通常来说僵尸网络就像怪物一样，沉寂一段时间之后才露出真面目，而这一次的怪物是Necurs僵尸网络。Necurs是世界上最大的恶意网络，曾被用来散播可怕的病毒，但自今年6月1日之后它就消失了。

Necurs曾被诈骗犯用来传递Dridex银行恶意软件和可怕的Locky勒索软件，许多安全专家对Necurs的消失感到疑惑。

FireEye的研究员Joonho Sa在Motherboard网站上证实，

我们只能说，经过观察，自6月1日起Dridex和Locky经垃圾邮件散播的活动已停止，我们没法弄清这个僵尸网络是如何结束的。

在2015年早些时候首次发现Necurs时，专家们程其为“一项犯罪的杰作”，并将其归为传播病毒复杂高效的恶意网站。

2015年10月，包括FBI和NCA在内的各国执法机构，经过共同努力，摧毁了这个僵尸网络。但它重现后，却主要被用来传播Locky勒索软件。专家们证也实其正是是世界上最大的僵尸网络Necurs。

僵尸网络Necurs复活了

现在看来，这就像是一部怪兽电影的续集，这只怪兽真的复活了。这不禁让我们联想到最近垃圾邮件数量渐增。2016年以前，平均有200k的IP地址被列在SpamCopBlock列表上，但今年已经翻了一番达到400k，甚至飙到了450k。的确，我们确实看到了这个老怪物的续集。

事实上，以过时的手段传播的大量垃圾邮件已被垃圾邮件过滤器过滤掉了。目前，这种手段在很短的时间间隔内，已经被更为隐蔽的手段所取代，而幕后黑手Necurs已经将其攻击方式从持续性攻击转变为快速短暂性攻击。攻击者在这种情况下能够迅速摆脱，这就使我们觉得垃圾邮件过滤器就像监狱大门，而垃圾邮件就像罪犯一样试图逃脱。该想法是，利用监狱大门的一点延迟，尽可能多地关住将逃出的罪犯。在这种情况下，“罪犯”以电子邮件形式通过，并在目标上载入恶意软件。

Talos团队在博客发帖说到，“在今年，垃圾邮件已经攀升到极其恐怖的量，我们也已经很久没看到如此水平。我向你展示一份案例(这十年CBL总量图)，如图所示，最后一次垃圾邮件总量达到如此高的水平是在2010年中期。”

停止潜伏已经导致产生了更多的猎物，这对从那时起Necurs的幕后黑手来说是双赢的。这场运动已给恶意攻击者带来许多利益。研究人员警示说，该攻击模型可能其他僵尸网运营商复制。

Talos团队解释到，

电子邮件病毒就跟其他东西一样不断发展。当我们提升技术，检测到并消灭这些病毒的同时，攻击者也在进行应对，使之如何躲避检测技术。不幸的是，没有任何良方来阻止垃圾邮件传播。许多公司鼓励构建出分层防御系统，最大化的检测并阻止这种攻击。

因此，怪兽电影已经重启，并带来续集的预告。问题是，你是打算“买票”，还是已经准备好应对垃圾邮件的保护机制呢？