1
你有沒有體驗過一覺醒來,電腦里的所有重要數據全變成加密文件,必須要交一萬多塊的贖金才能解密這些文檔?
嗯,如果你不看這篇文章,可能就就機會體驗了。
就在最近幾天,一直在國外猖獗的勒索木馬在中國突然大規模爆發。
很多普通人早晨打開電腦,發現所有的文件都被黑客加密,而且明目張膽得索要比特幣贖金,折合人民幣一萬多元。
根據受害者向雷鋒網爆料,本來一路心情愉快地去上班,開機卻遭遇突發異常狀況:
昨天下班前電腦還好好的,今天突然開機之后電腦突然很卡,我并沒有在意。結果等了一會,突然瀏覽器自動打開,彈出了一個勒索界面,告訴我所有的文件都已經被加密了,只有點擊鏈接用比特幣交付贖金之后才能拿到解密的密鑰。
【文件被加密之后的情形】
如圖所示,文件均被加密成以“.ODIN”擴展名結尾的文件,每個文件夾都內附一個 html 網頁,打開之后,同樣出現勒索網頁:
【彈出的勒索網頁,要求受害者支付2.5個比特幣】
據受害者稱,要想解密文檔,被勒索的金額是2.5個比特幣,今日1比特幣的匯率是604.41美元,折合人民幣4060.2451元,也就是說,勒索金額上萬人民幣。
據雷鋒網宅客頻道(公眾號 ID: letshome)了解到,多個受害者均在公司就任與財務相關職位,或者是人事崗位,電腦中均保存了大量公司機密及重要信息,這些信息遭受攻擊加密后,如果不解密將損失慘重。
某個受害人表示,老板認為是他的原因才導致了這些重要資料被加密,所以讓他自己來解決這些問題。
贖金要一萬多,如果老板逼我,我就準備辭職了。
他無奈地表示。
雷鋒網宅客頻道第一時間聯系了 360 和騰訊的安全專家,挖出了這個勒索木馬和這個木馬家族的諸多信息。
【網絡上還流傳一些中文版本的勒索信】
360反病毒工程師王亮告訴雷鋒網,這個“ODIN”木馬是最近非常流行的密鎖敲詐木馬,它屬于著名的“Locky”木馬家族的分支變種。
我們已經捕獲了這個木馬的80幾個變種了。這個家族的敲詐木馬從15年中期就有了,最近從國慶之前又開始泛濫。
那么這個木馬的背后究竟是誰呢?
王亮說:
在我們收集到的木馬變種里,收款的比特幣賬戶各不相同,勒索的金額也不同,大概是1-3個比特幣左右,換算為人民幣的話,平均在7000-8000元左右。
但是由于勒索團伙要求用比特幣通過暗網支付,所以很難查到背后的團伙究竟是誰,來自哪個國家。就連這些收款比特幣賬戶之間有怎樣的聯系,都很難調查。
不過,根據勒索信的內容來看,由于是純英文,所以王亮基本可以判定這些木馬的作者和敲詐團伙來自國外。
王亮告訴雷鋒網一個悲傷的消息:到目前為止,這個家族的加密手段還沒有人能夠破解。
他詳述了這個家族勒索木馬的加密方法:
先使用 AES-128 加密算法把電腦上的重要文件加密,得到一個密鑰;
再使用 RSA-2048 的加密算法把這個密鑰進行非對稱加密。
這里的“128”和“2048”的數字是什么意思呢?
這代表了密鑰長度,128 就意味著密鑰長度是128個字節,所以這個密鑰的可能性有“2的128次方”之多。這樣的加密有多強呢?王亮說:
如果想使用計算機暴力破解,根據現在的計算能力,幾十年都算不出來。如果能算出來,也僅僅是解開了一個文件。
當然,從理論上來說,你也可以嘗試破解被 RSA-2048 算法加密的總密鑰,至于破解所需要的時間嘛。。。希望破解成功的時候太陽系還存在。
那么,所有的勒索軟件都無解嗎?也并不是這樣。
王亮告訴雷鋒網:
在2014年勒索軟件剛剛興起的時候,有些勒索木馬的加密方法不夠規范,被安全人員找到了漏洞,可以繞過前面的防護手段,拿到密鑰。還有一些團伙被追蹤到了,主動在自己的網站上把私鑰公開了,這時安全人員也可以根據私鑰制作出解密工具。
對于這類最新的勒索木馬,雖然很殘酷,但是安全專家承認,一旦中招(加密已經完成)之后,最經濟的方法其實就是支付贖金。
上圖就是某受害者繳納一萬多元贖金之后,勒索者提供的密鑰下載網址,其中用紅色的字提醒:從今以后記得備份你的數據。被勒索者提醒要備份數據,就是這樣的體驗。
在下載密鑰之后,就到了讓人“欣喜”的恢復數據過程:
【電腦在解密本來就屬于機主的數據】
這類勒索木馬會選擇什么文件進行加密呢?王亮告訴雷鋒網:
一般黑客會對“有價值的文件”進行加密,包括 Word、Excel、PPT、文檔、圖片、壓縮包、數據庫、源碼等等。
有些勒索木馬還會刪除系統自帶的備份,就是為了防止用戶通過系統恢復的方式找回珍貴的文檔。
根據受害人的描述,他們被加密的文檔正是這些客戶資料和合同文檔之類的珍貴數據。
【用暗網支付比特幣流程復雜,在淘寶上有人專門幫助受害者支付贖金】
病毒木馬不可怕,但可怕的是,我們根本不知道為什么被感染。
對于這幾位受害者來說,他們根本沒有感覺到自己做了不恰當的操作,就直接被木馬加密。這些木馬就像幽靈一樣突然降臨,確實讓人后背發涼。
如此說來,看這篇文章的所有人,都有可能 突然成為下一個受害者。
騰訊電腦管家高級工程師徐超告訴雷鋒網,其實這類文件并不是憑空降臨,而是有一些特定的傳播方式:
1、通過郵件傳播。這些木馬病毒被隱藏在郵件里,需要受害者打開附件里的文件并執行才能觸發。這類文件往往看上去是圖片或者表格,但實際是wsf或js格式的腳本。點擊之后并沒有反應,實際上后臺已經開始默默下載勒索木馬。
2、漏洞掛馬。分為兩種情況
a、網頁掛馬:木馬傳播者會把腳本掛在網頁上,用戶一旦訪問這個網頁,就會中招。這類網站一般都是人們“喜聞樂見”的網站,例如羞羞的網站。
b、軟件掛馬:用戶在非官方渠道下載了帶有木馬的軟件,在開機后,不做任何操作,都有可能中毒。
3、通過U盤傳播。這種類型已經不常見了。
【受害者訪問的掛馬網站:51credit.com】
通過一下午的排查,360反病毒工程師王亮已經確定了一位受害者的感染途徑,他訪問了一個信用卡交流網站:我愛卡,這個小有名氣的網站論壇的某個廣告位被黑客掛了木馬,而受害者加載頁面之后,整個木馬的下載過程都是靜默的。
顯然,勒索者的觸角已經非常深入了。
【打開掛馬的頁面之后,木馬自動下載執行/圖片由 360 提供】
王亮說,這類木馬一開始國外傳播,后來才滲透進中國。所以最先中招的使一些有國際業務的中國公司,例如外貿企業。
顯然,黑客嘗到了甜頭,因為有中國人愿意為這些資料支付贖金。所以在此之后就有一些專門針對中國企業和組織進行攻擊,后來感染的對象擴大到了教育機構或其他大型組織。
騰訊電腦管家高級工程徐超告訴雷鋒網,這種木馬的危害是一次性的。一旦病毒發作,只會對全盤進行一次加密動作,之后再新建文件,都不會被加密。而且這種木馬一般是沒有傳染性的。
然而說了這么多,一旦加密完成,即使是頂級安全專家也回天乏術。所以所有的“逃生機會”都在防患上。
除了不點擊可疑網頁和郵件、不下載不明軟件以外,還有一個非常重要的就是,安裝防護軟件。
雖然很多童鞋可以細數“鵝廠”和“數字廠”管家衛士的種種不盡如人意的地方。但是關鍵時刻,他們還是會保護你的安全,順便給你省3個比特幣之類的。
徐超告訴雷鋒網,騰訊電腦管家針對這些勒索木馬進行了防御。可以監控郵箱和網頁,對軟件掛馬也有監控感知能力。目前掌握了60多個存在漏洞的軟件,并針對性的做了云防御加固。
而王亮告訴雷鋒網,360安全衛士對勒索木馬也有針對性的防御策略,不僅對于流行的木馬實現查殺,還可以對非法的大規模文件改動進行攔截。另外,王亮還表示,360有先行賠付的業務。通俗地來說,如果你使用了最新的360安全衛士,但依然中招,他們會對受害者進行最高3個比特幣的賠付。
這對于那個因為付不起贖金而要辭職的童鞋來說應該是個好消息。然而,他告訴雷鋒網,電腦被加密的時候,他是裸奔的。。。
所以,你問我怎樣才能防止一覺醒來就損失一萬塊錢這樣的悲劇發生?
雷鋒網的建議是:
1、備份你的數據。
2、不要裸奔。
3、把你的防護軟件和系統都升到最高級。
附注來自51信用卡的聲明:
51信用卡官網是 https://www.u51.com,文中 http://www.51credit.com并非51信用卡官網。
特此更正。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
