全球刑警的夢魘，黑客手裡的萬能鎖

2016年2月的一天，好萊塢長老會醫院的護士們發現電腦全都用不了了。所有的文件都加了個莫名其妙的後綴，根本打不開。所有電腦程序也都加了這個後綴，一個也啟動不了。挂號只能用紙筆，病歷都成了亂碼，連手術都不能正常進行。當大家都束手無策的時候，院長阿蘭·史蒂芬涅克(Allenn Stefanek)接到了一個陌生的通知：給我1萬7千美元，不然你們的醫院就得關張。n

　　史蒂芬涅克院長猶豫了一個多星期，還是選擇了交錢。好萊塢長老會醫院所經歷的勒索並不稀有。近年來，越來越多的用戶報告自己的電腦曾被黑客鎖住，只能交贖金了事。這種黑客攻擊被人們叫做「網路勒索」，黑客們使用的軟體也有一個名字，叫做Ransomware。

「面具臉」和「拼圖」病毒

Ransomware的定義很枯燥，我們不如直接舉一個例子：

　　小明在情人節收到了一名陌生人的郵件，郵件里一片空白只有一個叫做「拼圖」的附件。小明興高采烈地打開了這個「拼圖」，然而這個叫做「拼圖」的東西並不是節日禮物，而是一個Ransomware。

「拼圖」Ransomware的典型窗口

　　上面就是大名鼎鼎的Ransomware----「拼圖」(Jigsaw)。打開以後是一個黑色背景的窗口，窗口正中心是一個電影《電鋸驚魂》里的面具臉。綠色的勒索信息會一個字一個字地打出來，它用《電鋸驚魂》的口吻給小明寫道：

　　「我想跟你玩一個遊戲，我來解釋一下遊戲規則：你的文件正在被一個一個地刪掉，照片、視頻、文檔...... n不過不要擔心，只要你合作，它們就不會被刪完。你的文件都已經被加密了，你一個也看不了。每個小時我會刪掉一些，刪掉的速度越來越快。如果你關電腦，再次打開的時候我就刪掉1000個文件，如果你關掉我，你的文件就會被永遠加密。只有我能把文件還給你。現在，我們來玩這個遊戲吧。」

　　小明趕緊打開自己硬碟里的電影文件夾，發現所有的片子都被加上了一個「.fun」的後綴，根本打不開。不僅是電影，自己寫的日記，照的照片，玩的遊戲，一個也打不開。

　　窗口的左下角是個倒計時，開始是一小時，每次歸零就會刪掉一些文件。每刪一次，下一次刪的數量就會增多。每小時被刪的文件指數增長，用不了幾天電腦就啥也不剩了。

　　當然黑客不是為了玩這個「刪文件」的遊戲，而是要錢。小明一開始還挺強硬，可文件都丟了怎麼辦？我這電腦花了幾千塊錢買的，這麼著不就沒法用了嗎？紅色的倒計時讓小明的心臟一蹦一蹦的，而小明漸漸地陷入了絕望。過了幾分鐘，小明終於服軟了。他按照黑客的指示，買了23美元的比特幣，匯給這個陌生人。

　　小明事後報了警，可比特幣無法追蹤，警察根本抓不著兇手。小明回家打開電腦，發現面具臉的窗口終於沒有了，可是自己的文件也全刪沒了。

Ransomware「拼圖」的各種變體

　　這個名為「拼圖」的勒索軟體主要肆虐時間是2016年，它有很多不同的變體，比如被劫持文件的後綴不一定是」.fun」，還有。gefickt,n .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, n.paybtcs, .fun, .kkk, .gws, 和。btc. n背景也不一定是《電鋸驚魂》的面具臉，還有弄成一群頭盔制服黨的，還有搞齣電影《V字仇殺隊》的，還有扮成遊戲「殺手47」的。「拼圖」勒索軟體要多少錢的都有，比較多的是要150塊錢。「拼圖」還走上了國際化道路，除了英語以外，還非常貼心地加上了西班牙語、法語、俄語等多國語言。好消息是這個臭名昭著的「拼圖」終於被破解了，網上不僅有破解教程，還有一個破解軟體「Jigsawn decrypter」。

像「拼圖」這樣的Ransomware還有很多很多，長相也各不相同，但行為都是一樣的。它通過木馬的形式在郵件、U盤、下載網站里傳播，它自動鎖住你的電腦，把所有文件加密，並威脅要刪掉它們。受害者必須通過比特幣支付給發布者，然後發布者根據心情好壞選擇是否把文件交還。像小明這樣的受害者，近來一年比一年多。

為什麼Ransomware突然肆虐了起來

　　Ransomware已經存在了至少十年了，最早只泛濫在」黑客之鄉」俄羅斯。可最近三年Ransomware突然異軍突起，全世界流行起來。IBM曾經在美國做過一次調研，僅在2016年，已知的網路勒索涉案金額總額近10億美元，40%的垃圾郵件里都有Ransomware。一半的受害者拒絕交錢，「魚死網破」，另一半的受害者束手無策，乖乖交錢。

　　受害者往往對於一百美元以下的贖金能夠接受，這也是為什麼Ransomware每次涉案金額較小，但傳播極其廣泛。企業用戶往往比個人用戶更倒霉，因為他們要交的贖金往往更多，而且他們會迫於公司壓力選擇交錢。70%的企業受害者交了贖金，這些交了贖金的人裡面，一半的人交了至少一萬美元，20%的人交了至少四萬美元。

　　2016年，歐洲刑警組織(Europol)把Ransomware列為「危害性最高的網路攻擊」，排在它後面的才是數據盜竊(偷文件)和銀行木馬(偷銀行卡)。歐洲刑警組織對網路犯罪做了一個執法優先順序排名，排名前五的病毒里，三個都是Ransomware。

歐洲刑警組織對網路病毒的執法優先順序排名

　　互聯網初期的病毒，大多數是「損人不利己」的。黑客們搞出個病毒，不為賺錢，就為炫耀一下自己的才華。2006年的病毒「熊貓燒香」，中病毒以後所有。exe結尾的文件無法運行，圖標變成一個熊貓舉著三炷香。2003年的「衝擊波」(Worm.Blaster)病毒，中病毒以後，電腦會一分鐘自動重啟一次。「衝擊波」的源代碼里，還有一行嘲諷比爾·蓋茨的話：

　　「比爾蓋茨啊，你怎麼能讓這種事情發生？少掙點兒錢吧，多修修漏洞。」

被「熊貓燒香」感染的文件，圖標全變成了熊貓

　　早期的黑客往往都是軟體愛好者，業餘時間搞出個病毒宣傳一下自己，並不拿它賺錢。可隨著互聯網的普及，病毒不再是「惡作劇」，越來越多的職業犯罪者用它來大發橫財。

　　Ransomware是個很特別的攻擊手段。過去的黑客往往喜歡「黑進」你的電腦，手裡拿著一個「萬能鑰匙」(解密演算法)，撬開你的鎖(加密文件)。而網路勒索正相反，黑客並不在乎你電腦里有什麼，他們手裡拿的是個「萬能鎖」(Ransomware)，逼你交錢以後才把這個「萬能鎖」打開。上鎖比開鎖容易，加密也比解密要簡單。所以網路敲詐犯，不需要學太多計算機知識。只要拿到了Ransomware，小學生都可以搞勒索。

　　管病毒管受害者直接要錢，在過去是行不通的。警方可以通過查找銀行的交易記錄，迅速追捕到罪犯。可在比特幣發明出來以後，形勢一下子就變了。比特幣隨處可買，線上流通。它不需要身份證驗證，也不需要去銀行管理。比特幣是個「去中心化」的金融體系，警察對比特幣交易無法追蹤。有了這麼一個「地下交易」網，黑客們拿完錢後輕鬆逍遙法外。已報告的網路勒索案，絕大多數都是通過比特幣支付的贖金。

比特幣無法追蹤，所以成了黑客的「通用貨幣」

　　互聯網創業就像賽跑，誰發布的早，誰就容易佔掉市場份額。這就導致創業者們養成了一種陋習：先發布一個差不多能用的軟體，以後再慢慢修漏洞。正是這些漏洞，讓黑客們一下子有隙可乘。

　　一個典型的例子就是MongoDB。MongoDB是一個非常好用的「非關係型資料庫」(至於什麼是「非關係型資料庫」，我們以後有機會再講)。MongoDB剛剛發布的時候，它的默認設置非常不合理：任何人都可以訪問這個資料庫(沒有Accessn Control)，而且不做自動備份。很多人不會改MongoDB的默認設置，於是黑客們紛紛前去盜取這些沒有任何保護的資料庫，然後敲詐管理員。

　　在MongoDB的官方博客透露，2萬5千個資料庫中，2000個受到了黑客的勒索。勒索者偷走了所有數據，然後在資料庫里留下一句話：「通過比特幣給我XXX美元，不然我就刪掉你的數據。」攻擊MongoDB的黑客實在太多了，以至於一個黑客剛剛在資料庫里留下勒索的「紙條」，另一個黑客立刻把「紙條」的收款人抹掉，改成自己的比特幣賬戶。如今MongoDB已經修復了這個漏洞，然而大量用戶並沒有升級，還處在被勒索的風險之下。

　　綜上所述，職業罪犯的加入、極低的技術門檻、無法追蹤的交易模式、漏洞百出的軟體，這些就是Ransomware肆虐的原因。

那麼，我們拿這些敲詐犯沒有辦法了嗎？

對抗網路勒索的手段

　　2016年6月，美國加利福尼亞州參議院通過了一項法律：網路勒索，視同勒索罪處理。這個編號為SB-1137的法律由加州參議員鮑勃·赫茲伯格(Bobn Hertzberg)提出，在州參議院全票通過，最後由加州州長傑瑞·布朗(Jerry nBrown)簽署。它不僅給出了網路勒索的法律定義，還規定：就算這個黑客沒有收到贖金，罪行也按照收到贖金判決。作案者最高可以被判4年監禁，另外還有1萬美元的罰款。這個法案在討論的時候，好萊塢長老會醫院作為受害者還曾發表過證詞。醫院院長終於可以放下心來，不再擔心醫院電腦被黑客給「鎖住」了。

可事情就這麼結束了嗎？

　　法案通過僅僅一天後，法案提出者赫茲伯格的電腦就被黑客給加密了。赫茲伯格無奈地發了一條推文，還發了個截圖：「這就是我在州議會的辦公室電腦截圖，它被Ransomware攻擊了。」

網路勒索法案的提出者赫茲伯格反而被勒索

　　直到今日，這些網路勒索的罪犯們還在頻頻作案，因為雖然立法有了，執法手段上還有很長一段路要走。今天被成功逮捕的黑客少之又少，大多數勒索者還在逍遙法外。如果事後抓不到，我們就只能事前預防。

　　防範網路敲詐的方法有很多，最重要的就是養成良好的上網習慣：不要點開不認識的郵件附件，不要在不安全的網站下載軟體，勤殺毒，勤升級，多用雲存儲，定期做硬碟備份。

　　如果上面的都沒有做到，自己還是被攻擊了，不要慌，有不少網站可以把你的文件找回來。比如http://nomoreransom.org，它不僅可以用多種演算法嘗試解密被「鎖住」的文件，還會指導你如何報警。不少Ransomware已經被破解了(比如「拼圖」)，去一些值得信任的論壇，也能下載到正確的解密工具。

　　最後，在付贖金之前一定要再三考慮，因為黑客可能會在要了一次錢以後得寸進尺，不斷地騷擾你。而且黑客不一定會在最後把文件還給你，你的錢最後也拿不回來。況且，如果交贖金的人少了，黑客們就賺不到錢，類似的攻擊就會變少。你如果交了贖金，這可能是一種對這種犯罪行為的鼓勵。

本文首發於」矽谷密探」：矽谷密探 - 熱門問答 - 知乎

推薦閱讀：