【比特幣敲詐者】真的有CCTV宣揚的那樣可怕嗎？它的原理是什麼？

01-26

目前已知的經驗是絕大多數的病毒都是給純小白的，對於知乎er呢？微博附圖：

大概幾個月前我剛好親眼見到了一個遭遇這種病毒的情況，不過不是我自己，而是我朋友的朋友。當時我的感受就是，這種手段真的是讓人非常、非常、非常的無力！

中了這種病毒以後，電腦桌面就會被自動設置為一張圖片，內容是一段英語文字，大意是說：

你的電腦中的重要文件已經被加密，要想恢復你的文件，你必須向某個比特幣賬戶支付指定數額（我當時遇到的是索要8比特幣≈1680美元≈1W人民幣）的比特幣，而且你不能試圖嘗試任何別的手段恢復文件，否則這些文件可能永遠都無法恢復不了。

然後隨便打開幾個文件看看，就會發現幾乎所有對你有用的文檔、圖片等都被加密了，根本無法正常打開或者打開只能看到一堆亂碼。但是系統正常運行所必須的那些系統文件（如.dll、.exe等）卻沒有受任何影響（這是必須的）。

這些文件現在就像是被一把牢不可破的鎖鎖起來了。這種鎖是由世界上最天才的一群人設計的，每一把這樣的鎖都只有唯一一把解鎖鑰匙。在沒有鑰匙的情況下想要解鎖，理論上的難度大致相當於：剛才我心裡想了一個能一口氣說完的數字，你猜是什麼？

這種鎖到底有多牢固呢？我們來看看一則新聞：

2008年巴西當局指控一名國內的的銀行家涉嫌金融犯罪，並從他那兒收繳了一些硬碟。但是硬碟被兩種程序加密了，其中一個是開源軟體TrueCrypt。
巴西法律無法強制要求該銀行家交出密碼，而巴西國家犯罪學研究所自己也無法解密這些硬碟，於是向FBI請求幫助。
在雙方的密碼破解專家們合作了一年後，最終宣布硬碟破解失敗。
——FBI hackers fail to crack TrueCrypt

新聞中提到的那個開源軟體TrueCrypt跟這裡的病毒採用了類似的密碼學原理，也就是上面說的那種鎖。

這種鎖的設計精妙絕倫，在理論上現階段基本無解。那有沒有可能工匠在製造這種鎖的時候工藝有隱秘的瑕疵，導致最後的成品並沒有理論上那麼安全呢？事實是，非常有可能。

還是上面那個關於TrueCrypt的新聞，它末尾提到，當時的一個破解小組實際上發現了TrueCrypt軟體5.1版本在實現上的一個小漏洞。然而這對於恢復硬碟上已經加密過的數據來說並沒有什麼x用……

所以這種病毒可怕嗎？確實很可怕。它生效以後，實際上可以說無解。不過如果你有經常備份系統或重要文件的好習慣，那就看你的備份文件是不是也同樣放在被病毒感染的電腦上了。

從另外一個角度來說，這種病毒也不是那麼可怕。因為對方只是單純的想要勒索不少的一筆錢，（看上去）並沒有肆意在你的電腦上進行額外的胡亂破壞。你的文件只是被加密了，並沒有徹底失去，只要乖乖交了贖金，有可能還是可以恢復回來的。心態好的話就當別人主動上門給你的電腦做了一次昂貴的安全測試。

需要注意的是，如果覺得自己那些被加密的文件值那個價，那就不要輕易嘗試殺毒等任何其它手段去刪除病毒或恢復文件。因為一旦你把當前電腦上的病毒程序破壞了或者把當前已經被加密的文件又再一次修改了，那可能就算交了贖金對方也沒辦法給你恢復文件了。

雖然上面主要都是在說這種病毒所採用的加密手段多麼讓人無計可施，但是其實這並不是這個病毒最危險的地方。

這個病毒最危險的地方在於它可以通過郵件傳播，使得你一旦打開郵件，或許再附加一些額外的條件，它就可以完全控制你的電腦。到了這一步，病毒就可以為所欲為了，而加密你的所有文件，只是它可以選擇的無數種手段中的一種而已。

這種病毒還沒有多到泛濫的地步，感染量每天約3位數吧。相對其他病毒木馬的感染量可以忽略不計，不打開來歷不明的文件是安全防護的天條。

第一條就是狗屎，加密已經完成，你刪掉原始病毒也沒用。其餘兩條對，不打開可疑郵件。這類病毒主要是防範，目前沒有有效的解密方法。

前面一個月比較泛濫的是locky家族和xtbl家族。最近比較流行的是Cerber家族

1.先說說Locky家族吧，這款敲詐者主要通過郵件來進行傳播，裡面附帶一個附件，附件裡面有的是js,wsf這種腳本文件，有的是word這種文件。Js,wsf雙擊就能夠運行起來，word點開後還需要啟用宏才能傳播。所以這款更多的是通過郵件附件的js和wsf中招,在國外還出現過通過社交網站Linkin和FaceBook的圖片上傳功能進行傳播。通過圖片上傳功能這個在國內目前還沒發現過，最近中這款敲詐者的相對也較少了。

2.再來說說xtbl吧，xtbl家族主要針對伺服器進行攻擊，都是一夜醒來發現自己的伺服器變了一個樣子。但是看過一些中招後的日誌，很多條嘗試登陸伺服器失敗的記錄，不止是當天的，而是持續好幾天的，最久的我看過持續一個多月的，這樣伺服器的管理員都不能發現，真的是他們的安全意識太差了。

3.在來說說cerber家族吧，cerber家族的傳播方式更改過很多次，從我開始了解敲詐者開始，cebrer家族是通過網站掛馬，有的平時訪問量比較大的網站也被掛馬，直接掛的可執行程序而不是腳本文件。記得當時忙的吃粑粑就是了。因為那些網站被掛馬的原因。通過掛馬js腳本，腳本這款傳播不是很厲害，然後是通過一些播放器遊戲什麼的進行傳播，這個也是眼下需要防範的啊，不要亂下載什麼播放器。

樓主說什麼原理，這個原理就是加密你所有的文件啊，每種敲詐者加密的格式大同小異。只是xtbl最變態，exe和Dll這種都會被加密。都是採用高強度演算法集合來進行加密，比如RC4結合RSA再結合SHA1(xtbl的變種Wallet就是採用這種方式)，所以除非有密鑰，很難被解密。最開始的時候敲詐者還不完善，可能中招的不同電腦有可能通過同一個密鑰解密，但是現在不行了，不行了，不行了。

防範

最主要的還是從根本入手，備份是最安全的。其他的都不如備份安全。人嘛，難免會被誘惑，對吧！

這根本不是什麼病毒問題，而是，重要的數據，你居然不備份？重要的電腦，居然沒安裝安全軟體？

不備份的話，不僅是病毒，就連最常見的硬碟損壞，都能讓你丟數據。

不建議你匯款，因為對方很有可能收到錢後，不理你，甚至繼續翻倍追加金額。

這次就當你花錢買個教訓。

最後，這種病毒其實非常容易做，連編程都不需要學，只需要寫一個****讓****對****進行****接著再用****來進行****，整個過程加上測試，最多半天時間。算了，具體方法我隱藏了，怕帶壞小屁孩們。