最近，勒索木馬經(jīng)常占據(jù)頭條，因?yàn)楹诳蛡兘?jīng)常玩出奇異的姿勢(shì)。例如：

• 用木馬鎖住了美國(guó)東西海岸的數(shù)家大醫(yī)院的系統(tǒng)，讓數(shù)萬(wàn)病人的資料和數(shù)千萬(wàn)美元的醫(yī)療設(shè)施處于“封印狀態(tài)”。

• 搞癱了教堂的電腦系統(tǒng)，讓虔誠(chéng)的信眾無(wú)法愉快地禮拜。逼七十多歲的老牧師學(xué)著用地下網(wǎng)絡(luò)給敲詐者匯款。

• 供水供電局的員工不小心打開(kāi)了一個(gè)勒索木馬，導(dǎo)致其緊急關(guān)停了部分網(wǎng)絡(luò)服務(wù)。

作為一個(gè)沒(méi)有道德下限的行當(dāng)，網(wǎng)絡(luò)勒索不斷集成各種卑劣的技巧。

例如偽裝成求職者給公司人力部門發(fā)郵件，或者偽裝成一個(gè)有用的小工具欺騙用戶下載。一旦被安裝，往往會(huì)鎖定你的重要文件，然后彈出一個(gè)嚇人的勒索界面索要贖金，并且配有半個(gè)屏幕大小的倒計(jì)時(shí)時(shí)鐘。一旦你沒(méi)有在規(guī)定時(shí)間內(nèi)付款，就會(huì)把贖金翻倍。例如TeslaCrypt、Locky或者隨后出現(xiàn)的變種木馬 CTBLocker 和 Filecoder.DG

科技的進(jìn)步，讓勒索的門檻創(chuàng)了新低?？吹健袄纤緳C(jī)”風(fēng)卷殘?jiān)瓢愕亍皰赍X”，很多新手黑客也躍躍欲試，“自主研發(fā)”勒索木馬。然而，勒索木馬需要很強(qiáng)的加密技巧，新手打造的“良莠不齊”的木馬經(jīng)常在安全人員的面前土崩瓦解，讓這些人顏面掃地。

最近，著名安全公司 ESET 分享了三個(gè)“渣版”勒索木馬。理論上來(lái)說(shuō)，如果你被這種木馬鎖定之后，請(qǐng)不要驚慌，你不用付一分錢就可以拿回心愛(ài)的文件，一袋煙的功夫就可以恢復(fù)往日的生活。

下面有請(qǐng)三位登場(chǎng)。

偷懶的木馬——Petya

【Petya】

Petya，最初被安全公司趨勢(shì)科技發(fā)現(xiàn)。它的標(biāo)志就是“死亡紅屏”。在成功滲透進(jìn)入 Windows 系統(tǒng)之后，木馬會(huì)強(qiáng)迫用戶重啟電腦。而重啟之后，電腦就再也進(jìn)入不了 Windows 了，而是會(huì)自動(dòng)加載一個(gè)勒索頁(yè)面，向受害者索要 0.99 比特幣的贖金。

然而，這個(gè)時(shí)候如果急于支付贖金，就太冤了。

經(jīng)過(guò)分析，安全人員發(fā)現(xiàn)了這個(gè)木馬是由“偷懶的黑客”設(shè)計(jì)的。它雖然看起來(lái)兇惡得無(wú)以復(fù)加，但實(shí)際上只修改了系統(tǒng)的引導(dǎo)記錄以及加密了主文件表（主文件表是一個(gè)描述所有文件體積、位置和目錄結(jié)構(gòu)的東東）。而真正的文件還原封不動(dòng)地躺在磁盤里。

不得不說(shuō)，這種提綱挈領(lǐng)，打蛇打七寸的方法還是很有想象力的?？陀^來(lái)說(shuō)，如果主文件表?yè)p壞，想要恢復(fù)起來(lái)確實(shí)要花很大的力氣。然而，偷懶的黑客在這里犯了一個(gè)致命的錯(cuò)誤，留下了一個(gè)碩大無(wú)朋的邏輯漏洞。這使得安全研究員可以輕松地看到他的加密方法，從而開(kāi)發(fā)出一個(gè)簡(jiǎn)單的解鎖工具。由于只需要恢復(fù)主文件表，所以這個(gè)解鎖工具非常輕量級(jí)，目前已經(jīng)能夠在網(wǎng)上下載到免費(fèi)的版本。

這個(gè)故事告訴我們，偷懶是天才的專利。一般人還是信奉勤能補(bǔ)拙就好。

過(guò)于注重形式的電鋸驚魂——Jigsaw

【Jigsaw】

Jigsaw，翻譯成中文就是電鋸驚魂。制造他的黑客應(yīng)該是個(gè)電鋸迷。不得不說(shuō)，Jigsaw的用戶體驗(yàn)非常完美：

中招之后屏幕上會(huì)出現(xiàn)一個(gè)經(jīng)典的面具——電鋸驚魂。在左上角輔以駭客帝國(guó)版本的文字：“I want to play a game...”

這個(gè)游戲的玩法是：

用戶必須在一個(gè)小時(shí)之內(nèi)支付贖金，否則就會(huì)自動(dòng)刪除一個(gè)用戶的文件。以此類推，每過(guò)一個(gè)小時(shí)，木馬都會(huì)“撕票”一個(gè)文件。只是這樣還不夠刺激，如果你試圖逃離游戲——例如重啟電腦神馬的——黑客會(huì)立刻刪掉1000個(gè)文件以示懲戒。

怎么樣？這種兼顧趣味性和勒索功能的木馬還真是少見(jiàn)呢。然而，也許是過(guò)于注重 UI 的設(shè)計(jì)，黑客并沒(méi)有在加密算法方面發(fā)力。具體表現(xiàn)在：木馬對(duì)于它的所有受害者都采用了同意的靜態(tài)密鑰。簡(jiǎn)單來(lái)說(shuō)，就是用一把鑰匙就可以打開(kāi)所有的鎖。

這大概相當(dāng)于一個(gè)非常刺激的密室逃脫，設(shè)計(jì)了無(wú)數(shù)精巧的機(jī)關(guān)。然而最有效的逃脫方式還是——踹門。

雷鋒網(wǎng)建議這個(gè)木馬的作者去做游戲開(kāi)發(fā)，也許還能賺得多一點(diǎn)。

東施效顰的山寨貨——Autolocky

之前提到，Locky 在勒索界是泰斗級(jí)的木馬。于是有黑客相信：向經(jīng)典致敬的最佳方法就是抄襲。Autolocky 就是山寨版的 Locky，它對(duì)于 Locky 的模仿可謂達(dá)到了登峰造極的地步：

• 從名字上來(lái)看，Autolocky 似乎是 Locky 的“加強(qiáng)版”；

• Autolocky 在目標(biāo)文件的選擇上和 Locky 完全相同；

• 連鎖定之后的擴(kuò)展名都采用了和原版一模一樣的“.locky”，看起來(lái)就是這么專業(yè)。

但是，山寨之所以被稱為山寨，就是沒(méi)有掌握“核心科技”，所以他們的宿命往往是：在現(xiàn)實(shí)面前遭遇可恥的失敗。

Autolocky 費(fèi)勁心機(jī)地生成了一個(gè)密鑰，卻迫于渣到爆的編碼水平，把密鑰用 IE 明文回傳到黑客的服務(wù)器上。而黑客可能忘記了，IE 對(duì)于數(shù)據(jù)傳輸是有歷史記錄的。

所以安全研究員只要翻翻歷史記錄，就可以輕易地找到這個(gè)密鑰。不用麻煩黑客就得到了解鎖密碼。得知這個(gè)“秘密”之后，制作解鎖工具甚至不需要五分鐘。

勒索木馬就像是一個(gè)個(gè)黑客魔術(shù)。然而并不是每個(gè)魔術(shù)師都是劉謙，對(duì)于要面子的黑客來(lái)說(shuō)，勒索這種拼腦力的“技術(shù)活”如果演砸了，還是很丟人的。

不可否認(rèn)，如果沒(méi)有安全人員為你拔下底褲，這些木馬還是有很大殺傷力的。然而每一個(gè)魔術(shù)被揭穿之后，就是這么無(wú)聊和不堪。中了這些可愛(ài)的黑客研究的良莠不齊的黑客，也算是不幸之中的萬(wàn)幸吧。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。