2016年2月的一天,好萊塢長老會醫(yī)院的護士們發(fā)現(xiàn)電腦全都用不了了。所有的文件都加了個莫名其妙的后綴,根本打不開。所有電腦程序也都加了這個后綴,一個也啟動不了。掛號只能用紙筆,病歷都成了亂碼,連手術都不能正常進行。當大家都束手無策的時候,院長阿蘭·史蒂芬涅克(Allen Stefanek)接到了一個陌生的通知:給我1萬7千美元,不然你們的醫(yī)院就得關張。
史蒂芬涅克院長猶豫了一個多星期,還是選擇了交錢。好萊塢長老會醫(yī)院所經(jīng)歷的勒索并不稀有。近年來,越來越多的用戶報告自己的電腦曾被黑客鎖住,只能交贖金了事。這種黑客攻擊被人們叫做“網(wǎng)絡勒索”,黑客們使用的軟件也有一個名字,叫做Ransomware。
“面具臉”和“拼圖”病毒
Ransomware的定義很枯燥,我們不如直接舉一個例子:小明在情人節(jié)收到了一名陌生人的郵件,郵件里一片空白只有一個叫做“拼圖”的附件。小明興高采烈地打開了這個“拼圖”,然而這個叫做“拼圖”的東西并不是節(jié)日禮物,而是一個Ransomware。
“拼圖”Ransomware的典型窗口
上面就是大名鼎鼎的Ransomware----“拼圖”(Jigsaw)。打開以后是一個黑色背景的窗口,窗口正中心是一個電影《電鋸驚魂》里的面具臉。綠色的勒索信息會一個字一個字地打出來,它用《電鋸驚魂》的口吻給小明寫道:
“我想跟你玩一個游戲,我來解釋一下游戲規(guī)則:你的文件正在被一個一個地刪掉,照片、視頻、文檔...... 不過不要擔心,只要你合作,它們就不會被刪完。你的文件都已經(jīng)被加密了,你一個也看不了。每個小時我會刪掉一些,刪掉的速度越來越快。如果你關電腦,再次打開的時候我就刪掉1000個文件,如果你關掉我,你的文件就會被永遠加密。只有我能把文件還給你?,F(xiàn)在,我們來玩這個游戲吧?!?/p>
小明趕緊打開自己硬盤里的電影文件夾,發(fā)現(xiàn)所有的片子都被加上了一個“.fun”的后綴,根本打不開。不僅是電影,自己寫的日記,照的照片,玩的游戲,一個也打不開。
窗口的左下角是個倒計時,開始是一小時,每次歸零就會刪掉一些文件。每刪一次,下一次刪的數(shù)量就會增多。每小時被刪的文件指數(shù)增長,用不了幾天電腦就啥也不剩了。
當然黑客不是為了玩這個“刪文件”的游戲,而是要錢。小明一開始還挺強硬,可文件都丟了怎么辦?我這電腦花了幾千塊錢買的,這么著不就沒法用了嗎?紅色的倒計時讓小明的心臟一蹦一蹦的,而小明漸漸地陷入了絕望。過了幾分鐘,小明終于服軟了。他按照黑客的指示,買了23美元的比特幣,匯給這個陌生人。
小明事后報了警,可比特幣無法追蹤,警察根本抓不著兇手。小明回家打開電腦,發(fā)現(xiàn)面具臉的窗口終于沒有了,可是自己的文件也全刪沒了。
Ransomware“拼圖”的各種變體
這個名為“拼圖”的勒索軟件主要肆虐時間是2016年,它有很多不同的變體,比如被劫持文件的后綴不一定是”.fun”,還有.gefickt, .uk-dealer@sigaint.org, .paytounlock, .hush, .locked, .payrmts, .afd, .paybtcs, .fun, .kkk, .gws, 和.btc. 背景也不一定是《電鋸驚魂》的面具臉,還有弄成一群頭盔制服黨的,還有搞出電影《V字仇殺隊》的,還有扮成游戲“殺手47”的?!捌磮D”勒索軟件要多少錢的都有,比較多的是要150塊錢?!捌磮D”還走上了國際化道路,除了英語以外,還非常貼心地加上了西班牙語、法語、俄語等多國語言。好消息是這個臭名昭著的“拼圖”終于被破解了,網(wǎng)上不僅有破解教程,還有一個破解軟件“Jigsaw decrypter”。
像“拼圖”這樣的Ransomware還有很多很多,長相也各不相同,但行為都是一樣的。它通過木馬的形式在郵件、U盤、下載網(wǎng)站里傳播,它自動鎖住你的電腦,把所有文件加密,并威脅要刪掉它們。受害者必須通過比特幣支付給發(fā)布者,然后發(fā)布者根據(jù)心情好壞選擇是否把文件交還。像小明這樣的受害者,近來一年比一年多。
為什么Ransomware突然肆虐了起來
Ransomware已經(jīng)存在了至少十年了,最早只泛濫在”黑客之鄉(xiāng)”俄羅斯。可最近三年Ransomware突然異軍突起,全世界流行起來。IBM曾經(jīng)在美國做過一次調研,僅在2016年,已知的網(wǎng)絡勒索涉案金額總額近10億美元,40%的垃圾郵件里都有Ransomware。一半的受害者拒絕交錢,“魚死網(wǎng)破”,另一半的受害者束手無策,乖乖交錢。
受害者往往對于一百美元以下的贖金能夠接受,這也是為什么Ransomware每次涉案金額較小,但傳播極其廣泛。企業(yè)用戶往往比個人用戶更倒霉,因為他們要交的贖金往往更多,而且他們會迫于公司壓力選擇交錢。70%的企業(yè)受害者交了贖金,這些交了贖金的人里面,一半的人交了至少一萬美元,20%的人交了至少四萬美元。
2016年,歐洲刑警組織(Europol)把Ransomware列為“危害性最高的網(wǎng)絡攻擊”,排在它后面的才是數(shù)據(jù)盜竊(偷文件)和銀行木馬(偷銀行卡)。歐洲刑警組織對網(wǎng)絡犯罪做了一個執(zhí)法優(yōu)先級排名,排名前五的病毒里,三個都是Ransomware。
歐洲刑警組織對網(wǎng)絡病毒的執(zhí)法優(yōu)先級排名
互聯(lián)網(wǎng)初期的病毒,大多數(shù)是“損人不利己”的。黑客們搞出個病毒,不為賺錢,就為炫耀一下自己的才華。2006年的病毒“熊貓燒香”,中病毒以后所有.exe結尾的文件無法運行,圖標變成一個熊貓舉著三炷香。2003年的“沖擊波”(Worm.Blaster)病毒,中病毒以后,電腦會一分鐘自動重啟一次?!皼_擊波”的源代碼里,還有一行嘲諷比爾·蓋茨的話:
“比爾蓋茨啊,你怎么能讓這種事情發(fā)生?少掙點兒錢吧,多修修漏洞。”
被“熊貓燒香”感染的文件,圖標全變成了熊貓
早期的黑客往往都是軟件愛好者,業(yè)余時間搞出個病毒宣傳一下自己,并不拿它賺錢??呻S著互聯(lián)網(wǎng)的普及,病毒不再是“惡作劇”,越來越多的職業(yè)犯罪者用它來大發(fā)橫財。Ransomware是個很特別的攻擊手段。過去的黑客往往喜歡“黑進”你的電腦,手里拿著一個“萬能鑰匙”(解密算法),撬開你的鎖(加密文件)。而網(wǎng)絡勒索正相反,黑客并不在乎你電腦里有什么,他們手里拿的是個“萬能鎖”(Ransomware),逼你交錢以后才把這個“萬能鎖”打開。上鎖比開鎖容易,加密也比解密要簡單。所以網(wǎng)絡敲詐犯,不需要學太多計算機知識。只要拿到了Ransomware,小學生都可以搞勒索。
管病毒管受害者直接要錢,在過去是行不通的。警方可以通過查找銀行的交易記錄,迅速追捕到罪犯??稍诒忍貛虐l(fā)明出來以后,形勢一下子就變了。比特幣隨處可買,線上流通。它不需要身份證驗證,也不需要去銀行管理。比特幣是個“去中心化”的金融體系,警察對比特幣交易無法追蹤。有了這么一個“地下交易”網(wǎng),黑客們拿完錢后輕松逍遙法外。已報告的網(wǎng)絡勒索案,絕大多數(shù)都是通過比特幣支付的贖金。
比特幣無法追蹤,所以成了黑客的“通用貨幣”
互聯(lián)網(wǎng)創(chuàng)業(yè)就像賽跑,誰發(fā)布的早,誰就容易占掉市場份額。這就導致創(chuàng)業(yè)者們養(yǎng)成了一種陋習:先發(fā)布一個差不多能用的軟件,以后再慢慢修漏洞。正是這些漏洞,讓黑客們一下子有隙可乘。
一個典型的例子就是MongoDB。MongoDB是一個非常好用的“非關系型數(shù)據(jù)庫”(至于什么是“非關系型數(shù)據(jù)庫”,我們以后有機會再講)。MongoDB剛剛發(fā)布的時候,它的默認設置非常不合理:任何人都可以訪問這個數(shù)據(jù)庫(沒有Access Control),而且不做自動備份。很多人不會改MongoDB的默認設置,于是黑客們紛紛前去盜取這些沒有任何保護的數(shù)據(jù)庫,然后敲詐管理員。
在MongoDB的官方博客透露,2萬5千個數(shù)據(jù)庫中,2000個受到了黑客的勒索。勒索者偷走了所有數(shù)據(jù),然后在數(shù)據(jù)庫里留下一句話:“通過比特幣給我XXX美元,不然我就刪掉你的數(shù)據(jù)。” 攻擊MongoDB的黑客實在太多了,以至于一個黑客剛剛在數(shù)據(jù)庫里留下勒索的“紙條”,另一個黑客立刻把“紙條”的收款人抹掉,改成自己的比特幣賬戶。如今MongoDB已經(jīng)修復了這個漏洞,然而大量用戶并沒有升級,還處在被勒索的風險之下。
綜上所述,職業(yè)罪犯的加入、極低的技術門檻、無法追蹤的交易模式、漏洞百出的軟件,這些就是Ransomware肆虐的原因。
那么,我們拿這些敲詐犯沒有辦法了嗎?
對抗網(wǎng)絡勒索的手段
2016年6月,美國加利福尼亞州參議院通過了一項法律:網(wǎng)絡勒索,視同勒索罪處理。這個編號為SB-1137的法律由加州參議員鮑勃·赫茲伯格(Bob Hertzberg)提出,在州參議院全票通過,最后由加州州長杰瑞·布朗(Jerry Brown)簽署。它不僅給出了網(wǎng)絡勒索的法律定義,還規(guī)定:就算這個黑客沒有收到贖金,罪行也按照收到贖金判決。作案者最高可以被判4年監(jiān)禁,另外還有1萬美元的罰款。這個法案在討論的時候,好萊塢長老會醫(yī)院作為受害者還曾發(fā)表過證詞。醫(yī)院院長終于可以放下心來,不再擔心醫(yī)院電腦被黑客給“鎖住”了??墒虑榫瓦@么結束了嗎?
法案通過僅僅一天后,法案提出者赫茲伯格的電腦就被黑客給加密了。赫茲伯格無奈地發(fā)了一條推文,還發(fā)了個截圖:“這就是我在州議會的辦公室電腦截圖,它被Ransomware攻擊了。”
網(wǎng)絡勒索法案的提出者赫茲伯格反而被勒索
直到今日,這些網(wǎng)絡勒索的罪犯們還在頻頻作案,因為雖然立法有了,執(zhí)法手段上還有很長一段路要走。今天被成功逮捕的黑客少之又少,大多數(shù)勒索者還在逍遙法外。如果事后抓不到,我們就只能事前預防。
防范網(wǎng)絡敲詐的方法有很多,最重要的就是養(yǎng)成良好的上網(wǎng)習慣:不要點開不認識的郵件附件,不要在不安全的網(wǎng)站下載軟件,勤殺毒,勤升級,多用云存儲,定期做硬盤備份。
如果上面的都沒有做到,自己還是被攻擊了,不要慌,有不少網(wǎng)站可以把你的文件找回來。比如nomoreransom.org,它不僅可以用多種算法嘗試解密被“鎖住”的文件,還會指導你如何報警。不少Ransomware已經(jīng)被破解了(比如“拼圖”),去一些值得信任的論壇,也能下載到正確的解密工具。
最后,在付贖金之前一定要再三考慮,因為黑客可能會在要了一次錢以后得寸進尺,不斷地騷擾你。而且黑客不一定會在最后把文件還給你,你的錢最后也拿不回來。況且,如果交贖金的人少了,黑客們就賺不到錢,類似的攻擊就會變少。你如果交了贖金,這可能是一種對這種犯罪行為的鼓勵。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 從量子威脅到人工智能防御:2025年網(wǎng)絡安全將如何發(fā)展
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網(wǎng)絡安全行業(yè)風險投資超過26億美元
免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。