寫個病毒敲個竹杠這種事兒在安全圈似乎已經(jīng)不是一件新鮮事兒了。

一般來說，被勒索有三種情況，上了不該上的網(wǎng)站，點了不該點的按鈕，下了不該下的文件。然后手一滑， boom  。。。文件都給你改格式加密了！這個時候病毒會告訴你文件被鎖住了，如果想解鎖，那就得乖乖交錢。

不過，這次這個竹杠敲得屬實有點狠。網(wǎng)傳有一家公司因勒索病毒入侵，斥 197 萬巨資買了解鎖密鑰，才解決了危機。

【 圖片來源：黑白之道  所有者：黑白之道 】

有安全從業(yè)人員告訴雷鋒網(wǎng)，這個病毒很可能是之前已經(jīng)出現(xiàn)的病毒，為了確定真假，雷鋒網(wǎng)采訪了深信服安全專家歐和一探究竟。據(jù)歐和介紹，這個病毒就是此前的 Sodinokibi 勒索病毒。

在進入正題前，先給大家科普下 Sodinokibi 勒索病毒：它繼承了 GandCrab 的代碼結(jié)構(gòu)，其特點是使用隨機加密后綴，并且加密后會修改主機桌面背景為深藍色，最早出現(xiàn)于今年 4 月底，早期使用 Web 服務(wù)相關(guān)漏洞傳播，后來發(fā)現(xiàn)其會偽裝成稅務(wù)單位、司法機構(gòu)，使用釣魚欺詐郵件來傳播，但誰還沒個手滑的時候呢，因此不少企業(yè)深受其害。

那么，他們是如何入侵的呢？

一般來說，該病毒在企業(yè)網(wǎng)絡(luò)找到突破口后，先使用掃描爆破等方式，獲取到內(nèi)網(wǎng)中一臺較為薄弱的主機權(quán)限，再上傳黑客工具包對內(nèi)網(wǎng)進行掃描爆破或密碼抓取，選擇重要的服務(wù)器和 PC 進行加密，然后嘗試內(nèi)容橫向移動，加密整個企業(yè)內(nèi)網(wǎng)盡可能多的主機或服務(wù)器，可謂一臺失陷，全網(wǎng)遭殃。

上一秒文件還能打開，下一秒，對不起，花錢才能訪問哦。要說套路深，勒索病毒制造者才是第一。

 

但萬萬沒想到，這個勒索病毒背后還有個團伙，那么，他們又是怎么合作的呢？

歐和向雷鋒網(wǎng)介紹道， Sodinokibi 勒索病毒的爆發(fā)主要得益于其形成的產(chǎn)業(yè)化規(guī)模，即分布式團伙作案，每個人各司其職，按勞分配，多勞多得。首先， Sodinokibi 勒索病毒運行成功后，會在主機上留下如下勒索信息，形如“隨機后綴- readme.txt ”的文檔：

為了讓你更容易找到他付費，他們還“貼心”的為你留了線索.......

一個是暗網(wǎng)聊天網(wǎng)頁，一個是普通聊天網(wǎng)頁，受害企業(yè)可以根據(jù)自身情況任意聯(lián)系（訪問）其中一個鏈接。訪問該鏈接后，可以通過網(wǎng)頁進行聊天，設(shè)計十分專業(yè)，黑客可以與受害企業(yè)就贖金問題進行協(xié)商。

而當(dāng)黑客有錢了，他們還給自己找了線上保鏢，專門負責(zé)談判，24 小時在線。當(dāng)然，線上客服沒有最終定價權(quán)，最終贖金價格由上級老板拍板，即Sodinokibi勒索病毒的組織運營者。

而 Sodinokibi 勒索病毒的要價普遍偏高，多數(shù)是在 3 到 6 個比特幣，所以其主要攻擊對象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)，因此很多受害企業(yè)迫于無奈交了不少贖金。

并且由于其為產(chǎn)業(yè)化運作，故每個參與者都有相應(yīng)的分成。當(dāng)受害企業(yè)向黑客錢包轉(zhuǎn)入比特幣的時候，此錢包會分批次轉(zhuǎn)入其它成員的錢包。

例如，某次攻擊成功后，將贖金分 2 批轉(zhuǎn)給了 4 個錢包，分別是勒索病毒作者錢包、集成平臺提供商錢包、線上客服錢包、統(tǒng)籌錢包。

勒索病毒作者、集成平臺提供商屬于薄利多銷型，每一筆交易都有提成，所以單次提成比例雖低，但總數(shù)是非?？陀^的；線上客服按勞分配，說服一個客戶，就有一小筆提成，當(dāng)然大頭不在他們，因為他們可替代性比較強，技術(shù)難度也不大。 

每次攻擊所得的贖金，大頭由統(tǒng)籌錢包分配給了攻擊者和組織運營者，所以單次成功后的貢獻比較大，而任何個人和團隊都能參與到不同客戶的攻擊活動中來，類似銷售團隊，每成一單，提成都比較可觀。最后的大頭，當(dāng)然給了組織運營者，其負責(zé)拉通各個環(huán)節(jié)和資源，保障平臺和團伙的正常運作。

這簡直就是一個黑吃黑且絕對不虧的買賣啊，但雷鋒網(wǎng)編輯還是很好奇，有沒有可能通過安全技術(shù)不花贖金解決問題？

“大概率是不能的，大多數(shù)情況下，黑客都會采用 RSA+AES ，對稱與非對稱復(fù)合加密的方式，單純破解難度極大，甚至是不可能的?！鄙钚欧踩珜＜襀說。

那么，作為受害者我們只能坐以待斃，乖乖掏錢嗎？

當(dāng)然不可以，所以為今之計企業(yè)只有兩個選擇，一是安全加固，二是花錢安全加固。

怎么加固呢？

深信服安全專家歐和談到企業(yè)自身應(yīng)該如何做時，主要方式有：

a、及時給電腦打補丁，修復(fù)漏洞。

b、對重要的數(shù)據(jù)文件定期進行非本地備份。

c、不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

d、盡量關(guān)閉不必要的文件共享權(quán)限。

e、更改賬戶密碼，設(shè)置強密碼，避免使用統(tǒng)一的密碼，因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破，多臺遭殃。

f、如果業(yè)務(wù)上無需使用 RDP 的，建議關(guān)閉 RDP 。

至于花錢加固，就不用了雷鋒網(wǎng)多說了吧，比如雷鋒網(wǎng)之前了解過的深信服勒索病毒防護方案，能夠基于勒索病毒的感染傳播過程進行分析和防護，并聯(lián)動云端進行新型威脅的檢測，實現(xiàn)主動防御。

接下來說的話，相信你聽無數(shù)安全從業(yè)人員都說過，但依舊值得重復(fù)一遍：

別上不該上的網(wǎng)站，別點不該點的鏈接，別下不該下的東西。

大多數(shù)上網(wǎng)需求，都可以在正規(guī)網(wǎng)站上搞定，如果覺得自己安全水平不夠，就別瞎逛。

否則，只能乖乖交贖金。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。