最近，勒索木馬經(jīng)常占據(jù)頭條，因為黑客們經(jīng)常玩出奇異的姿勢。例如：

• 用木馬鎖住了美國東西海岸的數(shù)家大醫(yī)院的系統(tǒng)，讓數(shù)萬病人的資料和數(shù)千萬美元的醫(yī)療設(shè)施處于“封印狀態(tài)”。

• 搞癱了教堂的電腦系統(tǒng)，讓虔誠的信眾無法愉快地禮拜。逼七十多歲的老牧師學著用地下網(wǎng)絡(luò)給敲詐者匯款。

• 供水供電局的員工不小心打開了一個勒索木馬，導(dǎo)致其緊急關(guān)停了部分網(wǎng)絡(luò)服務(wù)。

作為一個沒有道德下限的行當，網(wǎng)絡(luò)勒索不斷集成各種卑劣的技巧。

例如偽裝成求職者給公司人力部門發(fā)郵件，或者偽裝成一個有用的小工具欺騙用戶下載。一旦被安裝，往往會鎖定你的重要文件，然后彈出一個嚇人的勒索界面索要贖金，并且配有半個屏幕大小的倒計時時鐘。一旦你沒有在規(guī)定時間內(nèi)付款，就會把贖金翻倍。例如TeslaCrypt、Locky或者隨后出現(xiàn)的變種木馬 CTBLocker 和 Filecoder.DG

科技的進步，讓勒索的門檻創(chuàng)了新低。看到“老司機”風卷殘云般地“掙錢”，很多新手黑客也躍躍欲試，“自主研發(fā)”勒索木馬。然而，勒索木馬需要很強的加密技巧，新手打造的“良莠不齊”的木馬經(jīng)常在安全人員的面前土崩瓦解，讓這些人顏面掃地。

最近，著名安全公司 ESET 分享了三個“渣版”勒索木馬。理論上來說，如果你被這種木馬鎖定之后，請不要驚慌，你不用付一分錢就可以拿回心愛的文件，一袋煙的功夫就可以恢復(fù)往日的生活。

下面有請三位登場。

偷懶的木馬——Petya

【Petya】

Petya，最初被安全公司趨勢科技發(fā)現(xiàn)。它的標志就是“死亡紅屏”。在成功滲透進入 Windows 系統(tǒng)之后，木馬會強迫用戶重啟電腦。而重啟之后，電腦就再也進入不了 Windows 了，而是會自動加載一個勒索頁面，向受害者索要 0.99 比特幣的贖金。

然而，這個時候如果急于支付贖金，就太冤了。

經(jīng)過分析，安全人員發(fā)現(xiàn)了這個木馬是由“偷懶的黑客”設(shè)計的。它雖然看起來兇惡得無以復(fù)加，但實際上只修改了系統(tǒng)的引導(dǎo)記錄以及加密了主文件表（主文件表是一個描述所有文件體積、位置和目錄結(jié)構(gòu)的東東）。而真正的文件還原封不動地躺在磁盤里。

不得不說，這種提綱挈領(lǐng)，打蛇打七寸的方法還是很有想象力的?？陀^來說，如果主文件表損壞，想要恢復(fù)起來確實要花很大的力氣。然而，偷懶的黑客在這里犯了一個致命的錯誤，留下了一個碩大無朋的邏輯漏洞。這使得安全研究員可以輕松地看到他的加密方法，從而開發(fā)出一個簡單的解鎖工具。由于只需要恢復(fù)主文件表，所以這個解鎖工具非常輕量級，目前已經(jīng)能夠在網(wǎng)上下載到免費的版本。

這個故事告訴我們，偷懶是天才的專利。一般人還是信奉勤能補拙就好。

過于注重形式的電鋸驚魂——Jigsaw

【Jigsaw】

Jigsaw，翻譯成中文就是電鋸驚魂。制造他的黑客應(yīng)該是個電鋸迷。不得不說，Jigsaw的用戶體驗非常完美：

中招之后屏幕上會出現(xiàn)一個經(jīng)典的面具——電鋸驚魂。在左上角輔以駭客帝國版本的文字：“I want to play a game...”

這個游戲的玩法是：

用戶必須在一個小時之內(nèi)支付贖金，否則就會自動刪除一個用戶的文件。以此類推，每過一個小時，木馬都會“撕票”一個文件。只是這樣還不夠刺激，如果你試圖逃離游戲——例如重啟電腦神馬的——黑客會立刻刪掉1000個文件以示懲戒。

怎么樣？這種兼顧趣味性和勒索功能的木馬還真是少見呢。然而，也許是過于注重 UI 的設(shè)計，黑客并沒有在加密算法方面發(fā)力。具體表現(xiàn)在：木馬對于它的所有受害者都采用了同意的靜態(tài)密鑰。簡單來說，就是用一把鑰匙就可以打開所有的鎖。

這大概相當于一個非常刺激的密室逃脫，設(shè)計了無數(shù)精巧的機關(guān)。然而最有效的逃脫方式還是——踹門。

雷鋒網(wǎng)建議這個木馬的作者去做游戲開發(fā)，也許還能賺得多一點。

東施效顰的山寨貨——Autolocky

之前提到，Locky 在勒索界是泰斗級的木馬。于是有黑客相信：向經(jīng)典致敬的最佳方法就是抄襲。Autolocky 就是山寨版的 Locky，它對于 Locky 的模仿可謂達到了登峰造極的地步：

• 從名字上來看，Autolocky 似乎是 Locky 的“加強版”；

• Autolocky 在目標文件的選擇上和 Locky 完全相同；

• 連鎖定之后的擴展名都采用了和原版一模一樣的“.locky”，看起來就是這么專業(yè)。

但是，山寨之所以被稱為山寨，就是沒有掌握“核心科技”，所以他們的宿命往往是：在現(xiàn)實面前遭遇可恥的失敗。

Autolocky 費勁心機地生成了一個密鑰，卻迫于渣到爆的編碼水平，把密鑰用 IE 明文回傳到黑客的服務(wù)器上。而黑客可能忘記了，IE 對于數(shù)據(jù)傳輸是有歷史記錄的。

所以安全研究員只要翻翻歷史記錄，就可以輕易地找到這個密鑰。不用麻煩黑客就得到了解鎖密碼。得知這個“秘密”之后，制作解鎖工具甚至不需要五分鐘。

勒索木馬就像是一個個黑客魔術(shù)。然而并不是每個魔術(shù)師都是劉謙，對于要面子的黑客來說，勒索這種拼腦力的“技術(shù)活”如果演砸了，還是很丟人的。

不可否認，如果沒有安全人員為你拔下底褲，這些木馬還是有很大殺傷力的。然而每一個魔術(shù)被揭穿之后，就是這么無聊和不堪。中了這些可愛的黑客研究的良莠不齊的黑客，也算是不幸之中的萬幸吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。