Josh+Fruhlinger+杨勇

勒索软件的时代始于2013年的CryptoLocker。几年来，攻击者变得越来越老练而且有商业头脑。本文介绍了一些您目前应该了解的相关内容。

勒索软件是一种恶意软件，一旦您的计算机被它控制，就会危及您的安全，通常会阻止您访问自己的数据。攻击者要求受害者支付赎金，承诺（不一定是真的）在付款后就可以恢复对数据的访问。

用户能看到怎样支付赎金以获得解密密钥的说明。这些费用从几百美元到几千美元不等，以比特币的形式支付给网络罪犯份子。

勒索软件是怎样工作的

勒索软件有很多手段来访问计算机。最常见的一种输送系统是网络钓鱼垃圾邮件——发送给受害者的电子邮件中含有附件，被伪装成他们可以信任的文件。一旦下载和打开，它们就能控制受害者的计算机，特别是如果有内置的社会工程工具，会欺骗用户以管理员的身份进行访问。还有一些更具攻击性的勒索软件，例如NotPetya，直接利用安全漏洞来感染计算机，并不需要欺骗用户。

一旦恶意软件控制了受害者的计算机，会干很多坏事，但到目前为止，最常见的行为是加密部分或者全部用户文件。如果您想了解其技术细节，Infosec研究所深入研究了勒索软件加密文件所采用的几种方式，可以供您参考。但最重要的是，在这个过程的最后，如果得不到只有攻击者才知道的数学密钥，这些文件就无法解密。用户会看到一条消息，说他们的文件现在无法访问了，受害者只有把不可追踪的比特币支付给攻击者，才能解密文件。

在某些形式的恶意软件中，攻击者会声称自己是执法机构，由于在受害者的计算机中发现了色情或者盗版软件而关闭其计算机，并要求支付“罚款”，这也许是为了让受害者不要向当局报告攻击事件。但大多数攻击都不太在乎这种伪装。还有变种，被称为“leakware”或者“doxware”，攻击者威胁要公开受害者硬盘中的敏感数据——除非支付赎金。但是由于查找和提取这些信息对于攻击者来说是非常棘手的问题，因此，加密勒索软件是迄今为止最常见的类型。

勒索软件的目标是谁？

攻击者可以通过多种不同的方式来选择勒索软件所针对的目标。有时，就是凭运气：例如，攻击者可能瞄准大学，因为大学的安全部门规模不大，有不同的用户群，他们共享很多文件，因此，很容易越过他们的防御系统。

另一方面，有一些目标是很诱人的，因为他们看起来更容易很快的支付赎金。例如，政府机构或者医疗机构通常需要随时查阅他们的文件。有敏感数据的律师事务所和其他组织可能会愿意支付赎金，为的是不被媒体曝光——这些组织对漏洞攻击特别敏感。

但不要觉得如果您不在这些类别里，自己就是安全的：正如我们所指出的那样，一些勒索软件在互联网上不加选择地自动传播。

怎样防止勒索软件

您可以采取一些防御步驟来防止被勒索软件感染。一般而言，这些步骤当然是非常好的安全措施，所以遵循这些措施可以提高您抵御各种攻击的能力：

● 及时给您的操作系统打上补丁，并且是最新的补丁，尽可能减少可被利用的漏洞。

● 不要随意安装软件，也不要给它管理权限，除非您确切地知道它是什么，它要做什么。

● 安装防病毒软件，当勒索软件等恶意程序要访问计算机时，可以检测到这些程序，安装白名单软件，从而防止未经授权的应用程序抢先执行。

● 当然，经常、自动地备份您的文件！这不能阻止恶意软件的攻击，但这会尽可能的减少损失。

您应该支付赎金吗？

理论上，大多数执法机构都要求您不要给勒索软件攻击者付费，因为这样做的逻辑只会鼓励黑客去制造更多的勒索软件。也就是说，很多发现自己被恶意软件攻击了的企业很快就不再想所谓“更好的办法”，而是开始进行成本效益分析，针对赎金价格与加密数据价值进行权衡利弊。据Trend Micro的研究，66%的公司说他们的原则是永远不会支付赎金，实际上65%的公司在被勒索时确实会支付赎金。

勒索软件攻击者将价格保持在相对较低的水平——通常在700美元到1，300美元之间，很多公司都负担得起，短时间内就会支付。一些特别复杂的恶意软件会探测受感染的计算机所在国家，按照该国经济来调整赎金，对富裕国家的公司勒索的更多一些，对贫困地区则少一些。

为了尽快得手，常常会有折扣，目的是让受害者尽快付钱，以免夜长梦多。一般来说，价格点是设定的，足够高到值得去犯罪，但也足够低，往往比受害者恢复他们的计算机或者重建丢失的数据所付出的费用便宜一些。有鉴于此，一些公司在其安全计划中设立了备付赎金：例如，一些并没有涉及过加密货币的英国大公司专门为赎金储备了一些比特币。

在这里还要注意一些棘手的问题，牢记和您打交道的人是罪犯。首先，有的看上去像勒索软件，但实际并没有加密您的数据；在给任何人付费之前，确定您面对的不是所谓的“恐慌软件”。其次，即使付钱给攻击者也不能保证您能把文件拿回来。有时候罪犯份子就是拿钱跑路，恶意软件甚至都没有内置解密功能。但是，任何这样的恶意软件虽然很快会名声大噪，但不产生收益，所以在大多数情况下——Arbor网络的首席安全技术专家Gary Sockrider估计，大约65到70%的时间，骗子会放弃，您的数据也就恢复了。

勒索软件的例子

虽然勒索软件90年代就在技术上可行了，但它只是在过去5年左右才真正开始发威，主要原因是出现了比特币这种不可追踪的支付方式。一些最恶劣的勒索软件：

● CryptoLocker，2013年的一次攻击，揭开了现代勒索软件时代，感染了高达50万台机器。

● TeslaCrypt，针对游戏文件，在其恐怖横行的那段时间里，还在不断改进。

● SimpleLocker，第一次针对移动设备而广泛传播的勒索软件攻击。

● WannaCry，使用EternalBlue自主地在计算机之间传播，而EternalBlue是由NSA开发的一个漏洞，后来被黑客窃取了。

● NotPetya，也利用了EternalBlue，可能是俄罗斯针对乌克兰发起的网络攻击的一部分。

● Locky，2016年开始蔓延，“攻击方式类似于臭名昭著的银行软件Dridex。”

这个清单会越来越长。就在本文完稿之际，被称为BadRabbit的新一波勒索软件席卷了东欧和亚洲的媒体公司。请遵循这里列出的小贴士来保护您自己——这非常重要。

Josh Fruhlinger是一名作家和编辑，他住在洛杉矶。