商小阙 ，柳 斌，严威川

勒索软件：一场卑劣的金钱游戏

商小阙 ，柳 斌，严威川

编者按：勒索软件在初级阶段使用的加密方式很简单，但随着技术的进步，加密技术也越来越高明。防御和攻击如同进入了永无休止的“猫鼠游戏”，研究人员一边破解加密，攻击者则设计出更加复杂的加密形式还以颜色。而企业和用户在一轮轮攻防转换中成为了受害者，面对勒索软件不得不支付金钱挽回损失，甚至有些人天真地认为网络不法分子也有职业道德，只要收到钱款就能息事宁人。事实真的如此吗？当然不是！大量事实证明即使付款给勒索方，结果依然得不偿失。正如美国电影《华尔街2：金钱永不眠》中有一句经典台词：“道德危机就是当一个人拿了你的钱，可是完全不需要负责任。”我们专题所阐述的观点就是要对黑客的勒索说“不”，并且深入探讨勒索软件泛滥的原因以及该如何最大限度降低被勒索的几率。

2015年10月，在美国波士顿召开的网络安全峰会上一名美国联邦调查局（FBI）助理探员指出，通过对FBI波士顿办公室的审查，他们建议公司在感染了勒索软件之后最好支付赎金来找回重要数据。这一建议遭到了很多人的质疑，毕竟这与公众意识相违背，因为满足了网络犯罪者的需求就等于变相鼓励犯罪。但现实中勒索软件远远比我们想象的可怕，之所以给出这样的建议也是无奈之举。

根据美国联邦调查局（FBI）的调查，2016年至今遭受商务电子邮件入侵的企业已超过22000家，经济损失超过30亿美元以上。不仅如此，黑客们频繁创建虚假网站,诱导用户浏览；借助网站内钓鱼软件扫描用户电脑操作系统以及浏览器中所含的安全漏洞，向用户电脑内输送勒索软件，一旦终端或数据“中招”，为了避免更大的损失，用户只能向黑客缴纳赎金。相对于黑客们的肆无忌惮，公众对于勒索软件的认识更加令人担忧。卡巴斯基对北美超过5000名用户的调查表明，有43%的普通用户根本不知道勒索软件为何物。另外，15%的美国用户和17%的加拿大用户认为关闭电脑就能解决问题，53%的受访者表示不愿意支付赎金。本刊编辑部也抽样选择了10名企业普通用户做了调查，结果显示1名用户能够说出勒索软件的危害性；3名用户认为安装杀毒软件就能解决；6名用户表示根本不知道什么是勒索软件。

2016年5月30日，根据新华社报道，国家计算机病毒应急处理中心通过对互联网的监测发现，近期勒索软件正威胁着广大计算机用户，甚至是企业用户，勒索软件已经成为恶意攻击者使用的主要攻击手段。勒索软件家族变得更

加庞大，更多技术连同更多的恶意攻击者投身于此，牟取更大的经济利益。

“勒索”之下 全球焉有完卵

2015年1月，约瑟夫·爱德华兹的电脑被勒索软件Reveton入侵，黑客锁定了电脑，并声称因为其浏览了非法网站而受到当局执法部门的指控，要求缴纳罚款方能解除警方调查。其结果导致这名年仅17岁患有神经发育失调孤独症的少年自杀身亡。

2015年4月，美国缅因州林肯郡的四个使用同一网络的警察局以及一个治安官办公室的电脑感染病毒，黑客把电脑中的每一个文件都上了锁导致文件无法正常访问和打开。警方的技术人员在尝试破解几天之后放弃了努力，决定向黑客支付价值300美元的比特币赎金。

2016年1月，三家印度银行和一家印度制药公司的计算机系统感染了勒索软件病毒，每台被感染的电脑被索要1比特币赎金（1比特币约相当于2800人民币）。攻击者渗透到计算机网络，然后利用未保护的远程桌面端口感染了网络中的其他计算机。而因为此次感染，被勒索的印度公司面临数百万美元的损失。

2016年2月，黑客使用勒索软件攻陷了美国好莱坞医院IT系统,并锁定其中的文件,导致不能查看电子病历,甚至连邮件都无法收发。黑客索要340万美元才会提供代码解锁。经过一周多的斡旋,院方最终支付了1.7万美元才拿回计算机系统控制权。

2016年2月，根据德国广播公司Deutsche Welle的报道, 两家德国医院受到了勒索软件的感染，这种软件会锁住文件，只有给出要求的赎金，才能解开被恶意加密的数据，而让系统重新运行需要花费数周时间。

2016年3月，一个被研究人员命名为KeRanger的全功能勒索软件出现在苹果的BitTorrent客户端软件Transmission中。这也标志着首个苹果勒索软件出现。

2016年5月，据美国密歇根州媒体报道，美国某公司遭到了恶意软件的攻击，离线的计算机系统也受到了威胁。为了防止进一步的损害，工作人员还断开了电力以及供水系统，甚至电话线路也受到了波及。当地警方确认这是一起勒索软件事件，该公司已经开始申请保险赔付工作。

虽然以上都是国外案例，但互联网是没有任何界限之分的，覆巢之下，焉有完卵。 从2015年起，各类勒索软件就已经在国内层出不穷，网络攻击目标从政府机构扩大到民众社会生活各个方面，涉及电信、金融、能源等多个领域。国内安全企业调查显示，在2015年9月至2016年6月期间，勒索软件出现了爆发式增长，全球勒索软件数量从不足100万增长到了目前的1500万。而在中国传播的勒索软件已经从2015年之前的“小打小闹”，增长到如今的数以万计的大举侵袭。通过网页链接（URL）检测的勒索软件数量从283个增长到18990个，增长超过67倍，并且还有持续蔓延的趋势。

黑科技的黑历史

如果将早期的勒索软件也冠以“黑科技”，确实有点言过其实。1989年一名哈佛大学毕业生设计出了“艾滋木马”（AIDS Trojan）病毒，被业内认为是第一款勒索软件，其攻击特点是

对称加密，但很快就被解密了，最终以该名毕业生被起诉告终。自此勒索软件似乎进入了沉寂期，直到2006年“ Archievus”的出现。这款能将系统中“我的文档”里面的所有文件都加密的木马病毒是第一款采用了非对称加密的勒索软件。这种非对称加密技术的出现开启了勒索软件的“开挂史”。

360《敲诈者木马威胁形势分析报告》显示，采用了非对称加密算法的勒索软件，其核心特点是“可防不可治”。也就是说，一旦系统或安全软件未能对勒索软件进行有效的防护，致使电脑感染，导致其对电脑系统中文件的不对称加密过程完成，理论上来说，除非被攻击者支付赎金获取解密密码，否则没有任何技术手段可以将文件恢复。造成勒索软件“可防不可治”的主要原因是加密算法在数学上的不可逆。实际上，勒索软件通常来说也不会使用什么特殊的加密算法，而是使用国际通行各种标准加密算法对电脑文件进行加密，而这些标准的加密算法原本的设计目的就是为了保证只有特定的人才能解密特定的加密文件，其数学算法本身是不可逆的，密码也是数学上不可破解的。所以，一旦电脑感染了病毒（不包括锁屏木马或采用对称加密技术等简单的敲诈者木马），期望通过其他技术手段恢复系统文件的愿望通常都不太现实。

到了2010年以后，勒索软件进入了活跃期，几乎每年都有新种类推出，危害性也越来越大，以下举几个历年比较典型的案例：

·2011年 虚假拨号木马病毒

这是一款专为Windows产品激活而设计的木马，其提供了在线激活选项，引导用户拨打一个国际长途激活产品，但拨通电话之后并没有人接听，用户在等待的同时不知不觉损失了高额的国际长途话费。

·2012年 Reveton：恐吓施压

这就是导致17岁少年约瑟夫·爱德华兹自杀的勒索软件。其能伪造出用户电脑曾经从事非法活动或浏览非法网站，如果解锁就要付出相应酬金。

·2013年 Cryptolocker：勒索越发狡猾

技术上采用两道加密方法，第一道是使用进阶加密标准将受害系统上的文件加密；第二道加密方法是将前述的进阶加密的密钥再次加密，解密密钥掌握在网络不法分子手中。

·2014年 Sypeng：目标逐渐转移到移动端

Sypeng的出现也是勒索软件的一个分水岭，细分了PC端和移动端“阵地”，同时也让黑客们的注意力开始向移动终端倾斜。这也是基于安卓的勒索软件，它可以锁定受害者屏幕，并且显示FBI处罚警告消息。通过短信发送的虚假 Adobe Flash 更新作为主要传播途径。

·2015年 TeslaCrypt：开启自我智能化

除了本身的危害性之外， TeslaCrypt还有着近乎智能的“生存”方式。它能够在入侵的终端中长期驻留，并且还拥有自我修复功能。

·2016年 Locky：“二月恶魔”

二月份出现的Locky将勒索软件发展推上了一个新高度，它在德国以每小时感染5300台计算机的“战绩”而闻名。其通过网络钓鱼和利用早已覆盖全球的Dridex基础设施开始流传。在3月7日国家计算机病毒应急处理中心也发现并发布了关于这种病毒的紧急预防通知。

除了Locky的“肆虐”，今年还出现了SamSam、PetyaJigsaw、ZCryptor......简直就是勒索软件的“狂欢年”。

勒索软件传播途径之我见

2016年9月22日，在天津召开的首届国际反病毒大会上，360公司总裁齐向东在主旨演讲中表示，当前正在爆发的勒索病毒创新的技术模式、盈利模式正在被大批病毒制造者学习复制，未来将泛滥成灾。与现实中勒索诈骗不同，在互联网上通过勒索软件敲诈钱财更具备隐蔽性和便捷性，且犯罪基础设施相关成本低廉，以至于犯罪规模不断扩大，而被勒索方不断缴纳赎金的行为也导致勒索软件泛滥成灾。更令人担忧的是，如今勒索软件已经形成了商业模式，并且不断的在发挥其价值。很多勒索软件甚至无需注册新的域名就能发挥其作用，然后可以很简单的被操作来攻击TOR网络或者黑掉一些服务器的合法领域。在低廉成本的基础上，传播途径更是呈多元化发展，令企业和用户防不胜防。

安全公司的最新数据显示，钓鱼邮件现在已经“放弃”了窃取用户信息，而是以传播勒索软件为主要目的。钓鱼邮件中的勒索软件比率已经从2015年12月份的56%增加到今年3月的93%。导致这一趋势的原因是勒索软件越来越容易发送，攻击者能更快的获取投资回报。而其他基于钓鱼邮件的网络攻击需要更多的时间才能获利。这种钓鱼邮件最常见的就是伪造来自银行的文件，显示几乎与正规银行一模一样的信函，提示用户的账户有非法消费，希望能够及时安装补丁程序加以修正，用户一旦安装立即“中招”。这里不得不又提到上文被称之为“二月恶魔”的Locky，它的传播途径主要依靠包含Word附件的垃圾邮件，或者使用.JS和.Zip附件，从2月中旬被发现到全球性传播仅仅用了两周时间。其实这也是钓鱼邮件的一种，附件中包含恶意宏，通常主题为理财、借贷等信息。当用户启用这些文件，会提示启用宏。一旦启用宏将允许病毒接触远程服务器，下载一个可执行文件，并运行该文件。这个可执行的文件就是Locky勒索病毒，它将立即执行加密，使用户电脑上的文件进行加密导致用户无法打开文件，接下来的事情就不言而喻了。目前国内已有大量企事业单位用户通过电子邮件被感染Locky勒索病毒，用户感染以后导致大量重要文件被加密，需要支付不同额度的解锁费后才能正常使用。

与钓鱼邮件相比较，更容易也是更常见的攻击方式就是我们日常浏览的网页，受到感染的网页在浏览的过程中下载并且安装了勒索软件。并且目前很多网络社交工具不但可以通过客户端上线，同时也可以通过直接访问网页上线，这就给勒索软件的传播途径增加了若干源头；还有一种方式相信大多数用户都遇到过，就是系统提示升级Adobe Flash软件，一般情况下要慎重升级，勒索软件经常通过软件升级方式来感染用户的终端；最后一种方式是通过软件安装植入病毒，很多情况下用户会安装一些第三方下载的软件，里面可能就隐藏了一些非法链接，在安装软件的同时将这些不必要的链接激活，从而感染病毒。以上都是勒索软件传播比较典型的模式，但绝对不是全部途径，随着终端与互联网的不断发展，新的传播途径还会不断的出现。

国内外案例浅析

2016年2月中旬至4月5日，中国香港电脑保安事故协调中心（HKCERT）接到41起企业或个人针对勒索软件的求援，被勒索从900元至上万元不等（人民币），并且网络不法分子要求用比特币支付赎金。

该中心一名高级顾问提到，通常勒索方都会要求以比特币交易，“赎金”也在逐渐提升。以中国香港为例，2月份收到的个案一般由0.5个比特币到1个（1比特币约相当于2800人民币），到了4月份增至到了4个比特币。目前接到的个案以中小企业为主，相信有更多个案并未报告，而金额可能更大。其实该中心在2月份Locky勒索软件爆发时已发出警告，但仍接到41起求助，当中有两家大企业、30家中小企业、2家非盈利机构、4个家庭用户及3个网站，多数是被网络不法份子植入了勒索软件。该名顾问指出，黑客会通过用户点击不明的电子邮件附件或访问被植入勒索软件的网站进行攻击。因此，用户除了要经常备份、保持系统更新外，还要采用杀毒软件及防火墙等工具，更要注意不要随便点击来历不名链接或附件。微软中国香港区科技负责人许遵发认为寻求数据保护方案及利用云端服务可有助减少数据被“绑架”机会。

那么，本文多次提到的“Locky”到底是如何进行勒索的呢？以下简单举出一个案例，一般个人和企业都会遇到。

首先第一步，黑客会通过附件的形式发给个人或者企业邮箱一封邮件，通常附件都是压缩文件或Word文档，恶意宏代码就隐藏其中。用户一旦打开附件，几分钟后会发现电脑运行有些不对劲，继而在文件夹中发现所有文件属性均显示成“Locky文件”。附件或Word文件中会有相应提示，点击进入后会出现一个页面，大致意思是需要支付比特币的额度以及如何获得解锁的方法。本刊记者发现一些链接指向的是淘宝网店，解锁密钥都是明码标价，且现在这些网店依然存在。

通常，利用Word攻击的案例最多。其工作原理是，当用户打开压缩文件或者word文档并运行宏代码后，用户电脑就会连接到指定的Web服务器，下载locky恶意软件到本地Temp目录下，并强制执行。locky恶意代码被加载执行后，主动连接黑客C&C服务器，执行上传本机信息，下载加密公钥。Locky覆盖本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件。加密完成后生成勒索提示文件。利用压缩文件作为附件攻击的情况较少，因为一般具备电脑知识的用户通常对不明的压缩文件都有警惕性。

在国外肆虐的勒索软件种类更加丰富，这里需要提一下“TorLocker”。最初这款勒索软件只针对于日本电脑用户，后来逐渐入侵欧洲。为什么要以这款勒索软件为例呢？因为“TorLocker”本身是有缺陷的，勒索行为简直不可理喻。其原因在于即使企业或个人用户支付了赎金，也只能解锁70%的文件，等于支付赎金损失大，不支付赎金损失更大。很多企业在支付赎金之后发现根本无法令网络系统恢复如初，需要追加更多的软硬件设备进行修复，不但损失了赎金和数据，同时增加了新的成本。日本各大IT留言板中只要搜索“TorLocker”关键词，各种

控诉与声讨不胜枚举。该勒索软件通过借助256位元的AES密钥来解密器数据段以感染电脑。

“TorLocker”也被称为木马Ransom.Win32. Scraper，业内专家认为这是一种汇编写的程序，拥有几乎无法破解的加密机制。该密钥的位元被用作独一无二的样本ID添加到加密文件的最后。随后恶意软件被复制到一个临时文件夹内，并创建该复制文件自动执行的注册码。TorLocker感染每个系统的方式都各不相同，就算找到一个能解密数据的密钥，也无益于在其他系统上的数据解密。网络不法分子通常要求受害用户在规定时间内支付赎金以获得解密数据的密钥，并且需要在专用TorLocker窗口中输入付款细节，一旦超过规定时间用户将丢失所有这些数据。

“TorLocker”对于用户电脑的危害是致命的，如果不支付赎金，系统运行几乎处于“瘫痪”状态。重要的系统进程都会被中止，并且删除所有系统恢复选项，还对用户的办公文档、视频文件、音频文件、图片、存档文件、数据库、备份副本、证书和所有其他文件以及网络硬盘进行加密。

传播平台演进：从PC端到移动端

从国内外勒索软件案例来看，网络不法分子入侵PC端更愿意选择企业而非个人用户。对于企业而言，被加密的文件和资料往往对企业至关重要，众多被勒索的公司虽然来自不同领域，但是都有一个共同特点——信息安全意识淡漠，忽视对于重要文件资料的备份。因此，绝大多数企业在遭遇勒索软件敲诈时，都会倾向于向网络不法分子支付赎金，以尽快解密文件。这恰恰非常符合网络不法分子的口味，进而对企业的敲诈更加变本加厉。而随着入侵技术日益精进，更具针对性、伪装性的勒索手段频繁出现，并挑选更加合适的时间针对不同企业用户发起攻击，这一切更加让人难以分辨、防不胜防。这一切令勒索软件的敲诈方式更容易得逞，也使得利用PC端勒索企业的趋势进一步恶化。

2014年以后，移动互联网应用已经超越了PC端应用。根据中国互联网络信息中心在2014年8月发布的《中国移动互联网调查研究报告》显示，截至2014 年6月底，我国手机网民规模为 5.27 亿，较 2013 年底增加 2699 万人。我国网民中使用手机上网的人群占有率进一步提升，由2013年的81.0%提升至 83.4%，手机网民规模首次超越传统PC网民规模。

也正是从2014年起，勒索软件逐渐从PC端向移动端平稳过渡，移动端勒索软件成为了当年技术创新和攻击规模双增长的“暗黑生产力”。到了2015年以后，企业和个人用户越来越习惯移动办公，而针对移动终端的勒索软件攻击也随之接踵而来。2016年5月份，根据国家计算机病毒应急处理中心发布的信息分析，国内勒索软件已经从传统的只针对Windows系统转变为针对Android系统，甚至在某种情况下会针对Mac OSX系统。任何一台设备，在网络不法分子手里都会成为实施勒索的目标。由此可见，勒索软件已经不仅仅是PC端的威胁，它的“魔爪”已经延伸到了以手机为首的移动终端。移动办公的普及也令网络不法分子不再对PC端一家独好，这也进一步模糊了企业和个人用户的界限，也就是说在移动终端领域，勒索软件对企业与个人用户一视同仁。数据显示，从2014年开始，增速迅猛的移动平台就成为勒索软件的主攻目标。各种类型的威胁逐渐向移动终端蔓延，其

中移动互联网社交平台成为了黑客进行勒索的重要目标。仅2014年至2015年移动终端勒索软件攻击的数量成倍增长，由3万增长到了13万，数字翻了4倍。并且在移动端恶意攻击中占比也出现明显的增长。截至2016年第一季度，360移动安全团队发布的《Android勒索软件研究报告》显示，自2013年6月首个伪装成杀毒软件的勒索性质软件出现至今，勒索类恶意软件在全球范围内已累计感染近90万部手机。

移动端（主要以手机为主）所呈现的勒索界面更加直观，锁屏、Activity劫持、屏蔽虚拟按键、设置手机PIN码和修改系统文件等等。解锁码生成方式主要是通过硬编码、序列号计算、序列号对应。解锁方法除了直接填写解锁码，还能够通过短信、联网和解锁工具远程控制解锁。其传播扩散的“重灾区”主要是QQ、微信这类社交平台以及移动端竞技类游戏，勒索软件隐藏在游戏外挂或者微信抢红包外挂中，利用用户争强好胜的心理，一旦安装，就会出现锁屏以及屏蔽虚拟按键等情况，不缴纳一定额度的款项，就再也进不了操作界面，直接报废。本刊记者亲自做了一个测试，以付费解锁的名义进入一个勒索软件QQ群，在付款25元的情况下得到了解锁工具，交易简单快捷。在与收款方（可能是勒索方，或者是代收款人员）交流中得知，付费解锁按照种类标价，从20元到100元不等，价格不算离谱，所以付费的人很多。

移动终端的普及为企业和个人带来的很多便捷，同时也风险倍增。其中操作系统存在安全漏洞、防病毒软件功能还不够完善，用户防范意识不足，所以受攻击的概率大大高于传统PC端。加之移动终端实时在线率高，联系人之间的信任强度更大，与传统PC存储的信息具有差异性，如电话簿、短信息、地理位置信息等都是从传统PC端无法获取的，这更加受到网络不法分子的青睐。根据印度安全软件公司Quick Heal最新报告显示，2016年第二季度移动端勒索软件攻击量增加200%，接近2015年全年检测总量的一半。其中，勒索软件变体将在第三季度中继续增多，例如，上文提到过的“二月恶魔”Locky勒索软件也在持续更新内部代码。此外，Locky等越来越多的勒索软件使用域名生成算法躲避安全检查或将成为2016年下半年以及未来的最大威胁之一。

生存还是毁灭，这个选择莎士比亚吗？

美国思科系统公司8月发布的报告显示，目前黑客利用勒索软件攻击呈上升趋势，据推算每年可获利约3400万美元，黑客利用勒索软件攻击平均每次得手300美元，平均每月超过9500人为此支付“赎金”。

在我们之前的案例中无论从FBI建议、国外警局遭遇到我们身边的调查案例，向网络不法分子妥协缴纳赎金的情况比比皆是。另外，还有如现代加密、TOR 网络和比特币交易等技术也为勒索软件的肆虐提供了支持，这些技术能够帮助黑客更加高效地部署攻击和隐藏自己的踪迹。通常，多数受害者只能选择向黑客支付赎金，还有一些用户则选择放弃，而剩下一部分用户则在矛盾的抉择中失去了支付解锁的最佳时机。“生存还是毁灭，这是一个值得考虑的问题”，莎士比亚四大悲剧之一《哈姆雷特》中著名的对白也成为了被勒索电脑用户的心声。

那么一旦遭遇勒索软件入侵，只要支付赎金

就没事了吗？答案是不行！虽然赎金（比特币）能够解决一切，但并不能保证万无一失。在今年7月份，网络中发现一种名为Ranscam的“勒索软件”，之所以加上引号是因为Ranscam还不能算传统意义上的勒索软件。它表面上会像普通勒索软件一样侵入用户系统，私自对受害者的文档进行加密，之后网络不法分子会提出需要支付赎金解决问题。但令人啼笑皆非的是，Ranscam本身并没有什么加密技术，它仅仅是直接删掉了用户的文档。即使用户支付了赎金，文档其实早已被删除了。Ranscam的出现让人们更加清醒的认识到，不要幻想网络不法分子能够有职业操守，收到赎金就能够息事宁人，如果他们那么高尚，还会这么龌龊的勒索吗？所以，面对勒索软件威胁，防御或者赎买根本不是一道选择题，而是一道必选题，答案就是前者！

对勒索软件说“不”已经成为各国警方和执法机构的共识，因为站在法律的角度，支付赎金无疑是在支持犯罪。但真正能够达到防御勒索软件也非易事。相比较来说，普通用户端相对容易一些。对此国家计算机病毒应急处理中心专家提醒：针对这种情况，建议广大计算机用户采取如下防范措施：首先，打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的，其次，勒索软件家族通常使用社会工程学技术进行广泛传播，特别是利用电子邮件。用户不要轻易点击电子邮件中的附件和URL链接地址。如果是电子邮件地址簿中的联系人发来的邮件，请先核实真实性后再点击打开。最后就是要主动积极的经常备份，并保持更多备份，以便能将数据恢复至感染之前；不要使用缺乏最新保护的旧版本网页浏览器；在微软Word和微软Excel中禁用宏；并考虑卸载Adobe Flash。而企业防御就相对比较复杂，通常遇到了勒索软件入侵，企业很难分清哪些是职员行为（职员信息已经被盗取或电脑被植入木马），哪些是黑客操作。考虑到企业的正常运行是第一位，因此定期备份数据是重中之重。由于互联网高速发展，网络威胁也在以多元化的态势呈现，多数企业也越来越意识到数据备份的重要性，并且定期检查审核备份数据的复原性能。更为重要的是，企业重要数据在备份的同时一定要脱离备份子系统，以达到真正的安全分割。在此基础之上，最好定期淘汰老旧IT基础设备，并且及时配置安全软件，经常更新口令。同时要及时更新操作系统、更新应用软件的漏洞补丁、更新安全应用程序及反恶意软件数据库。这里不得不提到思科推出的《2016年中网络安全报告》中有关防御勒索软件的建议，可以使用网络分段来阻止或减慢自我传播威胁的逐步渗透，并对其进行遏制。

企业应考虑实施适用于分段网络的多个组件，包括：

1、用于在逻辑上分隔数据访问的VLAN和子网，包括在工作站层级的分隔

2、专用防火墙和网关分段

3、具有已配置入口和出口过滤的基于主机的防火墙

4、应用白名单和黑名单

5、基于角色的网络共享权限（最小权限）

6、适当的凭证管理

为了能够更全面的探讨企业和个人面对勒索软件的应对策略，本刊记者采访了360反病毒小组负责人王亮先生（拥有长达9年的恶意软件查杀经验，是国内最早追踪敲诈者病毒的安全专家之一，目前已经带领团队拦截到超过80类敲诈者病毒变种），他表示随着信息化程度越来越高，企业等机构对于信息系统的依赖度也越来越高，而勒索软件的主要危害就是破坏信息系统。一旦病毒入侵，将窃取机密数据，或致使系统无法正常运行，如果已被感染的设备连接了企业的共享存储，那么共享存储中的文件也可能会被加密，企业因此面临的经济损失将十分沉重。

目前大多数企业自身并没有专业的安全防护体系。从技术上来看，企业的IT部门缺乏处理数据安全的经验及能力；从人员上来看，企业IT从业者的主要工作是维护网站的基础运维，而非专业的安全防御；从制度上来看，企业对于网络安全的关注度不高，对于相关设施的投入力度也不足。因此，企业想要有效地对抗勒索软件，需要与专业的安全机构合作。从防范措施来看，目前对抗勒索软件还是以预防为主。无论是企业还是个人，都应做到：

（1）及时备份重要数据，最好能在本地、U盘、云盘都备份一份，以防不测

（2）操作系统和IE、Flash等常用软件应及时打好补丁，以免病毒利用漏洞实现挂马攻击

（3）切勿轻易打开陌生人发来的可疑文件及邮件附件

（4）选择一款可靠的安全软件做防护

·小知识

社会工程学技术：就是以沟通、诱骗、伪装等方式，利用用户好奇、恐惧、猎奇等心理，从而套取用户系统的秘密。社会工程学是一种与普通的欺骗和诈骗不同层次的手法。因为社会工程学需要搜集大量的信息针对对方的实际情况，进行心理战术的一种手法。

“水坑”：是黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。它利用了网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

“勒索”本质：无关技术的利益掮客

根据美国司法部统计，与2015年相比，2016年上半年美国勒索攻击已翻了两番，平均每天发生4000起，其中大部分受害人并没有报案。较典型的勒索支付范围是从500美元到1000美元，极少数黑客提出的赎金已经过万元。但赎金还不是损失的全部，数据恢复不及时造成人力、资源、时间上的浪费甚至超过了赎金本身。

通常企业和个人用户会遇到的就两种形式的勒索软件：基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备，通常是基于Android的勒索软件。最常见的勒索方式分别是影响用户系统平台运行、威胁

和恐吓用户、加密用户数据。本刊记者在采访政法大学戴士剑教授时（中国政法大学教授，最高人民检察院检察技术信息研究中心副处长、高级工程师），他提到了在2014年曾经帮助一位学术大师处理过勒索软件CTB_Locker。戴教授表示处理过程可谓跌宕起伏，文档加密后，搞学术的老先生看不懂，找的人也看不懂，就简单地重新安装了操作系统，才发现文档照样打不开，继续工作的过程中，再次点击了邮件（勒索软件是通过邮件传播的），造成二次被勒索。找到戴教授时，勒索时限还剩下三天，当时也没有别的办法，只能按照勒索方的要求购买比特币进行支付，好不容易购买支付了比特币，却发现只有第二次被加密的文档得到解密，第一次被加密的文档仍然无法解密，给勒索者发邮件，杳无音讯。这个结果让这位搞学术的大师痛苦不堪，表示多少钱都愿意支付，因为这些文档中的保存的文件是他一辈子的心血。

这件事给戴教授留下了深刻的印象，他表示这两年勒索软件市场其实一直不温不火，最近却突然火了起来，究其根本其实仍然是利益驱动。今年9月14日发布的一份报告称，某勒索软件作者兼分发者，仅上半年便从勒索软件赎金上敛财1.21亿美元，去掉各种开销，净利润达9400万美元。这比以往任何一种黑客入侵或窃取的回报都高得多，难怪勒索病毒这种技术和盈利模式被大批病毒制造者学习复制，以致有了泛滥成灾之势。戴教授还表示勒索软件本质上仍然是一种木马程序，它通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

目前，网络不法分子利用勒索软件获得了大量的钱财，由于其攻击的成功率非常大，为了追求最大化的利润，他们还会降低赎金额度，这在国内互联网大环境中体现的尤为明显。本刊记者上文提到过的那个勒索软件的QQ群，里面的标价没有超过100元的，但是索要密钥的人非常多，因为价格是大众能够承受的心理范围。试想一部价值四五千元的手机被锁，只要花几十元就能够安全解锁，权衡利弊，付款很正常。这类QQ群非常多，有些群名是以手机解锁名义建立的，有些群名是极具暗示性且很隐蔽的，网络不法分子不但勒索获利，同时也拥有极强自我保护的警觉性。同时，还有一个更为隐忧的情况存在于这类QQ群中，就是勒索软件传销式推广。网络不法分子不但提供付费密钥，同时也给感兴趣的人（很多是受害者）出售勒索软件和简单教程辅导使用，有些甚至是视频教程。国内从事黑客活动的人群越来越趋向年轻化，30岁以上的人属于少数，大多数年龄分布在18岁至30岁之间，日常交流的主要平台是QQ群和微信群。他们在里面交流心得，相互认识，甚至“组团”展开攻击合作。这类社交群体讨论的其实不是技术，而是追求利益与暴富的伎俩。在这个群体中，很多人原本是受害者，却因为利益的驱使变成了网络不法分子的帮凶，甚至一些人认为这是一个迅速获利的生财之道。

同时，互联网的普及也为这类情况提供了“温床”，随便搜索一下就能看到众多如何制作木马的文档甚至详细教程，这令一些曾经安分守己但又酷爱“钻研”的用户迅速成长成为了“黑客”，并且在利益面前选择了妥协。由于国内出现的手机锁屏软件基本都是合法的开发工具AIDE，并且只需要在手机操作即可完成开发流程，因此传播和制作勒索软件的不仅仅是黑客，同时还增加了不少“软件开发爱好者”。不仅在国内，国外情况也是如此，今年8月份，美国一名自称“造雨人”的黑客就在黑客论坛上以39美元公开出售勒索软件。显然，无论国内还是国外，勒索软件的流行和泛滥与庞大的利益链条紧密相连。顶级黑客是勒索软件的开发者与传播者，次级的黑客通常是改动者与二次、三次传播者，而受害者端分为三类，一类是拒绝付款；一类是付款了事；还有一类是付款后因为利益诱惑成为了黑客的忠实“门徒”。第三类人不但在扩大“利益链”顶层黑客的影响力，同时还为他们带来了经济利益。这类人不仅是受害者，同时也是制作和传播者，并且如同传销般发展下线，无限增加勒索软件的传播范围。另外，黑客培训也成为了利益链重要的一个分支，初学者很快就能够掌握要领并且迅速获利，这也让更多的人加入了这个链条，甚至培训“菜鸟”入门也成为了不错的生意。根据360《Android勒索软件研究报告》显示，2015年全年国内超过11.5万部用户手机被感染，2016年第一季度国内接近3万部用户手机被感染。按照每个勒索软件解锁费用30元计算，2015年国内Android平台勒索类恶意软件产业链年收益达到345万元，2016年第一季度接近90万。国内Android平台勒索类恶意软件历史累计感染手机34万部，整个产业链收益超过了千万元。

法律有据 制裁有时很无奈

勒索软件与现实中勒索诈骗不同，在互联网上敲诈钱财更具备隐蔽性和便捷性，不但在技术上令企业和个人用户难以防范，同时在法律层面上也很难界定其危害性。

对此，政法大学戴士剑教授表示敲诈勒索罪是指以非法占有为目的，对被害人使用威胁或要挟的方法，强行索要公私财物的行为。《中华人民共和国刑法》第二百七十四条 敲诈勒索公私财物，数额较大或者多次敲诈勒索的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑，并处罚金。

敲诈勒索罪侵犯的客体是复杂客体，不仅侵犯公私财物的所有权，还危及他人的人身权利或者其他权益。这也是本罪与盗窃罪、诈骗罪不同的显著特点之一。

其在客观方面表现为行为人采用威胁、要挟、恫吓等手段，迫使被害人交出财物的行为。威胁，是指以恶害相告迫使被害人处分财产，即如果不按照行为人的要求处分财产，就会遭受恶害。威胁内容的种类没有限制，包括对被害人及其亲属的生命、身体自由、名誉等进行威胁，威胁行为只要足以使他人产生恐惧心理即可，不要求现实上使被害人产生了恐惧心理。威胁的内容是将由行为人自己实现，还是将由他人实现在所不问，威胁内容的实现也不要求自身

是违法的，例如，行为人知道他人的犯罪事实，向司法机关告发是合法的，但行为人以向司法机关告发进行威胁索取财物的，也成立敲诈勒索罪。威胁的方法没有限制，既可能是明示的，也可能是暗示的；既可以使用语言文字，也可以使用动作手势；既可以直接通告被害人，也可以通过第三者通告被害人。威胁的结果，是使被害人产生恐惧心理，然后为了保护自己更大的利益而处分自己的数额较大的财产，进而行为人取得财产。被害人处分财产，并不限于被害人直接交付财产，也可以是因为恐惧而默许行为人取得财产，还可以是与被害人有特别关系的第三者基于被害人的财产处分意思交付财产。行为人敲诈勒索数额较小的公私财物的，不以犯罪论处。

敲诈勒索的行为只有数额较大或者多次敲诈勒索时，才构成犯罪。数额巨大或者有其他严重情节，是本罪的加重情节，所谓情节严重，主要是指：敲诈勒索罪的惯犯；敲诈勒索罪的连续犯；对他人的犯罪事实知情不举并乘机进行敲诈勒索的；乘人之危进行敲诈勒索的；冒充国家工作人员敲诈勒索的；敲诈勒索公私财物数额巨大的；敲诈勒索手段特别恶劣，造成被害人精神失常、自杀或其他严重后果的；等等。

所谓要挟方法，通常是指抓住被害人的某些把柄或者制造某种迫使其交付财物的借口，如以揭发贪污、盗窃等违法犯罪事实或生活作风腐败等相要挟。一般来说，威胁、要挟内容的实现不具有当场、当时性。但行为人取得财物可以是当场、当时，也可以是在限定的时间、地点。敲诈勒索公私财物还必须是数额较大或者多次敲诈勒索，才能构成犯罪。敲诈勒索罪量刑标准：第一条 敲诈勒索公私财物价值二千元至五千元以上、三万元至十万元以上、三十万元至五十万元以上的，应当分别认定为刑法第二百七十四条规定的“数额较大”、“数额巨大”、“数额特别巨大”。各省、自治区、直辖市高级人民法院、人民检察院可以根据本地区经济发展状况和社会治安状况，在前款规定的数额幅度内，共同研究确定本地区执行的具体数额标准，报最高人民法院、最高人民检察院批准。敲诈勒索罪主体为一般主体。凡达到法定刑事责任年龄且具有刑事责任能力的自然人均能构成本罪。

从以上分析就可以看出，网络上的利用软件进行勒索与现实中的敲诈勒索在法律上性质是完全相同的，可以直接适用《刑法》第274条。包括新近出现的通过加微信好友，然后一步步设骗要求裸聊，再通过以散布裸聊视频、照片为威胁进行勒索，也都是同样地性质。如果仅仅以通过网络技术手段进行勒索为前提，那么2015年01月26，国家网信办公布的“网络敲诈和有偿删帖”十大典型案例中，涉及到的网络敲诈勒索案件就有4起，另外6起是有偿删帖案件。如果单独以勒索软件为对象，则目前尚未见到具体案例，因为勒索软件都是走隐藏渠道，打击难度非常大。

后话：技术也有善恶之分

曾经人们认为技术是纯洁的，只是被坏人利用了，甚至有些人一直在争论技术无罪论。但现在我们应该清楚的认识到，技术是人掌握的，人的善恶决定了技术的黑白，所谓技术无罪是非常荒谬的。无论是精通技术的黑客还是不懂

技术的软件操作者，只要利用勒索软件的那一刻，信仰、信用、道义就已经荡然无存。

一些个人和企业用户认为支付“赎金”就是可以相安无事，黑客虽然可恨但还是讲信用的，这显然是一种自我安慰的鸵鸟心态。例如上文提到的臭名昭著的“Ranscam”，这种恶意软件一旦入侵用户电脑，对用户文档进行加密的同时直接删除用户的文档，而不明真相的用户付款后才发现自己的电脑数据早已被破坏。又比如美国堪萨斯心脏医院曾经遭到过黑客勒索软件入侵，他们按要求支付了“赎金”，换来的却是部分的恢复文件，网络不法分子则提出了更高的“赎金”要求，否则就不给恢复全部文件。还有更为低劣的，网络不法分子善于抓住人们的心理弱点，例如他们喜欢入侵色情网站并注入恶意链接，当用户点击了这些恶意链接进入非法网站时，黑客就有开始施展勒索手段。上文提到的17岁少年约瑟夫·爱德华兹自杀行为就是此类典型事件。

从今年开始，勒索软件将“阵地”从PC端转移到移动端，安卓系统已不用说，曾经号称非常安全的Mac OS X系统也遭到了入侵，这对于防御与治理勒索软件无疑增加了非常大的难度。并且有迹象表明，物联网将是下一个勒索软件横行的重灾区。未来，随着移动设备和移动服务功能的不断增加，网络犯罪分子必定会不断利用移动勒索软件大肆敛财。尽管世界各地执法机构已经对黑客组织和勒索软件进行了严厉打击，但是勒索软件的蔓延至今没有停止的迹象，企业和个人用户依然不断遭到网络不法分子的勒索与攻击。结合国内，虽然目前还没有出现非常重大的勒索软件案例，但是经过本刊记者调查了几名用户受害案例发现，勒索软件进入中国一段时间后逐渐本土化，经过国内网络不法分子的操控，逐渐向社交网络、软件市场等领域渗透，与用Word文件攻击相比，APP游戏下载、抢红包、网络投票、点赞等形式更容易被国内用户所接受，且隐蔽性更强。由于赎金普遍偏低，所以受害者多数选择默认支付，一定程度上助长了网络不法分子的贪欲与气焰。“表面风平浪静，底下暗潮汹涌”形容当下的形势最合适不过。通常我们认为只要通过政府相关管理部门、业内专家、安全企业等社会各界团体展开合作，从法律、技术、制度等层面进行建议与实际措施就能很好的遏制黑客与黑产的增长势头，但我们要清醒地认识到这一切都是辅助条件，具体根治还需要个人与企业自身的“修炼”，这些在上文已经说明就不过多赘述了。

最后，引用春秋•左丘明《左传•襄公十一年》的一句话：“居安思危，思则有备，有备无患，敢以此规。”

附录一：参考资料

[1] 国家互联网络应急中心（CNCERT）：2015年我国互联网网络安全态势综述（报告）

[2] 国家互联网络信息中心（CNNIC）：2016年8月第38次《中国互联网络发展状况统计报告》

[3] 赛门铁克2016年网站安全威胁报告

[4] 思科2016年度安全报告

[5] 360《Android勒索软件研究报告》

[6] 亚信安全2016年第一季度安全威胁报告

[7] 印度Quick Heal2016年第二季度安全报告

[8] 卡巴斯基官网安全博客：勒索软件肆虐互联网