什么是勒索軟件？它是怎樣工作的

Josh+Fruhlinger+楊勇

勒索軟件的時代始于2013年的CryptoLocker。幾年來，攻擊者變得越來越老練而且有商業頭腦。本文介紹了一些您目前應該了解的相關內容。

勒索軟件是一種惡意軟件，一旦您的計算機被它控制，就會危及您的安全，通常會阻止您訪問自己的數據。攻擊者要求受害者支付贖金，承諾（不一定是真的）在付款后就可以恢復對數據的訪問。

用戶能看到怎樣支付贖金以獲得解密密鑰的說明。這些費用從幾百美元到幾千美元不等，以比特幣的形式支付給網絡罪犯份子。

勒索軟件是怎樣工作的

勒索軟件有很多手段來訪問計算機。最常見的一種輸送系統是網絡釣魚垃圾郵件——發送給受害者的電子郵件中含有附件，被偽裝成他們可以信任的文件。一旦下載和打開，它們就能控制受害者的計算機，特別是如果有內置的社會工程工具，會欺騙用戶以管理員的身份進行訪問。還有一些更具攻擊性的勒索軟件，例如NotPetya，直接利用安全漏洞來感染計算機，并不需要欺騙用戶。

一旦惡意軟件控制了受害者的計算機，會干很多壞事，但到目前為止，最常見的行為是加密部分或者全部用戶文件。如果您想了解其技術細節，Infosec研究所深入研究了勒索軟件加密文件所采用的幾種方式，可以供您參考。但最重要的是，在這個過程的最后，如果得不到只有攻擊者才知道的數學密鑰，這些文件就無法解密。用戶會看到一條消息，說他們的文件現在無法訪問了，受害者只有把不可追蹤的比特幣支付給攻擊者，才能解密文件。

在某些形式的惡意軟件中，攻擊者會聲稱自己是執法機構，由于在受害者的計算機中發現了色情或者盜版軟件而關閉其計算機，并要求支付“罰款”，這也許是為了讓受害者不要向當局報告攻擊事件。但大多數攻擊都不太在乎這種偽裝。還有變種，被稱為“leakware”或者“doxware”，攻擊者威脅要公開受害者硬盤中的敏感數據——除非支付贖金。但是由于查找和提取這些信息對于攻擊者來說是非常棘手的問題，因此，加密勒索軟件是迄今為止最常見的類型。

勒索軟件的目標是誰？

攻擊者可以通過多種不同的方式來選擇勒索軟件所針對的目標。有時，就是憑運氣：例如，攻擊者可能瞄準大學，因為大學的安全部門規模不大，有不同的用戶群，他們共享很多文件，因此，很容易越過他們的防御系統。

另一方面，有一些目標是很誘人的，因為他們看起來更容易很快的支付贖金。例如，政府機構或者醫療機構通常需要隨時查閱他們的文件。有敏感數據的律師事務所和其他組織可能會愿意支付贖金，為的是不被媒體曝光——這些組織對漏洞攻擊特別敏感。

但不要覺得如果您不在這些類別里，自己就是安全的：正如我們所指出的那樣，一些勒索軟件在互聯網上不加選擇地自動傳播。

怎樣防止勒索軟件

您可以采取一些防御步驟來防止被勒索軟件感染。一般而言，這些步驟當然是非常好的安全措施，所以遵循這些措施可以提高您抵御各種攻擊的能力：

● 及時給您的操作系統打上補丁，并且是最新的補丁，盡可能減少可被利用的漏洞。

● 不要隨意安裝軟件，也不要給它管理權限，除非您確切地知道它是什么，它要做什么。

● 安裝防病毒軟件，當勒索軟件等惡意程序要訪問計算機時，可以檢測到這些程序，安裝白名單軟件，從而防止未經授權的應用程序搶先執行。

● 當然，經常、自動地備份您的文件！這不能阻止惡意軟件的攻擊，但這會盡可能的減少損失。

您應該支付贖金嗎？

理論上，大多數執法機構都要求您不要給勒索軟件攻擊者付費，因為這樣做的邏輯只會鼓勵黑客去制造更多的勒索軟件。也就是說，很多發現自己被惡意軟件攻擊了的企業很快就不再想所謂“更好的辦法”，而是開始進行成本效益分析，針對贖金價格與加密數據價值進行權衡利弊。據Trend Micro的研究，66%的公司說他們的原則是永遠不會支付贖金，實際上65%的公司在被勒索時確實會支付贖金。

勒索軟件攻擊者將價格保持在相對較低的水平——通常在700美元到1，300美元之間，很多公司都負擔得起，短時間內就會支付。一些特別復雜的惡意軟件會探測受感染的計算機所在國家，按照該國經濟來調整贖金，對富裕國家的公司勒索的更多一些，對貧困地區則少一些。

為了盡快得手，常常會有折扣，目的是讓受害者盡快付錢，以免夜長夢多。一般來說，價格點是設定的，足夠高到值得去犯罪，但也足夠低，往往比受害者恢復他們的計算機或者重建丟失的數據所付出的費用便宜一些。有鑒于此，一些公司在其安全計劃中設立了備付贖金：例如，一些并沒有涉及過加密貨幣的英國大公司專門為贖金儲備了一些比特幣。

在這里還要注意一些棘手的問題，牢記和您打交道的人是罪犯。首先，有的看上去像勒索軟件，但實際并沒有加密您的數據；在給任何人付費之前，確定您面對的不是所謂的“恐慌軟件”。其次，即使付錢給攻擊者也不能保證您能把文件拿回來。有時候罪犯份子就是拿錢跑路，惡意軟件甚至都沒有內置解密功能。但是，任何這樣的惡意軟件雖然很快會名聲大噪，但不產生收益，所以在大多數情況下——Arbor網絡的首席安全技術專家Gary Sockrider估計，大約65到70%的時間，騙子會放棄，您的數據也就恢復了。

勒索軟件的例子

雖然勒索軟件90年代就在技術上可行了，但它只是在過去5年左右才真正開始發威，主要原因是出現了比特幣這種不可追蹤的支付方式。一些最惡劣的勒索軟件：

● CryptoLocker，2013年的一次攻擊，揭開了現代勒索軟件時代，感染了高達50萬臺機器。

● TeslaCrypt，針對游戲文件，在其恐怖橫行的那段時間里，還在不斷改進。

● SimpleLocker，第一次針對移動設備而廣泛傳播的勒索軟件攻擊。

● WannaCry，使用EternalBlue自主地在計算機之間傳播，而EternalBlue是由NSA開發的一個漏洞，后來被黑客竊取了。

● NotPetya，也利用了EternalBlue，可能是俄羅斯針對烏克蘭發起的網絡攻擊的一部分。

● Locky，2016年開始蔓延，“攻擊方式類似于臭名昭著的銀行軟件Dridex。”

這個清單會越來越長。就在本文完稿之際，被稱為BadRabbit的新一波勒索軟件席卷了東歐和亞洲的媒體公司。請遵循這里列出的小貼士來保護您自己——這非常重要。

Josh Fruhlinger是一名作家和編輯，他住在洛杉磯。