来捕获纳税申报表。作者创建此病毒是为了拦截使用联邦税务计划生成的扩展名的所有文件。如果有回扣，病毒就会更改受害者指定的当前账户，将其更改为作者的账户。之后，更改后的文件将进入联邦税务数据库。受害者会收到通常的退税收据，因为纳税申报表不会未能送达。运送时间略有增加，这是由于账户信息发生变化而必需的，这对于等待纳税申报的人来说是不明显的，因此退税的接收者认为这是由于流量大或问题造成的电话线等......我们在互联网上习惯了的所有问题。

将此电子邮件发送给您所有的朋友。

幸运的是，这个特殊的骗局并未对受感染的机器造成任何实际损害。然而，它确实阻止了受害者使用一项有价值且高效的服务——在线纳税申报处理，从而给受害者造成了很大的不便。当我们在第14章“物理安全和灾难恢复”中讨论信息战时，应该记住这一事件。”这封电子邮件骗局显然是为了削弱人们对政府服务的信心。

W32.火炬骗局

与大多数其他骗局一样，这种骗局不会造成直接伤害，但可能会带来巨大的烦恼——在互联网上相当于恶作剧电话。与其他恶作剧不同，这个恶作剧并不鼓励您删除来自您系统的文件。然而，它确实引起了接收者的相当多的担忧。在这个骗局中，发送了一条消息，内容如下：

新病毒破坏硬件

最近发现的一种新病毒能够烧毁某些计算机的CPU，甚至对主板造成损坏。是的，确实如此，该病毒会损坏计算机的硬件。该病毒名为w32.torch，使用大多数现代主板中存在的winbond w83781d芯片，该芯片负责控制CPU和系统风扇的速度。感染是利用众所周知的Microsoft DCOM net-trap漏洞进行的，安装后，病毒会利用这种方法传播到本地网络中的其他计算机。通过对病毒代码进行逆向工程，我们没有发现除了导致CPU烧毁的代码之外的任何代码证据。病毒关闭BIOS中的高温检测（默认情况下已禁用），然后缓慢降低风扇速度，导致系统内部温度急剧升高。如果感觉计算机变得“安静”，最好检查一下，因为它可能正在停止，并且可能只剩下几分钟的时间来断开连接。该病毒包含文本“Moscow Dominates - out/27/03”，该文本根据其IP地址显示在某些计算机的托盘中，可能表明源自苏联。没有设置在该日期激活的有效负载，但这可能表明这一天应该发生某些事情。有些防病毒软件已经检测到它，请检查防病毒软件是否是最新的。该病毒包含文本“Moscow Dominates-out/27/03”，该文本根据其IP地址显示在某些计算机的托盘中，可能表明源自苏联。没有设置在该日期激活的有效负载，但这可能表明这一天应该发生某些事情。有些防病毒软件已经检测到它，请检查防病毒软件是否是最新的。该病毒包含文本“Moscow Dominates-out/27/03”，该文本根据其IP地址显示在某些计算机的托盘中，可能表明源自苏联。没有设置在该日期激活的有效负载，但这可能表明这一天应该发生某些事情。有些防病毒软件已经检测到它，请检查防病毒软件是否是最新的。

迄今为止，还没有出现任何直接损坏硬件的病毒。

物联网恶意软件

随着物联网（IoT）设备的蓬勃发展，这些设备成为恶意软件的目标也就不足为奇了。也许最广为人知的物联网恶意软件是Mirai。整个2016年，Mirai感染了运行Linux的物联网设备，将它们变成了可以远程控制的机器人。这些设备随后被用作DDoS攻击的一部分。

虽然值得注意，但Mirai并不是第一个。从2014年到2016年，BASHLITE困扰着物联网设备。该恶意软件是用C语言编写的，可以兼容一系列架构和操作系统。它主要用于发起拒绝服务攻击。

勒索软件

在现代，讨论恶意软件而不讨论勒索软件是不可能的。虽然许多人在2103年CrytpoLocker出现后才开始讨论勒索软件，但勒索软件的存在时间比这要长得多。第一个已知的勒索软件是1989年的PC Cyborg木马，它仅使用弱对称密码加密文件名。2017年初，WannaCry勒索软件开始在英国的医疗保健系统中传播。它攻击未打补丁的Windows系统。这重申了第8章中讨论的修补的必要性。

2022年，Mindware将成为重大威胁。这种勒索软件的攻击于2022年3月和4月开始引起注意。除其他目标外，Mindware还被用于针对非营利性心理健康提供商。除了勒索软件之外，恶意软件还会窃取数据。Mindware窃取的金融和制造业受害者的数据已发布到互联网上。每个Mindware有效负载都针对特定目标进行配置。这在勒索软件领域相当不寻常。一旦目标被感染，有效负载就会释放硬编码的勒索软件注释，要求付款。与Black Basta一样，Mindware现在与创建最初恶意软件的组织相关联，并且现在与其他恶意软件攻击相关联。

Clop有时拼写为Cl0p，带有零而不是字母o，Clop首次出现于2019年，是CryptoMix勒索软件家族的变体。CryptoMix系列勒索软件首次出现于2016年。Clop在2021年广泛出现。除了加密文件之外，Clop还阻止了大约600个Windows进程。据估计，截至2021年11月，Clop已支付了超过5亿美元的赎金。Clop的新变种正在攻击整个网络。Clop的一个有趣的方面是它作为勒索软件即服务(RaaS)运行。荷兰马斯特里赫特大学受到克洛普袭击。正如我们所看到的，组织经常因特定勒索软件而闻名，然后继续生产其他恶意软件；Cl0p也不例外。

Lockbit勒索软件于2023年初对计算机造成严重破坏。虽然该勒索软件于2019年首次出现，但在2023年开始受到更多关注。Lockbit试图加密网络上所有可访问的计算机系统。许多专家认为这是LockerGoga和MegaCortex恶意软件家族的一部分。它结合使用PowerShell和服务器消息块(SMB)来攻击Windows系统。

内华达勒索软件于2022年12月首次以勒索软件即服务的形式出现在暗网上。该勒索软件是用Rust编程语言编写的，可以攻击Windows和Linux系统。

参考：

网络安全等级保护基本要求

等级保护技术基础培训教程