全球刑警的夢(mèng)魘？黑客手里有一把萬(wàn)能鎖

2016年2月的一天，好萊塢長(zhǎng)老會(huì)醫(yī)院的護(hù)士們發(fā)現(xiàn)電腦全都用不了了。所有的文件都加了個(gè)莫名其妙的后綴，根本打不開(kāi)。所有電腦程序也都加了這個(gè)后綴，一個(gè)也啟動(dòng)不了。掛號(hào)只能用紙筆，病歷都成了亂碼，連手術(shù)都不能正常進(jìn)行。當(dāng)大家都束手無(wú)策的時(shí)候，院長(zhǎng)阿蘭·史蒂芬涅克（Allen Stefanek）接到了一個(gè)陌生的通知：給我1萬(wàn)7千美元，不然你們的醫(yī)院就得關(guān)張。

史蒂芬涅克院長(zhǎng)猶豫了一個(gè)多星期，還是選擇了交錢(qián)。好萊塢長(zhǎng)老會(huì)醫(yī)院所經(jīng)歷的勒索并不稀有。近年來(lái)，越來(lái)越多的用戶(hù)報(bào)告自己的電腦曾被黑客鎖住，只能交贖金了事。這種黑客攻擊被人們叫做“網(wǎng)絡(luò)勒索”，黑客們使用的軟件也有一個(gè)名字，叫做Ransomware。

“面具臉”和“拼圖”病毒

Ransomware的定義很枯燥，我們不如直接舉一個(gè)例子：小明在情人節(jié)收到了一名陌生人的郵件，郵件里一片空白只有一個(gè)叫做“拼圖”的附件。小明興高采烈地打開(kāi)了這個(gè)“拼圖”，然而這個(gè)叫做“拼圖”的東西并不是節(jié)日禮物，而是一個(gè)Ransomware。

“拼圖”Ransomware的典型窗口

上面就是大名鼎鼎的Ransomware----“拼圖”（Jigsaw）。打開(kāi)以后是一個(gè)黑色背景的窗口，窗口正中心是一個(gè)電影《電鋸驚魂》里的面具臉。綠色的勒索信息會(huì)一個(gè)字一個(gè)字地打出來(lái)，它用《電鋸驚魂》的口吻給小明寫(xiě)道：

“我想跟你玩一個(gè)游戲，我來(lái)解釋一下游戲規(guī)則：你的文件正在被一個(gè)一個(gè)地刪掉，照片、視頻、文檔...... 不過(guò)不要擔(dān)心，只要你合作，它們就不會(huì)被刪完。你的文件都已經(jīng)被加密了，你一個(gè)也看不了。每個(gè)小時(shí)我會(huì)刪掉一些，刪掉的速度越來(lái)越快。如果你關(guān)電腦，再次打開(kāi)的時(shí)候我就刪掉1000個(gè)文件，如果你關(guān)掉我，你的文件就會(huì)被永遠(yuǎn)加密。只有我能把文件還給你?，F(xiàn)在，我們來(lái)玩這個(gè)游戲吧。”

小明趕緊打開(kāi)自己硬盤(pán)里的電影文件夾，發(fā)現(xiàn)所有的片子都被加上了一個(gè)“.fun”的后綴，根本打不開(kāi)。不僅是電影，自己寫(xiě)的日記，照的照片，玩的游戲，一個(gè)也打不開(kāi)。

窗口的左下角是個(gè)倒計(jì)時(shí)，開(kāi)始是一小時(shí)，每次歸零就會(huì)刪掉一些文件。每刪一次，下一次刪的數(shù)量就會(huì)增多。每小時(shí)被刪的文件指數(shù)增長(zhǎng)，用不了幾天電腦就啥也不剩了。

當(dāng)然黑客不是為了玩這個(gè)“刪文件”的游戲，而是要錢(qián)。小明一開(kāi)始還挺強(qiáng)硬，可文件都丟了怎么辦？我這電腦花了幾千塊錢(qián)買(mǎi)的，這么著不就沒(méi)法用了嗎？紅色的倒計(jì)時(shí)讓小明的心臟一蹦一蹦的，而小明漸漸地陷入了絕望。過(guò)了幾分鐘，小明終于服軟了。他按照黑客的指示，買(mǎi)了23美元的比特幣，匯給這個(gè)陌生人。

小明事后報(bào)了警，可比特幣無(wú)法追蹤，警察根本抓不著兇手。小明回家打開(kāi)電腦，發(fā)現(xiàn)面具臉的窗口終于沒(méi)有了，可是自己的文件也全刪沒(méi)了。

Ransomware“拼圖”的各種變體

這個(gè)名為“拼圖”的勒索軟件主要肆虐時(shí)間是2016年，它有很多不同的變體，比如被劫持文件的后綴不一定是”.fun”，還有.gefickt, .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, .paybtcs, .fun, .kkk, .gws, 和.btc. 背景也不一定是《電鋸驚魂》的面具臉，還有弄成一群頭盔制服黨的，還有搞出電影《V字仇殺隊(duì)》的，還有扮成游戲“殺手47”的?！捌磮D”勒索軟件要多少錢(qián)的都有，比較多的是要150塊錢(qián)?！捌磮D”還走上了國(guó)際化道路，除了英語(yǔ)以外，還非常貼心地加上了西班牙語(yǔ)、法語(yǔ)、俄語(yǔ)等多國(guó)語(yǔ)言。好消息是這個(gè)臭名昭著的“拼圖”終于被破解了，網(wǎng)上不僅有破解教程，還有一個(gè)破解軟件“Jigsaw decrypter”。

像“拼圖”這樣的Ransomware還有很多很多，長(zhǎng)相也各不相同，但行為都是一樣的。它通過(guò)木馬的形式在郵件、U盤(pán)、下載網(wǎng)站里傳播，它自動(dòng)鎖住你的電腦，把所有文件加密，并威脅要?jiǎng)h掉它們。受害者必須通過(guò)比特幣支付給發(fā)布者，然后發(fā)布者根據(jù)心情好壞選擇是否把文件交還。像小明這樣的受害者，近來(lái)一年比一年多。

為什么Ransomware突然肆虐了起來(lái)

Ransomware已經(jīng)存在了至少十年了，最早只泛濫在”黑客之鄉(xiāng)”俄羅斯?？勺罱闞ansomware突然異軍突起，全世界流行起來(lái)。IBM曾經(jīng)在美國(guó)做過(guò)一次調(diào)研，僅在2016年，已知的網(wǎng)絡(luò)勒索涉案金額總額近10億美元，40%的垃圾郵件里都有Ransomware。一半的受害者拒絕交錢(qián)，“魚(yú)死網(wǎng)破”，另一半的受害者束手無(wú)策，乖乖交錢(qián)。

受害者往往對(duì)于一百美元以下的贖金能夠接受，這也是為什么Ransomware每次涉案金額較小，但傳播極其廣泛。企業(yè)用戶(hù)往往比個(gè)人用戶(hù)更倒霉，因?yàn)樗麄円坏内H金往往更多，而且他們會(huì)迫于公司壓力選擇交錢(qián)。70%的企業(yè)受害者交了贖金，這些交了贖金的人里面，一半的人交了至少一萬(wàn)美元，20%的人交了至少四萬(wàn)美元。

2016年，歐洲刑警組織（Europol）把Ransomware列為“危害性最高的網(wǎng)絡(luò)攻擊”，排在它后面的才是數(shù)據(jù)盜竊（偷文件）和銀行木馬（偷銀行卡）。歐洲刑警組織對(duì)網(wǎng)絡(luò)犯罪做了一個(gè)執(zhí)法優(yōu)先級(jí)排名，排名前五的病毒里，三個(gè)都是Ransomware。

歐洲刑警組織對(duì)網(wǎng)絡(luò)病毒的執(zhí)法優(yōu)先級(jí)排名

互聯(lián)網(wǎng)初期的病毒，大多數(shù)是“損人不利己”的。黑客們搞出個(gè)病毒，不為賺錢(qián)，就為炫耀一下自己的才華。2006年的病毒“熊貓燒香”，中病毒以后所有.exe結(jié)尾的文件無(wú)法運(yùn)行，圖標(biāo)變成一個(gè)熊貓舉著三炷香。2003年的“沖擊波”（Worm.Blaster）病毒，中病毒以后，電腦會(huì)一分鐘自動(dòng)重啟一次。“沖擊波”的源代碼里，還有一行嘲諷比爾·蓋茨的話：

“比爾蓋茨啊，你怎么能讓這種事情發(fā)生？少掙點(diǎn)兒錢(qián)吧，多修修漏洞?！?/p>

被“熊貓燒香”感染的文件，圖標(biāo)全變成了熊貓

早期的黑客往往都是軟件愛(ài)好者，業(yè)余時(shí)間搞出個(gè)病毒宣傳一下自己，并不拿它賺錢(qián)。可隨著互聯(lián)網(wǎng)的普及，病毒不再是“惡作劇”，越來(lái)越多的職業(yè)犯罪者用它來(lái)大發(fā)橫財(cái)。Ransomware是個(gè)很特別的攻擊手段。過(guò)去的黑客往往喜歡“黑進(jìn)”你的電腦，手里拿著一個(gè)“萬(wàn)能鑰匙”（解密算法），撬開(kāi)你的鎖（加密文件）。而網(wǎng)絡(luò)勒索正相反，黑客并不在乎你電腦里有什么，他們手里拿的是個(gè)“萬(wàn)能鎖”（Ransomware），逼你交錢(qián)以后才把這個(gè)“萬(wàn)能鎖”打開(kāi)。上鎖比開(kāi)鎖容易，加密也比解密要簡(jiǎn)單。所以網(wǎng)絡(luò)敲詐犯，不需要學(xué)太多計(jì)算機(jī)知識(shí)。只要拿到了Ransomware，小學(xué)生都可以搞勒索。

管病毒管受害者直接要錢(qián)，在過(guò)去是行不通的。警方可以通過(guò)查找銀行的交易記錄，迅速追捕到罪犯。可在比特幣發(fā)明出來(lái)以后，形勢(shì)一下子就變了。比特幣隨處可買(mǎi)，線上流通。它不需要身份證驗(yàn)證，也不需要去銀行管理。比特幣是個(gè)“去中心化”的金融體系，警察對(duì)比特幣交易無(wú)法追蹤。有了這么一個(gè)“地下交易”網(wǎng)，黑客們拿完錢(qián)后輕松逍遙法外。已報(bào)告的網(wǎng)絡(luò)勒索案，絕大多數(shù)都是通過(guò)比特幣支付的贖金。

比特幣無(wú)法追蹤，所以成了黑客的“通用貨幣”

互聯(lián)網(wǎng)創(chuàng)業(yè)就像賽跑，誰(shuí)發(fā)布的早，誰(shuí)就容易占掉市場(chǎng)份額。這就導(dǎo)致創(chuàng)業(yè)者們養(yǎng)成了一種陋習(xí)：先發(fā)布一個(gè)差不多能用的軟件，以后再慢慢修漏洞。正是這些漏洞，讓黑客們一下子有隙可乘。

一個(gè)典型的例子就是MongoDB。MongoDB是一個(gè)非常好用的“非關(guān)系型數(shù)據(jù)庫(kù)”（至于什么是“非關(guān)系型數(shù)據(jù)庫(kù)”，我們以后有機(jī)會(huì)再講）。MongoDB剛剛發(fā)布的時(shí)候，它的默認(rèn)設(shè)置非常不合理：任何人都可以訪問(wèn)這個(gè)數(shù)據(jù)庫(kù)（沒(méi)有Access Control），而且不做自動(dòng)備份。很多人不會(huì)改MongoDB的默認(rèn)設(shè)置，于是黑客們紛紛前去盜取這些沒(méi)有任何保護(hù)的數(shù)據(jù)庫(kù)，然后敲詐管理員。

在MongoDB的官方博客透露，2萬(wàn)5千個(gè)數(shù)據(jù)庫(kù)中，2000個(gè)受到了黑客的勒索。勒索者偷走了所有數(shù)據(jù)，然后在數(shù)據(jù)庫(kù)里留下一句話：“通過(guò)比特幣給我XXX美元，不然我就刪掉你的數(shù)據(jù)?！?攻擊MongoDB的黑客實(shí)在太多了，以至于一個(gè)黑客剛剛在數(shù)據(jù)庫(kù)里留下勒索的“紙條”，另一個(gè)黑客立刻把“紙條”的收款人抹掉，改成自己的比特幣賬戶(hù)。如今MongoDB已經(jīng)修復(fù)了這個(gè)漏洞，然而大量用戶(hù)并沒(méi)有升級(jí)，還處在被勒索的風(fēng)險(xiǎn)之下。

綜上所述，職業(yè)罪犯的加入、極低的技術(shù)門(mén)檻、無(wú)法追蹤的交易模式、漏洞百出的軟件，這些就是Ransomware肆虐的原因。

那么，我們拿這些敲詐犯沒(méi)有辦法了嗎？

對(duì)抗網(wǎng)絡(luò)勒索的手段

2016年6月，美國(guó)加利福尼亞州參議院通過(guò)了一項(xiàng)法律：網(wǎng)絡(luò)勒索，視同勒索罪處理。這個(gè)編號(hào)為SB-1137的法律由加州參議員鮑勃·赫茲伯格（Bob Hertzberg）提出，在州參議院全票通過(guò)，最后由加州州長(zhǎng)杰瑞·布朗（Jerry Brown）簽署。它不僅給出了網(wǎng)絡(luò)勒索的法律定義，還規(guī)定：就算這個(gè)黑客沒(méi)有收到贖金，罪行也按照收到贖金判決。作案者最高可以被判4年監(jiān)禁，另外還有1萬(wàn)美元的罰款。這個(gè)法案在討論的時(shí)候，好萊塢長(zhǎng)老會(huì)醫(yī)院作為受害者還曾發(fā)表過(guò)證詞。醫(yī)院院長(zhǎng)終于可以放下心來(lái)，不再擔(dān)心醫(yī)院電腦被黑客給“鎖住”了?？墒虑榫瓦@么結(jié)束了嗎？

法案通過(guò)僅僅一天后，法案提出者赫茲伯格的電腦就被黑客給加密了。赫茲伯格無(wú)奈地發(fā)了一條推文，還發(fā)了個(gè)截圖：“這就是我在州議會(huì)的辦公室電腦截圖，它被Ransomware攻擊了。”

網(wǎng)絡(luò)勒索法案的提出者赫茲伯格反而被勒索

直到今日，這些網(wǎng)絡(luò)勒索的罪犯?jìng)冞€在頻頻作案，因?yàn)殡m然立法有了，執(zhí)法手段上還有很長(zhǎng)一段路要走。今天被成功逮捕的黑客少之又少，大多數(shù)勒索者還在逍遙法外。如果事后抓不到，我們就只能事前預(yù)防。

防范網(wǎng)絡(luò)敲詐的方法有很多，最重要的就是養(yǎng)成良好的上網(wǎng)習(xí)慣：不要點(diǎn)開(kāi)不認(rèn)識(shí)的郵件附件，不要在不安全的網(wǎng)站下載軟件，勤殺毒，勤升級(jí)，多用云存儲(chǔ)，定期做硬盤(pán)備份。

如果上面的都沒(méi)有做到，自己還是被攻擊了，不要慌，有不少網(wǎng)站可以把你的文件找回來(lái)。比如nomoreransom.org，它不僅可以用多種算法嘗試解密被“鎖住”的文件，還會(huì)指導(dǎo)你如何報(bào)警。不少Ransomware已經(jīng)被破解了（比如“拼圖”），去一些值得信任的論壇，也能下載到正確的解密工具。

最后，在付贖金之前一定要再三考慮，因?yàn)楹诳涂赡軙?huì)在要了一次錢(qián)以后得寸進(jìn)尺，不斷地騷擾你。而且黑客不一定會(huì)在最后把文件還給你，你的錢(qián)最后也拿不回來(lái)。況且，如果交贖金的人少了，黑客們就賺不到錢(qián)，類(lèi)似的攻擊就會(huì)變少。你如果交了贖金，這可能是一種對(duì)這種犯罪行為的鼓勵(lì)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。