全球刑警的夢魘,黑客手裡的萬能鎖

2016年2月的一天,好萊塢長老會醫院的護士們發現電腦全都用不了了。所有的文件都加了個莫名其妙的後綴,根本打不開。所有電腦程序也都加了這個後綴,一個也啟動不了。挂號只能用紙筆,病歷都成了亂碼,連手術都不能正常進行。當大家都束手無策的時候,院長阿蘭·史蒂芬涅克(Allenn Stefanek)接到了一個陌生的通知:給我1萬7千美元,不然你們的醫院就得關張。n

  史蒂芬涅克院長猶豫了一個多星期,還是選擇了交錢。好萊塢長老會醫院所經歷的勒索並不稀有。近年來,越來越多的用戶報告自己的電腦曾被黑客鎖住,只能交贖金了事。這種黑客攻擊被人們叫做「網路勒索」,黑客們使用的軟體也有一個名字,叫做Ransomware。

「面具臉」和「拼圖」病毒

Ransomware的定義很枯燥,我們不如直接舉一個例子:

  小明在情人節收到了一名陌生人的郵件,郵件里一片空白只有一個叫做「拼圖」的附件。小明興高采烈地打開了這個「拼圖」,然而這個叫做「拼圖」的東西並不是節日禮物,而是一個Ransomware。

「拼圖」Ransomware的典型窗口

  上面就是大名鼎鼎的Ransomware----「拼圖」(Jigsaw)。打開以後是一個黑色背景的窗口,窗口正中心是一個電影《電鋸驚魂》里的面具臉。綠色的勒索信息會一個字一個字地打出來,它用《電鋸驚魂》的口吻給小明寫道:

  「我想跟你玩一個遊戲,我來解釋一下遊戲規則:你的文件正在被一個一個地刪掉,照片、視頻、文檔...... n不過不要擔心,只要你合作,它們就不會被刪完。你的文件都已經被加密了,你一個也看不了。每個小時我會刪掉一些,刪掉的速度越來越快。如果你關電腦,再次打開的時候我就刪掉1000個文件,如果你關掉我,你的文件就會被永遠加密。只有我能把文件還給你。現在,我們來玩這個遊戲吧。」

  小明趕緊打開自己硬碟里的電影文件夾,發現所有的片子都被加上了一個「.fun」的後綴,根本打不開。不僅是電影,自己寫的日記,照的照片,玩的遊戲,一個也打不開。

  窗口的左下角是個倒計時,開始是一小時,每次歸零就會刪掉一些文件。每刪一次,下一次刪的數量就會增多。每小時被刪的文件指數增長,用不了幾天電腦就啥也不剩了。

  當然黑客不是為了玩這個「刪文件」的遊戲,而是要錢。小明一開始還挺強硬,可文件都丟了怎麼辦?我這電腦花了幾千塊錢買的,這麼著不就沒法用了嗎?紅色的倒計時讓小明的心臟一蹦一蹦的,而小明漸漸地陷入了絕望。過了幾分鐘,小明終於服軟了。他按照黑客的指示,買了23美元的比特幣,匯給這個陌生人。

  小明事後報了警,可比特幣無法追蹤,警察根本抓不著兇手。小明回家打開電腦,發現面具臉的窗口終於沒有了,可是自己的文件也全刪沒了。

Ransomware「拼圖」的各種變體

  這個名為「拼圖」的勒索軟體主要肆虐時間是2016年,它有很多不同的變體,比如被劫持文件的後綴不一定是」.fun」,還有。gefickt,n .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, n.paybtcs, .fun, .kkk, .gws, 和。btc. n背景也不一定是《電鋸驚魂》的面具臉,還有弄成一群頭盔制服黨的,還有搞齣電影《V字仇殺隊》的,還有扮成遊戲「殺手47」的。「拼圖」勒索軟體要多少錢的都有,比較多的是要150塊錢。「拼圖」還走上了國際化道路,除了英語以外,還非常貼心地加上了西班牙語、法語、俄語等多國語言。好消息是這個臭名昭著的「拼圖」終於被破解了,網上不僅有破解教程,還有一個破解軟體「Jigsawn decrypter」。

像「拼圖」這樣的Ransomware還有很多很多,長相也各不相同,但行為都是一樣的。它通過木馬的形式在郵件、U盤、下載網站里傳播,它自動鎖住你的電腦,把所有文件加密,並威脅要刪掉它們。受害者必須通過比特幣支付給發布者,然後發布者根據心情好壞選擇是否把文件交還。像小明這樣的受害者,近來一年比一年多。

為什麼Ransomware突然肆虐了起來

  Ransomware已經存在了至少十年了,最早只泛濫在」黑客之鄉」俄羅斯。可最近三年Ransomware突然異軍突起,全世界流行起來。IBM曾經在美國做過一次調研,僅在2016年,已知的網路勒索涉案金額總額近10億美元,40%的垃圾郵件里都有Ransomware。一半的受害者拒絕交錢,「魚死網破」,另一半的受害者束手無策,乖乖交錢。

  受害者往往對於一百美元以下的贖金能夠接受,這也是為什麼Ransomware每次涉案金額較小,但傳播極其廣泛。企業用戶往往比個人用戶更倒霉,因為他們要交的贖金往往更多,而且他們會迫於公司壓力選擇交錢。70%的企業受害者交了贖金,這些交了贖金的人裡面,一半的人交了至少一萬美元,20%的人交了至少四萬美元。

  2016年,歐洲刑警組織(Europol)把Ransomware列為「危害性最高的網路攻擊」,排在它後面的才是數據盜竊(偷文件)和銀行木馬(偷銀行卡)。歐洲刑警組織對網路犯罪做了一個執法優先順序排名,排名前五的病毒里,三個都是Ransomware。

歐洲刑警組織對網路病毒的執法優先順序排名

  互聯網初期的病毒,大多數是「損人不利己」的。黑客們搞出個病毒,不為賺錢,就為炫耀一下自己的才華。2006年的病毒「熊貓燒香」,中病毒以後所有。exe結尾的文件無法運行,圖標變成一個熊貓舉著三炷香。2003年的「衝擊波」(Worm.Blaster)病毒,中病毒以後,電腦會一分鐘自動重啟一次。「衝擊波」的源代碼里,還有一行嘲諷比爾·蓋茨的話:

  「比爾蓋茨啊,你怎麼能讓這種事情發生?少掙點兒錢吧,多修修漏洞。」

被「熊貓燒香」感染的文件,圖標全變成了熊貓

  早期的黑客往往都是軟體愛好者,業餘時間搞出個病毒宣傳一下自己,並不拿它賺錢。可隨著互聯網的普及,病毒不再是「惡作劇」,越來越多的職業犯罪者用它來大發橫財。

  Ransomware是個很特別的攻擊手段。過去的黑客往往喜歡「黑進」你的電腦,手裡拿著一個「萬能鑰匙」(解密演算法),撬開你的鎖(加密文件)。而網路勒索正相反,黑客並不在乎你電腦里有什麼,他們手裡拿的是個「萬能鎖」(Ransomware),逼你交錢以後才把這個「萬能鎖」打開。上鎖比開鎖容易,加密也比解密要簡單。所以網路敲詐犯,不需要學太多計算機知識。只要拿到了Ransomware,小學生都可以搞勒索。

  管病毒管受害者直接要錢,在過去是行不通的。警方可以通過查找銀行的交易記錄,迅速追捕到罪犯。可在比特幣發明出來以後,形勢一下子就變了。比特幣隨處可買,線上流通。它不需要身份證驗證,也不需要去銀行管理。比特幣是個「去中心化」的金融體系,警察對比特幣交易無法追蹤。有了這麼一個「地下交易」網,黑客們拿完錢後輕鬆逍遙法外。已報告的網路勒索案,絕大多數都是通過比特幣支付的贖金。

比特幣無法追蹤,所以成了黑客的「通用貨幣」

  互聯網創業就像賽跑,誰發布的早,誰就容易佔掉市場份額。這就導致創業者們養成了一種陋習:先發布一個差不多能用的軟體,以後再慢慢修漏洞。正是這些漏洞,讓黑客們一下子有隙可乘。

  一個典型的例子就是MongoDB。MongoDB是一個非常好用的「非關係型資料庫」(至於什麼是「非關係型資料庫」,我們以後有機會再講)。MongoDB剛剛發布的時候,它的默認設置非常不合理:任何人都可以訪問這個資料庫(沒有Accessn Control),而且不做自動備份。很多人不會改MongoDB的默認設置,於是黑客們紛紛前去盜取這些沒有任何保護的資料庫,然後敲詐管理員。

  在MongoDB的官方博客透露,2萬5千個資料庫中,2000個受到了黑客的勒索。勒索者偷走了所有數據,然後在資料庫里留下一句話:「通過比特幣給我XXX美元,不然我就刪掉你的數據。」攻擊MongoDB的黑客實在太多了,以至於一個黑客剛剛在資料庫里留下勒索的「紙條」,另一個黑客立刻把「紙條」的收款人抹掉,改成自己的比特幣賬戶。如今MongoDB已經修復了這個漏洞,然而大量用戶並沒有升級,還處在被勒索的風險之下。

  綜上所述,職業罪犯的加入、極低的技術門檻、無法追蹤的交易模式、漏洞百出的軟體,這些就是Ransomware肆虐的原因。

那麼,我們拿這些敲詐犯沒有辦法了嗎?

對抗網路勒索的手段

  2016年6月,美國加利福尼亞州參議院通過了一項法律:網路勒索,視同勒索罪處理。這個編號為SB-1137的法律由加州參議員鮑勃·赫茲伯格(Bobn Hertzberg)提出,在州參議院全票通過,最後由加州州長傑瑞·布朗(Jerry nBrown)簽署。它不僅給出了網路勒索的法律定義,還規定:就算這個黑客沒有收到贖金,罪行也按照收到贖金判決。作案者最高可以被判4年監禁,另外還有1萬美元的罰款。這個法案在討論的時候,好萊塢長老會醫院作為受害者還曾發表過證詞。醫院院長終於可以放下心來,不再擔心醫院電腦被黑客給「鎖住」了。

可事情就這麼結束了嗎?

  法案通過僅僅一天後,法案提出者赫茲伯格的電腦就被黑客給加密了。赫茲伯格無奈地發了一條推文,還發了個截圖:「這就是我在州議會的辦公室電腦截圖,它被Ransomware攻擊了。」

網路勒索法案的提出者赫茲伯格反而被勒索

  直到今日,這些網路勒索的罪犯們還在頻頻作案,因為雖然立法有了,執法手段上還有很長一段路要走。今天被成功逮捕的黑客少之又少,大多數勒索者還在逍遙法外。如果事後抓不到,我們就只能事前預防。

  防範網路敲詐的方法有很多,最重要的就是養成良好的上網習慣:不要點開不認識的郵件附件,不要在不安全的網站下載軟體,勤殺毒,勤升級,多用雲存儲,定期做硬碟備份。

  如果上面的都沒有做到,自己還是被攻擊了,不要慌,有不少網站可以把你的文件找回來。比如nomoreransom.org,它不僅可以用多種演算法嘗試解密被「鎖住」的文件,還會指導你如何報警。不少Ransomware已經被破解了(比如「拼圖」),去一些值得信任的論壇,也能下載到正確的解密工具。

  最後,在付贖金之前一定要再三考慮,因為黑客可能會在要了一次錢以後得寸進尺,不斷地騷擾你。而且黑客不一定會在最後把文件還給你,你的錢最後也拿不回來。況且,如果交贖金的人少了,黑客們就賺不到錢,類似的攻擊就會變少。你如果交了贖金,這可能是一種對這種犯罪行為的鼓勵。

本文首發於」矽谷密探」:矽谷密探 - 熱門問答 - 知乎

推薦閱讀:

比特幣勒索軟體全球爆發,這些技巧幫你避免中招【實時更新】
蜜04 勒索病毒啟示錄
「我還會回來的!" 這波勒索剛過,後續很可能洶湧而來...
勒索病毒軍隊有未中招?
肆虐各國的WannaCry,如果重新來過,會有不同嗎?

TAG:勒索病毒 | 黑客Hacker | 比特币Bitcoin |