面对勒索病毒，我们只能躺平吗？

大家好，我是鹅师傅。

如果你从事网络安全行业，下面这张图你肯定不陌生。

一旦你的病毒被一种叫做“Wanna cry”的勒索病毒感染，就会出现上面的界面。

然后，你会发现你电脑上的文件打不开了，只有用比特币交赎金才能恢复。

2017年，这种病毒横扫全球，至少有150个国家和地区着了道儿，造成损失达80亿美元。在我国，大量的校园网、银行、加油站、ATM机，甚至公安内网遭到了入侵，造成业务停摆、数据丢失。

不得不佩服作者的恶趣味，看着屏幕上的“一片红”，想着被锁住的论文、设计、数据、小电影，加上那个贱贱的口气，确实挺让人“想哭”（Wanna cry）的。

从Wanna cry开始，各种各样的勒索病毒在全球大流行。仅今年上半年，就发生了美国最大保险公司CNA因内网上所有数据被加密，被迫支付4000万美元赎金；美国最大成品油管道运营商Colonial Pipeline遭到勒索；日本东芝公司法国分部740G机密信息被窃取等一系列公共事件。其中，美国成品油公司所面临的勒索使其不得不关闭东海岸各州燃油网络，导致美国总统拜登于5月9日宣布东海岸17个州以及华盛顿特区进入紧急状态。

勒索病毒为何有这么大的能量？面对勒索病毒，难道只能“躺平”吗？下面，鹅师傅就来给大家盘一盘。

1

关于勒索病毒，你需要知道的四件事

（一）什么是勒索病毒？

勒索病毒是一种新型电脑病毒，电脑一旦感染，文件就会被病毒加密，被感染者几乎无法自行解密，只得乖乖交赎金取得密钥。

简单来说，勒索病毒就像是把你家的门窗全部锁住，然后在门上堂而皇之地贴上告示，告诉你如果不交钱拿到钥匙，就回不了自己的家。

不一样的是，如果你家被锁住了，你可以找开锁公司，或者想办法破门而入，而破解勒索病毒，要比这难上千万倍。

（二）勒索病毒是怎样运行的？

勒索病毒的运行，主要分为下面三个步骤：

1.攻击

这里的手法五花八门，系统漏洞、恶意邮件、U盘、共享文件、钓鱼网站、广告弹窗、僵尸网络等都可能成为病毒传播的载体。

在这些攻击手段中，利用系统漏洞是最为常见的，它的最大特点是被动性。病毒会自动扫描网络中存在系统漏洞的主机，只要没有安装补丁，即使没有点开邮件、没有访问恶意网站，也可能被攻击。

2.扩散

在感染某一台主机后，病毒往往不急着开始“工作”，而是尽可能利用各种手法来自我复制，进行不同文件、不同主机间的相互感染，最终将病毒扩散到整个局域网。等病毒爆发时，往往就是整个单位、整个企业的电脑全部被锁。

3.窃取

完成了“热身”，病毒开始“大显身手”。一方面，它会通过格式篡改的方式，加密电脑中的文档、图片等文件；另一方面，它会将感染电脑上的机密文件上传到黑客服务器上。

被加密的文件

4.勒索

在成功加密、窃取文件之后之后，病毒会在桌面或醒目位置生成一个提醒用户文件已被锁定/窃取，指引其交赎金的文件。

对于一些知名企业，如果不及时交赎金，黑客会在暗网陆续公开窃得的机密文件，以实现施压的目的。

例如，今年3月，我国台湾地区PC巨头宏碁遭到勒索病毒组织REvil的攻击，并被索要支付高达 5000 万美元的巨额赎金，但因宏碁并未支付赎金，导致其财务报表、流水账单、银行交易等机密资料在暗网被泄露。

好奇的你可能会问：“我怎么交赎金呢？而且，留下自己收取赎金的账户，不就等于自投罗网吗？”

黑客才不会这么傻。尽管身在中国的你中了勒索病毒，但黑客完全可能身处遥远的南美。当前，勒索病毒的赎金支付方式，几乎清一色地采用比特币，而采用比特币进行的交易，是无法追踪买卖双方的身份和地址的，这就大大提升了黑客的“安全”。

而对于那些不熟悉比特币的用户，黑客甚至会在勒索界面里“贴心”地教他们怎么翻墙、怎么登陆暗网、怎么购买比特币等。可见，每一个黑客都怀着一颗当老师的心。

图片来源：浅黑科技

（三）勒索病毒能被破解吗？

理论上来说，即使你的电脑中了勒索病毒，只要你愿意狠下心来格式化硬盘，就有可能让电脑恢复正常，只不过你从此就得和快写完的博士论文、公司的年终策划，以及硬盘里的小电影说再见了，真是个艰难的选择。

正常人如此，对于那些大企业，就更是狠不下心了。因为如果这么干，就意味着主动放弃大量的客户信息、关键数据，而且即使你这边格式化了，黑客手上还有一份。

此时，你第一时间想到的，肯定是找杀毒软件破解，实在不行就去联系专业的解密团队。

然而，在大多数场合，强行破解勒索病毒是徒劳无益的。原因在于，勒索病毒在加密用户文件时，通常采用的是RSA公钥加密算法，这种算法是目前全球公认最有效的加密算法之一，最大的特点是密钥长度极长，通常超过1024位，最高可达2048位，这在当前计算机的计算水平下是难以强行破解的（唯一的例外是在极少数情形下，由于制作者能力不足，导致病毒算法本身有BUG，或者因为种种原因导致密钥流出）。

RSA加密算法图解（图片来源：百度百科）

换句话说，一旦文件被这种勒索病毒加密，只有获得病毒开发者提供的私钥，才有办法解密。这样一来，如果你既想取回文件，又不想花钱，理论上只有两种解决方法：要么等各大互联网公司的安全团队攻破病毒（也许永远攻不破，也许就在明天），要么等黑客被警方抓获。

那么，网上那些声称能为中了勒索病毒的用户提供解密服务的“专业团队”，是否靠谱呢？

鹅师傅在这里说句可能得罪人的话：这些“专业团队”并没有那么神。他们提供的所谓“解密服务”，要么是使用那些已被公开的解密工具（你自己也能在网上下载到），要么是打着数据恢复的幌子去与黑客“讲价”，甚至直接和黑客内外勾结。

2020年10月，南通警方破获了国内首起使用病毒实施敲诈勒索案，中间有个小插曲十分有趣。

某超市的收银系统遭受了勒索病毒的攻击，超市负责人联系了一家解密公司，以比黑客勒索的金额更低的价格完成了解密。按理说此时应该皆大欢喜了，然而警方分析，没有开发者提供的密钥，几乎是不可能解密病毒的，这家解密公司很可能是病毒制作者。

经过盘查，解密公司负责人透露，他们事先通过勒索邮箱主动和黑客取得了联系，以比勒索金额更低的价格购买解锁密钥，以此为中了病毒的客户提供解密服务，从中赚取差价。

最终，警方根据解密公司提供的相关记录，成功锁定犯罪嫌疑人巨某。经查，巨某自2017年以来，向21家公司植入勒索病毒勒索比特币，造成受害企业直接经济损失共计人民币623447元，最终巨某和协助其制作、传播病毒的解密公司人员谭某、谢某三人构成敲诈勒索罪，分别获刑8年、5年、5年3个月，可谓大快人心。

鹅师傅的同事们当年曾与涉案公司有过接触（图片来源：腾讯安全威胁情报中心）

（四）交了赎金，就能保证取回文件吗

既然解密不了，那么如果选择“躺平”，乖乖交了赎金，就能保证取回文件吗？

这个问题，严格说得看你运气怎么样。

如果遇到比较讲信用的黑客，或许能够顺利拿回文件。但很多时候黑客似乎并没有那么讲信用（讲信用还做什么病毒），收到赎金后常常会再度加价。国外的研究更是显示，在支付赎金的公司中，最终只有一半左右能顺利取回文件。

网友自曝被勒索的经历（图片来源：百度贴吧）

更何况，一次勒索得手，只会让黑客的气焰更加嚣张，从而变本加厉地进行索取。收到的赎金，也使得他们有更多的精力和自信去更新病毒，使其具备更强的破坏性。

黑客们在暗网寻求“合作”

2

勒索病毒离我们并不遥远

（一）日益严峻的攻击形势

有人可能会觉得，尽管勒索病毒很可怕，但它主要还是针对国外的企业，并不会影响到我们的日常生活。

这是大错特错的。不久前，鹅师傅的同事们盘点了勒索病毒攻击的最新趋势，结果显示，今年上半年的勒索事件虽然较去年同期有所减少，但勒索事件仍然频发，勒索金额屡创新高，勒索攻击愈发具备针对性。

图片来源：2021上半年勒索病毒趋势报告及防护方案建议

与此同时，我国各大地区2021年上半年均在不同程度上遭受勒索病毒的困扰。其中又以华东、华南沿海省份为甚。

图片来源：2021上半年勒索病毒趋势报告及防护方案建议

而在感染行业上，大多数行业都有受到攻击。这意味着，无论你的企业从事何种行业，只要工作中需要用到电脑数据，就存在被攻击的可能。

（二）日益多样的勒索病毒产业链

与此同时，围绕着勒索病毒的制作、传播、盈利而构建起来的产业链也日益多元化，如下图所示：

图片来源：腾讯安全威胁情报中心

在上面的产业链中，有两点内容特别值得注意：

首先，勒索病毒的作者和使用者日益分离。正常情况下，勒索病毒的作者就是勒索的实施者，但随着勒索“捷报”的增加，越来越多的病毒作者选择不亲自实施勒索，而是在暗网平台出售病毒代码，让买家自行“加盟”，或者与买家进行分成。这种模式被称作“RaaS”（Ransomware as a service），它意味着，勒索病毒正式成为了一种可以推广的服务，对于那些不懂电脑知识的人，只要有一颗干坏事的心和足够资金，就可以成为勒索者。

其次，勒索病毒与网络黑产逐渐呈现出“联动”态势。原本勒索病毒是黑客们的游戏，但越来越多的网络黑产从业者嗅到了勒索病毒背后的“商机”，主动加入其中。他们或帮助病毒传播，或与勒索者合作，以帮助解密为由从中牟取利润。

不难看出，随着勒索病毒产业链的延长，黑客已摇身一变，扮演着类似于“军火商”的角色，他只需要负责研究怎么把病毒变得更加难缠，至于后续的传播和勒索的问题，则由下面的“加盟者”来考虑，这一分工的确立，大大提高了勒索病毒的危害性。

3

如何防范勒索病毒

想要战胜勒索病毒，需要做到提升解密技术、准确追踪勒索者、切断勒索病毒产业链。在当前的条件下，无论是哪一点的实现，都面临着大量困难。这意味着，在很长的一段时间里，勒索病毒都将成为最主要的网络安全威胁之一。

然而，这并不意味着人们就没辙了。正如人类无法战胜癌症，但可以通过保持健康的生活习惯来预防癌症一样，防范勒索病毒的，可以从平时入手、从预防入手。

（一）对个人用户的建议

对个人用户而言，首先要提醒的是，不要以为自己的电脑没有入侵价值。

上面已经提到，如今勒索病毒已经成为一项可以定制的“服务”，对于那些“加盟者”而言，他们想的不是“干一票大的”，而是“薄利多销”，先把文件锁上再说，后面能拿多少钱完全随缘。

幸运的是，个人用户只要养成良好的安全习惯，就能大大减轻被勒索病毒攻击的概率。鹅师傅有几个小建议：

1.一定、一定、一定要在电脑上安装安全防护软件，不要怕麻烦（腾讯安全管家它不香吗）。

2.养成定期更新系统漏洞、病毒库的习惯，以防止病毒利用漏洞入侵。

3.重要文件数据要及时备份。现在很多办公软件都有自动上传到云的功能，一定要记得打开。

4.减少不安全的上网操作，不打开来路不明的赌博、色情等不良网站，不打开不明邮件、不明压缩包等。同理，如果你的朋友有一天给你发来奇怪的文件，也坚决不要打开，因为他的账号很可能已经被盗。

如果真的不幸中了病毒，记得以下操作：首先，不要慌张，及时断网关机，不要用优盘连接电脑。其次，根据勒索提示内容，收集病毒特征，判断自己中的是哪种病毒，然后检索这种病毒是否已经被攻破。最后，尽量通过正规机构、专业人员处理，不要轻信那些可以有偿帮助解密解密的个人或公司。

这里推荐一个各国执法机构和网络公司共同设立的公益救助网站：

https://www.nomoreransom.org/zh/about-the-project.html

一旦中了勒索病毒，可以在这个网站上传勒索界面、文件后缀等截图，方便系统判断病毒特征，如果该病毒已经被破解，网站会指引你下载免费的解密工具。

（二）对企业用户的建议

对企业用户而言，基本的建议和个人用户是一致的，但在具体操作过程中，会更加复杂。

针对企业用户，鹅师傅的同事们已经开发出“零信任无边界访问控制系统”（主要面向普通企业）和“高级威胁检测系统”（主要面向中大型企业）等网络安全整体性方案，在此强烈推荐可能面临勒索病毒威胁的企业用户使用。

同时，鹅师傅还有如下建议：

1.必须对数据进行严格、定期的加密和备份处理，以防数据泄露，在数据使用上，要做好管控。

2.使用专门的管理工具，对局域网内连接的所有硬件和软件进行统一的管理、监测，在某一终端被侵入时及时预警。

3.在员工中加强保密、网络安全教育，杜绝用内网连接不良网站，培养员工的安全防范意识。

4.制定应急计划，并及时演练，确保在勒索事件发生后，能做到及时响应。

总而言之，无论是个人还是企业，平时对待勒索病毒，都不能用“躺平”的态度，否则下一个“躺平”的，很可能就是你！