只有失去了，才懂得珍惜。

這個(gè)一般由前女友教會(huì)你的道理，一個(gè)病毒同樣也可以教會(huì)你。

在中國(guó)，已經(jīng)有至少 497 萬(wàn)臺(tái)電腦感染了這種可怕的病毒。

喜歡看僵尸片的童鞋都熟悉一個(gè)場(chǎng)景：“主人公正在家中歲月靜好，而一條街外，世界已經(jīng)血雨腥風(fēng)。”如果看到這里，你還懵然無(wú)知，不知道我在說(shuō)神馬。那么請(qǐng)回頭看看，很可能你已經(jīng)在無(wú)數(shù)僵尸的注視中了。。。

讓 360“花容失色”的病毒究竟是什么？

你俄幾在我們叟喪，明天資前付俗金，否則偶們就要撕票！

這個(gè)狗血爛俗的劇本，幾乎可以概括這個(gè)病毒的套路。但是相信我，當(dāng)狗血的劇情真正發(fā)生在你身上的時(shí)候，你的體驗(yàn)會(huì)大不一樣。

這種病毒被稱為“勒索者病毒”。

早晨起來(lái)，你打開(kāi)公司電腦，瀏覽了一些網(wǎng)頁(yè)。突然發(fā)現(xiàn)電腦有一點(diǎn)點(diǎn)卡，你抱怨了一下?lián)搁T(mén)的公司遲遲不給你換電腦，然后繼續(xù)工作。

十幾分鐘后，你的世界開(kāi)始“變天”。

毫無(wú)征兆，系統(tǒng)彈開(kāi)一個(gè)文檔，上面寫(xiě)著：你好，你的文檔和數(shù)據(jù)已經(jīng)全部被我們加密了。但是別急，你知道我們黑客是很守規(guī)矩的，只要你給我的賬戶轉(zhuǎn)“3個(gè)比特幣”，保證可以把你的文件毫發(fā)無(wú)損地解密出來(lái)。。。

你慌忙打開(kāi)文件夾，發(fā)現(xiàn)公司所有的資料、報(bào)表、客戶合同，包括你剛剛寫(xiě)的一萬(wàn)字的工作報(bào)告，都變成了莫名其妙的白色圖標(biāo)，點(diǎn)擊任何一個(gè)都無(wú)法打開(kāi)。同時(shí)你發(fā)現(xiàn)，就連桌面都被黑客改成了勒索信。

更讓你迷惑的是，歹徒居然不讓你網(wǎng)銀轉(zhuǎn)賬，不用你微信紅包，卻要聽(tīng)上去很陌生的“比特幣”。而當(dāng)你仔細(xì)搜索才知道，3個(gè)比特幣換算成軟妹幣的話，要10000多塊。

如 360 這種見(jiàn)過(guò)大世面的反病毒公司，遇到“勒索者病毒”都會(huì)“花容失色”。因?yàn)?，?dāng)你看到勒索信的一瞬間，就意味著這件事情幾乎已經(jīng)無(wú)解了。不僅 360，世界上其他的反病毒公司同樣回天乏術(shù)。因?yàn)檫@類病毒所使用的加密技術(shù)，是和你手上的U盾一樣的安全級(jí)別，想要破譯好比登天。

而更讓人感到無(wú)力的是：正在看文章的你，在內(nèi)心里根本不相信自己會(huì)是下一個(gè)受害者。你也許并不會(huì)去給自己的電腦安裝最新的補(bǔ)丁，也可能并不會(huì)安裝升級(jí)你的反病毒軟件。

正是這種如魯迅描寫(xiě)的“圍觀殺人”的冷漠，讓“敲詐者病毒”在今年下半年的爆發(fā)數(shù)量超過(guò)了上半年600%（360 統(tǒng)計(jì)數(shù)據(jù)），讓今年年帶有這類病毒的垃圾郵件比去年增長(zhǎng)了6000%（IBM 統(tǒng)計(jì)數(shù)據(jù)）。

所以，這個(gè)“勒索者病毒”究竟是怎樣運(yùn)作的呢？

“勒索者病毒”的簡(jiǎn)單原理

360 首席反詐騙專家裴智勇告訴雷鋒網(wǎng)宅客頻道，“勒索者病毒”是非?！坝袀€(gè)性”的病毒。

一般的木馬病毒都有很直接的目的：竊財(cái)，竊密，竊數(shù)據(jù)，盜賬號(hào)。但敲詐者病毒卻是用要挾的辦法，強(qiáng)行索要財(cái)物。而且敲詐者病毒的攻擊過(guò)程是瞬間完成：在加密文件的過(guò)程中用戶幾乎沒(méi)有任何感受，當(dāng)你感受到的時(shí)候，證明感染已經(jīng)成功。

【360 首席反詐騙專家裴智勇博士，以及敲詐者病毒的加密解密原理】

具體來(lái)說(shuō)，“勒索者病毒”感染全過(guò)程的簡(jiǎn)單原理如下：

1、用戶感染這類病毒的途徑有：瀏覽了帶有木馬病毒的網(wǎng)頁(yè)（這類比例最大，且大多小白根本沒(méi)感覺(jué)）、打開(kāi)了帶有病毒的郵件、下載了帶有病毒的惡意軟件，或者干脆被黑客入侵。

2、在病毒進(jìn)入用戶電腦之后，會(huì)對(duì)文檔、圖片、視頻等常用程序進(jìn)行加密，然后生成一個(gè)密鑰，再把這個(gè)密鑰用更變態(tài)的方法加密多次，最終存儲(chǔ)在本地，只有黑客手中的密鑰才能打開(kāi)。

3、然后程序會(huì)自動(dòng)彈出勒索信，用戶為了支付贖金，需要購(gòu)買(mǎi)比特幣，為了購(gòu)買(mǎi)比特幣，需要下載專用的暗網(wǎng)瀏覽器“洋蔥瀏覽器”。

4、歷盡千辛萬(wàn)苦給黑客支付贖金之后，再把本地的密鑰發(fā)給黑客，黑客解密之后發(fā)回本地，用戶就可以用他解碼文件了。

總之，這種病毒頗有一種“你看不慣我，還干不掉我”的風(fēng)范。用一句話形容， 就是“老奶奶靠墻喝粥”——背壁，無(wú)齒，下流。

面對(duì)這樣的危急形勢(shì)，360 發(fā)布了一份《2016敲詐者病毒威脅形勢(shì)分析報(bào)告》，對(duì)這種病毒發(fā)出了大夶夶預(yù)警。雖然聽(tīng)上去是一份不太性感的報(bào)告，但是其中還是隱藏了很多“萌點(diǎn)”，雷鋒網(wǎng)宅客頻道從中摘了十個(gè)有關(guān)“敲詐者病毒”的冷知識(shí)，讓你對(duì)這種無(wú)恥的勾當(dāng)再多一些了解。

有關(guān)“敲詐者病毒”的八個(gè)冷知識(shí)

一、敲詐者病毒是“最男人”的病毒

怎么說(shuō)呢？還是看圖吧。

【敲詐者病毒中招男女比例】

中毒用戶中，有 42% 說(shuō)并不知道自己怎么中毒的。根據(jù)我們的分析這其中90%都是登錄了掛馬（帶有木馬病毒）的網(wǎng)頁(yè)，這其中有一些是真不知道自己怎么中毒的，有一些可能是不好意思說(shuō)的。

裴智勇用“你懂的”口氣說(shuō)道。

實(shí)際上，大量的“黃色網(wǎng)站”“賭博網(wǎng)站”都被黑客“掛馬”（站長(zhǎng)也許根本不知情），但是根據(jù)調(diào)查，絕大多數(shù)瀏覽這兩類網(wǎng)站的用戶，看到瀏覽器彈出的風(fēng)險(xiǎn)提示，會(huì)以迅雷不不及掩耳盜鈴之勢(shì)選擇忽略。

所謂黃賭毒，大概可以解釋為，黃、賭網(wǎng)站一般都帶毒。。。

安全專家們對(duì)用戶的這種行為表示“充分理解”。但是，正是“男人的力量”，讓敲詐者木馬呈指數(shù)級(jí)模式在中國(guó)傳播。

【敲詐者病毒的兩次傳播高峰，其中一次就是因?yàn)槟尘惩恻S色網(wǎng)站被掛馬】

系統(tǒng)沒(méi)打補(bǔ)丁，可能是罪魁禍?zhǔn)?/h3>

360 反病毒專家王亮告訴雷鋒網(wǎng)宅客頻道（letshome），從數(shù)據(jù)來(lái)看，網(wǎng)站掛馬是中國(guó)用戶感染敲詐者病毒最主要的途徑。

而瀏覽帶有木馬病毒的網(wǎng)站，并不意味著一定會(huì)感染。感染的前提是：你的瀏覽器存在漏洞。

根據(jù)研究，這些木馬利用的漏洞大概只有兩種：“IE 漏洞”和“Flash 漏洞”。

【網(wǎng)頁(yè)“掛馬”利用漏洞的比例】

其中絕大多數(shù)是 IE 瀏覽器的漏洞。然而，讓人發(fā)指的是，其中利用最多的是一個(gè)名為“CVE-2014-6332”的漏洞。顧名思義，這個(gè)漏洞在2014年就被提交給微軟，并且獲得了修復(fù)。而超過(guò)四分之三的用戶之所以還會(huì)中招，是因?yàn)樗麄兪褂昧?014年以前的老版本 IE，根本沒(méi)有打補(bǔ)丁或下載新版本。

所以，趕快去檢查一下你家里和工作單位正在使用的 IE 版本吧。

理論上來(lái)說(shuō)，制作這類病毒的人，并不一定有能力挖掘出最新的瀏覽器漏洞，他們的彈藥都來(lái)自于已經(jīng)被爆出來(lái)并且已經(jīng)被微軟發(fā)布補(bǔ)丁的漏洞。而正是因?yàn)榇罅坑脩魶](méi)有更新最新補(bǔ)丁的習(xí)慣，才讓黑客在詐騙的道路上“如魚(yú)得水”。

黑客的加密技術(shù)，和網(wǎng)銀一樣

“如果把全世界的計(jì)算機(jī)都用起來(lái)，幾年時(shí)間都不一定能破解一個(gè)敲詐密鑰。加上用無(wú)數(shù)窮舉的密鑰嘗試解密目標(biāo)文件所用的時(shí)間，這讓破解根本是不可能的。”

裴智勇如此解釋被加密文件的不可破解性。

實(shí)際上，黑客在加密中所使用的 RSA 或 ECC 非對(duì)稱加密算法，正是銀行 U盾的加密算法。這類技術(shù)本來(lái)是用于安全支付，現(xiàn)在卻被黑客拿來(lái)敲詐勒索。

如果你能破解敲詐密鑰，那么理論上你就能夠破解別人的 U盾。

裴智勇說(shuō)。

【利用加密技術(shù)，U盾可以生成難以破解隨機(jī)驗(yàn)證碼】

黑客從不賴賬

根據(jù)數(shù)據(jù)，在中國(guó)的受害者中，有將近40%的人不相信付錢(qián)后黑客會(huì)幫忙解密文件。

根據(jù)我們的調(diào)查，在中國(guó)，付款后黑客履行承諾，解密文件的比例是100%，也就是，黑客從來(lái)沒(méi)有賴賬。

裴智勇說(shuō)。

也就是說(shuō)，雖然你可能永遠(yuǎn)不知道黑客在哪里，但是黑客的誠(chéng)信精神似乎還不錯(cuò)。

那些不相信敲詐黑客的人，是否還會(huì)有一些慚愧呢？這似乎是一種復(fù)雜的情感。

交贖金，朋友不如淘寶可靠

因?yàn)橘?gòu)買(mǎi)比特幣和比特幣轉(zhuǎn)賬，首先需要翻墻，其次需要下載暗網(wǎng)專用瀏覽器，而且還要找到正確的比特幣購(gòu)買(mǎi)和交易平臺(tái)。關(guān)鍵問(wèn)題在于，所有的流程都需要在英文網(wǎng)站上完成。這個(gè)技術(shù)挑戰(zhàn)不是一般的大。

所以，八卦的 360 甚至統(tǒng)計(jì)了受害者交贖金的途徑。有意思的是，受害者中有 8.3% 選擇求助于朋友，而朋友幫助的成功率是：0%。（雷鋒網(wǎng)宅客頻道發(fā)來(lái)賀電）

相反，有 58.4% 的童鞋選擇求助于萬(wàn)能的淘寶，淘寶上專業(yè)的商家代付成功率為 92.9%。（向毛主席保證，本文絕不是淘寶廣告。目測(cè)淘寶已經(jīng)屏蔽了“比特幣”關(guān)鍵詞。）

而受害者自己操作的成功率都達(dá)到了50%。

這一趴的結(jié)論是，有事別靠朋友，靠自己。

【淘寶上的比特幣交易服務(wù)】

企業(yè)“VP”的電腦里似乎沒(méi)什么重要資料

數(shù)據(jù)看來(lái)不會(huì)說(shuō)謊，如果你愿意支付一萬(wàn)塊的贖金，一定說(shuō)明你認(rèn)為電腦里的數(shù)據(jù)比一萬(wàn)塊更值錢(qián)。

【企業(yè)不同層級(jí)付贖金的比例】

從這個(gè)圖上看，企業(yè)的中下層員工中招之后，很多人都會(huì)選擇給黑客付錢(qián)。然而企業(yè)的高管、VP們，居然沒(méi)有一個(gè)人付錢(qián)。從人之常情的理解來(lái)看，可能是因?yàn)楦吖艿臉I(yè)務(wù)資料在下屬手中都有備份。

然而，到了企業(yè)的頂頭 BOSS，情況就不一樣了。

這一趴的結(jié)論是：“果然，老板們都有不可告人的秘密啊?！?/strong>

敲詐黑客也有“玩脫”的時(shí)候

同一家族病毒加密文件的解密鑰匙都是相同的，密鑰掌握在黑客手中。所以一旦黑客公布密鑰，所有曾經(jīng)被加密的文件理論上都會(huì)“重獲自由”。

例如臭名昭著的 TeslaCrypt 敲詐病毒，作者今年突然良心發(fā)現(xiàn)，在自己的暗網(wǎng)網(wǎng)站上放出了密鑰。

【TeslaCrypt 作者在網(wǎng)頁(yè)上放出密鑰】

當(dāng)然，絕大多數(shù)情況下，你是沒(méi)辦法奢望歹徒良心發(fā)現(xiàn)的。

不過(guò)，由于改裝一個(gè)敲詐木馬的門(mén)檻很低，所以有很多水平參差不齊的黑客也想來(lái)分一杯羹。于是做出了很多“問(wèn)題病毒”

有的病毒沒(méi)有正確運(yùn)用加密算法，有的病毒本身存在漏洞，有的沒(méi)有清除計(jì)算機(jī)上的歷史痕跡，有的對(duì)原文件采用了可以被恢復(fù)的刪除操作。

這些情況我們都可以研究出恢復(fù)的方法和工具。

裴智勇說(shuō)。

但是他也表示，這些錯(cuò)誤大多存在于早期的病毒版本中。最新的敲詐者病毒，沒(méi)有發(fā)現(xiàn)任何漏洞。也就是說(shuō)，只要黑客不犯錯(cuò)誤，就沒(méi)有辦法恢復(fù)文件。

已經(jīng)產(chǎn)生了“有中國(guó)特色的敲詐者病毒”

由于這類病毒是從國(guó)外傳來(lái)的，大多都是英文版本。不過(guò)在今年，已經(jīng)越來(lái)越多出現(xiàn)“中文版”這種照顧用戶體驗(yàn)的變種了。

有些病毒的制造者，甚至還玩起了互聯(lián)網(wǎng)模式，例如“限時(shí)優(yōu)惠”。。。

這個(gè)病毒作者看來(lái)深諳互聯(lián)網(wǎng)產(chǎn)品的奧義，在勒索信中寫(xiě)道：在五天內(nèi)付款，可以享受優(yōu)惠價(jià)哦親。

另外，還有一個(gè)敲詐者病毒，在界面上顯示可以“一元解鎖”。然而當(dāng)你真的進(jìn)入付款界面的時(shí)候，實(shí)際上扣除的價(jià)格就是上千元。（雷鋒網(wǎng)宅客頻道感覺(jué)這種方法已經(jīng)得到了電信詐騙的真?zhèn)?。?/p>

【一元解鎖的“敲詐者病毒”】

看了這么多，也許你還是覺(jué)得這種病毒離你很遙遠(yuǎn)。

然而，事實(shí)上這種病毒正在以指數(shù)型的速度增長(zhǎng)，分裂，變種。今年，360 已經(jīng)截獲了電腦端新增的敲詐者病毒變種113種，涉及到16.7萬(wàn)個(gè)樣本。而裴智勇根據(jù)掌握的數(shù)字預(yù)測(cè)，明年“敲詐者病毒”爆發(fā)會(huì)是今年的十倍。

就在不久前，雷鋒網(wǎng)宅客頻道接到讀者反映，他辦公室的電腦被無(wú)故加密，其中的重要資料被黑客加密。老板要求他自己支付約合1萬(wàn)人民幣的贖金，他沒(méi)有辦法支付，只好考慮辭職。

而另一位讀者因?yàn)樵L問(wèn)了某信用卡甲流網(wǎng)站，同樣中病毒遭遇勒索，他花了一夜時(shí)間才成功支付贖金。

所以，對(duì)待這種病毒，只有一種辦法，就是防患于未然。例如：

• 安裝最新版殺毒軟件，

• 安裝系統(tǒng)和瀏覽器的最新補(bǔ)丁，

• 做好重要資料備份，

• 或者對(duì)自己狠一點(diǎn)，不瀏覽不可名狀的網(wǎng)頁(yè)。

當(dāng)然，土豪隨意。

“敲詐者病毒”正在接近我們。如果不提高安全意識(shí)的話，下一個(gè)中招的，也許就是你。

以下是《2016敲詐者病毒威脅形勢(shì)分析報(bào)告》全文鏈接，供讀者參考。

報(bào)告下載鏈接