1989年，勒索木馬的鼻祖“ PC Cyborg 木馬”出現(xiàn)，以“艾滋病信息引導(dǎo)盤”的形式進(jìn)入系統(tǒng)，在系統(tǒng)啟動(dòng)次數(shù)達(dá)到 90 次時(shí)，該木馬將 C 盤的全部文件加密。此時(shí)，屏幕顯示信息，聲稱用戶的軟件許可已經(jīng)過期，要求用戶向“ PC Cyborg ”公司位于巴拿馬的郵箱寄去 189 美元，以解鎖系統(tǒng)。

慶幸的是，這個(gè)勒索木馬的作者被抓獲，被起訴時(shí)他還曾為自己辯解，稱其非法所得用于艾滋病研究。 

如今，艾滋病依然是聞之令人變色的疾病，但勒索木馬也絲毫不遜色。多年來，各種勒索木馬肆虐賽博世界，因其復(fù)雜的加密形式，一旦中招，除了極少部分可以被破解加密方法，大部分被加密的文件要么只能在利益權(quán)衡下被忍痛舍棄，要么只能靠贖金解救。

現(xiàn)在，許多勒索木馬作者依然躲在黑暗的世界里橫行，雖然在與他們的戰(zhàn)役中，敗多勝少，但是依然還是有一群守護(hù)者堅(jiān)守在這個(gè)領(lǐng)域。

也許，在這場常常被失敗籠罩烏云的戰(zhàn)役中，需要看到一些勝利繼續(xù)被鼓舞前進(jìn)。

2016年的三場勝利

對騰訊反病毒實(shí)驗(yàn)室而言，2016 年的這三場勝仗值得銘記。

騰訊反病毒實(shí)驗(yàn)室安全研究員劉桂澤告訴雷鋒網(wǎng)，很多勒索軟件的加密需要超級計(jì)算機(jī)一刻不停地計(jì)算，才能在數(shù)百年后解密。人們對這些勒索軟件的反破解能力如同一艘小船在蒼茫大海上遇上一艘巨輪，無疑以卵擊石。

只有在勒索木馬加密強(qiáng)度不高時(shí)，才可被斬于馬下。

• 一招棋錯(cuò)的 petya 

勒索木馬 Petya 在 2016 年 3 月被人出現(xiàn)，且以一種全新方式登場：修改系統(tǒng) MBR 引導(dǎo)扇區(qū)，強(qiáng)制重啟后執(zhí)行引導(dǎo)扇區(qū)中的惡意代碼，加密硬盤數(shù)據(jù)后顯示敲詐信息，通過 Tor 匿名網(wǎng)絡(luò)索取比特幣。

這是第一個(gè)將敲詐和修改 MBR 合二為一的惡意木馬，這意味著，它的破壞力極強(qiáng)。

petya 的戰(zhàn)術(shù)出其不意，本來看上去已毫無勝算。不料，研究人員在分析它的樣本時(shí)，峰回路轉(zhuǎn)。由于這個(gè)勒索木馬作者的疏忽，petya 這個(gè)家伙雖然算法很完美，但用得有問題——密鑰支持 64 位，卻只用了 16 位，加密強(qiáng)度呈指數(shù)級降低，于是，一艘巨輪幻化成了與小船同等量級的對手。

劉桂澤稱，靠修改 MBR，利用加密算法漏洞暴力破解，針對 petya 的破解工具不到一天就被制作了出來。

• 變化多端的 locky 

與 petya 的戰(zhàn)斗可以稱得上速戰(zhàn)速?zèng)Q，但下一個(gè)對手 locky 卻沒有這么簡單。

locky 并非 2016 年出現(xiàn)的新勒索木馬，卻在 2016 年，產(chǎn)生了多個(gè)變種。劉桂澤稱，locky 是 2016 年變種最多、變化速度最快的對手。相比正面狙擊，locky 簡直就是開掛的持續(xù)戰(zhàn)選手。

locky 在2016年2月席卷全球，大肆攻擊企業(yè)與個(gè)人用戶。

按照劉桂澤的說法，一般一種勒索木馬都是玩一波就走，但是 locky 卻異常頑強(qiáng)。

“因?yàn)?nbsp;locky 的作者比較執(zhí)著，喜歡跟安全軟件斗爭。它的變化速度有多快？比如，同一天上午和下午收到的該勒索軟件的郵件后，下載附件，可能中了 locky 1的招，到了下午下載同一個(gè)郵件，就是 locky 2，甚至你和同事同時(shí)下載，都可能中了不同版本的招。locky 在不同國家和地區(qū)版本也各異。總體來說，它會(huì)根據(jù)時(shí)間、IP等變化?！眲⒐饾烧f。

這樣開掛的選手，常常讓殺毒軟件反應(yīng)不過來，就像你剛拿出手榴彈，準(zhǔn)備朝對面的敵人扔過去，卻發(fā)現(xiàn)不知何時(shí)敵人又派了一架轟炸機(jī)。

它也很像一個(gè)狡詐的間諜，時(shí)刻變化著裝、妝容。一般人很難從間諜喬裝打扮及精湛的演技中辨認(rèn)出是否同一人。

在這種棘手的情況下，劉桂澤說，他們只好派出了哈勃分析系統(tǒng)。

哈勃分析系統(tǒng)有很大的分析集群，對歷史信息持續(xù)監(jiān)測，對新樣本進(jìn)行分析，了解是否與之前的木馬有相似的家族特征。哈勃不需要看這個(gè)勒索木馬穿了什么“衣服”，卻可以透過衣服看“基因”，把勒索木馬文件下載后進(jìn)行虛擬執(zhí)行，把這個(gè)狡詐的對手所有可能的運(yùn)行道路都走一遍，相當(dāng)于派專人不斷下載跟蹤。

當(dāng)然，對于已經(jīng)中招的用戶，已回天乏力。但是，在 locky 頻繁變種及躲避查殺下，第一時(shí)間識別它，做到預(yù)先攔截，已經(jīng)是可喜的勝利。

• 犯案者可能是十幾歲小孩的手機(jī)鎖屏敲詐

2016年，騰訊反病毒實(shí)驗(yàn)室還遇到一場鎖屏敲詐的戰(zhàn)斗。

這些鎖屏敲詐木馬主要有 Windows 密碼鎖屏、非英文密碼鎖屏、FBI 敲詐木馬、安卓系統(tǒng)鎖屏敲詐木馬等，木馬制作者通常將這些木馬偽裝成免費(fèi)刷鉆、批量刷贊等名號，吸引受害者安裝，一旦受害者重啟電腦或者手機(jī)鎖屏，新密碼便會(huì)啟動(dòng)。

劉桂澤稱，對手主要是手機(jī)鎖屏敲詐。每天有上萬個(gè)安卓手機(jī)用戶遭遇了手機(jī)鎖屏敲詐，而且這個(gè)鎖屏敲詐木馬很狡猾，專門偽裝成比較實(shí)用的應(yīng)用誘使用戶下載。

比如，它會(huì)偽裝成系統(tǒng)整理軟件，安卓用戶老覺得手機(jī)慢，愿意裝這種軟件，還有一些會(huì)偽裝成壁紙類 App，結(jié)果下載運(yùn)行后，敲詐鎖機(jī)頁面覆蓋了原來的開機(jī)頁面。

“安卓手機(jī)用戶有多少會(huì)刷機(jī)？很多品牌的手機(jī)刷機(jī)了后，都與售后條款有沖突，不再屬于售后范圍。再加上，鎖機(jī)敲詐往往金額不高，就 10 到幾十個(gè)虛擬貨幣，而且，我們在提供專殺工具，跨界打擊后發(fā)現(xiàn)，多起鎖機(jī)敲詐的操作者是十幾歲的小孩。”劉桂澤說。

這一類型的勒索敲詐，純粹就是“國產(chǎn)”。劉桂澤分析，因?yàn)橥峁视?iPhone 較多，應(yīng)用軟件多從應(yīng)用商店購買，雖然現(xiàn)在 Apple 的應(yīng)用商店也常爆出有木馬應(yīng)用，但相對而言，國內(nèi)安卓用戶更多，且應(yīng)用下載渠道五花八門，給了手機(jī)鎖屏敲詐可乘之機(jī)。

不過，劉桂澤認(rèn)為，這一類手機(jī)鎖屏敲詐木馬在技術(shù)難度上沒有那么高，這也是為何許多十幾歲小孩參與了敲詐。

攻防之戰(zhàn)：勒索軟件變化升級

道高一尺，魔高一丈。

在這場與勒索木馬的斗爭中，安全人員的對手——勒索木馬也在依據(jù)人們的防守策略不斷調(diào)整自己的進(jìn)攻姿勢。

• 升級招式一：反偵察，你騙我也騙

劉桂澤稱，2016年來，勒索木馬與安全人員對抗增加，如代碼混淆，檢測分析環(huán)境，檢測虛擬機(jī)等。勒索木馬已經(jīng)學(xué)會(huì)了對安全人員的反偵察。

安全人員在分析勒索木馬時(shí)，是在實(shí)驗(yàn)室環(huán)境下進(jìn)行，而非真實(shí)的用戶環(huán)境。這是什么意思？

比如，如果是虛擬機(jī)運(yùn)行，用戶不會(huì)和虛擬機(jī)有什么交互，而真實(shí)的環(huán)境則會(huì)有人機(jī)交互。

勒索木馬在偵查時(shí)，還會(huì)看看：為什么這臺設(shè)備的運(yùn)行速度這么快，都沒有人按鍵盤，是不是機(jī)器在自己操作？為什么這臺設(shè)備上沒什么文件，或者為什么這臺設(shè)備都沒有某寶購物網(wǎng)站的瀏覽記錄？

勒索木馬變得越來越精明，它不在乎對方是不是有價(jià)值的“平民”，它想知道的是對方是不是手握武器的士兵！

在嚴(yán)密分析后，勒索木馬就會(huì)作出決策：要不要進(jìn)攻？還是蟄伏就好？

勒索木馬已經(jīng)學(xué)會(huì)了這樣的策略：一封包含勒索木馬附件的郵件，即使被下載和打開，它也不一定會(huì)讓你中招——這臺機(jī)子看著很像虛擬機(jī)呢！萬一被安全人員發(fā)現(xiàn)，大家又不都是 locky 那個(gè)二貨，隨時(shí)變來變?nèi)ィ@樣的代價(jià)似乎付不起。

劉桂澤稱，他們常常也有一種“長見識了”的感覺。但安全人員做對抗，也可以誘敵深入。

“上來赤裸裸的干危害不太大，勒索木馬，難弄的就是這些狡猾的，狡猾了的必然有漏洞。所以，我們也會(huì)幫助用戶偽裝成不是受害者，讓勒索木馬找不到可用的受害者。”劉桂澤說。

• 升級招式二：武器玩出更多花樣
  

這一年，勒索木馬的代碼語言更多樣化了，使用到的編程語言包括 JavaScript，Python，C#等。

開發(fā)語言越來越多，劉桂澤指出：一是語言變幻越多，防御就會(huì)越困難，增加了防御工作量；二是以前大部分 C++ 和 C語言的編程語言，現(xiàn)在編程語言種類越多，意味著勒索軟件從業(yè)人員越來越多，新人加入了。

這些新增的高級編程語言很多有現(xiàn)成的模式，大大降低了勒索木馬的開發(fā)難度。這意味著，勒索木馬這個(gè)邪惡的對手將有更多的武器和彈藥投入戰(zhàn)場。

• 升級招式三：手段更多，有可能找人背黑鍋

2016年，勒索木馬傳播方式除郵件中的惡意文檔外，新增了網(wǎng)站漏洞掛馬、服務(wù)器黑客入侵等多種手段。

劉桂澤提醒，有些視頻網(wǎng)站或者客戶端軟件內(nèi)嵌了廣告位，在廣告位招商時(shí)，有一些小公司買了，但是不幸的是，小公司的網(wǎng)站被黑客入侵，加上了勒索木馬。也就是說，視頻網(wǎng)站和客戶端成了勒索木馬的跳板，在根本不知情的情況下，用戶點(diǎn)擊廣告位中了勒索木馬，視頻網(wǎng)站和客戶端就背了黑鍋。

• 升級招式四：讓解密難上云端

勒索木馬的加密算法，以前是對稱加密的，比如AES， key 保存在本地，現(xiàn)在過渡到了非對稱加密RSA，key 保存在云端。

勒索木馬的加密最早沒有和云端聯(lián)系，當(dāng)解密放在本地時(shí)，安全人員做比較詳細(xì)的分析還是有可能的，但是到了2016年，勒索木馬的 key 保存在云端，這就讓解密難上加難了。

劉桂澤還特別提醒，2016年他們發(fā)現(xiàn)了一些用簡體中文勒索的木馬，說明至少有中國的木馬作者參與進(jìn)去，專門針對中國地區(qū)進(jìn)行攻擊。

你還需要知道這些

1.雷鋒網(wǎng)：哪些人容易成為勒索木馬的受害者？

劉桂澤：受攻擊的企業(yè)和個(gè)人用戶比大概是 3:7 ，但是企業(yè)用戶受到的危害往往更大，支付贖金的比率也更高。企業(yè)中使用郵箱進(jìn)行日常辦公的專業(yè)職務(wù)人員，比如hr、會(huì)計(jì)等，更容易點(diǎn)擊郵件中的帶宏文檔并成為受害者。

企業(yè)用戶對勒索木馬而言更有價(jià)值，但成功率偏低，因?yàn)楹芏喙緦?shí)行內(nèi)外網(wǎng)隔離。

2.雷鋒網(wǎng)：接下來對勒索木馬的預(yù)測，比如，有人說勒索軟件將對云實(shí)施攻擊，互聯(lián)汽車將成為勒索軟件的攻擊目標(biāo)……

劉桂澤：勒索木馬的趨勢之一，是針對高端目標(biāo)進(jìn)行精準(zhǔn)攻擊，比如，開發(fā)針對企業(yè)環(huán)境或服務(wù)器環(huán)境的專用勒索軟件，以圖勒索收益的最大化。

3.雷鋒網(wǎng)：勒索軟件的黑產(chǎn)鏈條是什么樣的？

劉桂澤：看上去可以這么分——【制作者】-出售（成品或工具箱）->【利用者】-分發(fā)->【傳播者】-傳播->【受害者】-支付贖金->【利用者】-（可能分成）->【制作者，傳播者】

事實(shí)上，就是一波人，根本就沒有生態(tài)鏈，只有壞蛋和受害者。當(dāng)然，團(tuán)伙內(nèi)部有分工，但一個(gè)團(tuán)隊(duì)內(nèi)部分工還達(dá)不到生態(tài)，人家沒有精力浪費(fèi)在層級溝通上。

4.雷鋒網(wǎng)：有沒有發(fā)現(xiàn)什么特別的事？

劉桂澤：你有沒有發(fā)現(xiàn)，所有的勒索軟件都屏蔽了俄語和俄羅斯的機(jī)器，這說明：要么是俄羅斯干的，要么就是容易被俄羅斯砍殺，因?yàn)橛锌ò退够?/span>

文/李勤 （微信ID：qinqin0511，關(guān)心安全圈發(fā)生的事兒）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。