花197萬贖金買了解鎖密鑰，原來這個病毒我見過......

寫個病毒敲個竹杠這種事兒在安全圈似乎已經不是一件新鮮事兒了。

一般來說，被勒索有三種情況，上了不該上的網站，點了不該點的按鈕，下了不該下的文件。然后手一滑， boom  。。。文件都給你改格式加密了！這個時候病毒會告訴你文件被鎖住了，如果想解鎖，那就得乖乖交錢。

不過，這次這個竹杠敲得屬實有點狠。網傳有一家公司因勒索病毒入侵，斥 197 萬巨資買了解鎖密鑰，才解決了危機。

【 圖片來源：黑白之道  所有者：黑白之道 】

有安全從業(yè)人員告訴雷鋒網，這個病毒很可能是之前已經出現的病毒，為了確定真假，雷鋒網采訪了深信服安全專家歐和一探究竟。據歐和介紹，這個病毒就是此前的 Sodinokibi 勒索病毒。

在進入正題前，先給大家科普下 Sodinokibi 勒索病毒：它繼承了 GandCrab 的代碼結構，其特點是使用隨機加密后綴，并且加密后會修改主機桌面背景為深藍色，最早出現于今年 4 月底，早期使用 Web 服務相關漏洞傳播，后來發(fā)現其會偽裝成稅務單位、司法機構，使用釣魚欺詐郵件來傳播，但誰還沒個手滑的時候呢，因此不少企業(yè)深受其害。

那么，他們是如何入侵的呢？

一般來說，該病毒在企業(yè)網絡找到突破口后，先使用掃描爆破等方式，獲取到內網中一臺較為薄弱的主機權限，再上傳黑客工具包對內網進行掃描爆破或密碼抓取，選擇重要的服務器和 PC 進行加密，然后嘗試內容橫向移動，加密整個企業(yè)內網盡可能多的主機或服務器，可謂一臺失陷，全網遭殃。

上一秒文件還能打開，下一秒，對不起，花錢才能訪問哦。要說套路深，勒索病毒制造者才是第一。

 

但萬萬沒想到，這個勒索病毒背后還有個團伙，那么，他們又是怎么合作的呢？

歐和向雷鋒網介紹道， Sodinokibi 勒索病毒的爆發(fā)主要得益于其形成的產業(yè)化規(guī)模，即分布式團伙作案，每個人各司其職，按勞分配，多勞多得。首先， Sodinokibi 勒索病毒運行成功后，會在主機上留下如下勒索信息，形如“隨機后綴- readme.txt ”的文檔：

為了讓你更容易找到他付費，他們還“貼心”的為你留了線索.......

一個是暗網聊天網頁，一個是普通聊天網頁，受害企業(yè)可以根據自身情況任意聯系（訪問）其中一個鏈接。訪問該鏈接后，可以通過網頁進行聊天，設計十分專業(yè)，黑客可以與受害企業(yè)就贖金問題進行協商。

而當黑客有錢了，他們還給自己找了線上保鏢，專門負責談判，24 小時在線。當然，線上客服沒有最終定價權，最終贖金價格由上級老板拍板，即Sodinokibi勒索病毒的組織運營者。

而 Sodinokibi 勒索病毒的要價普遍偏高，多數是在 3 到 6 個比特幣，所以其主要攻擊對象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務網絡，因此很多受害企業(yè)迫于無奈交了不少贖金。

并且由于其為產業(yè)化運作，故每個參與者都有相應的分成。當受害企業(yè)向黑客錢包轉入比特幣的時候，此錢包會分批次轉入其它成員的錢包。

例如，某次攻擊成功后，將贖金分 2 批轉給了 4 個錢包，分別是勒索病毒作者錢包、集成平臺提供商錢包、線上客服錢包、統籌錢包。

勒索病毒作者、集成平臺提供商屬于薄利多銷型，每一筆交易都有提成，所以單次提成比例雖低，但總數是非常客觀的；線上客服按勞分配，說服一個客戶，就有一小筆提成，當然大頭不在他們，因為他們可替代性比較強，技術難度也不大。 

每次攻擊所得的贖金，大頭由統籌錢包分配給了攻擊者和組織運營者，所以單次成功后的貢獻比較大，而任何個人和團隊都能參與到不同客戶的攻擊活動中來，類似銷售團隊，每成一單，提成都比較可觀。最后的大頭，當然給了組織運營者，其負責拉通各個環(huán)節(jié)和資源，保障平臺和團伙的正常運作。

這簡直就是一個黑吃黑且絕對不虧的買賣啊，但雷鋒網編輯還是很好奇，有沒有可能通過安全技術不花贖金解決問題？

“大概率是不能的，大多數情況下，黑客都會采用 RSA+AES ，對稱與非對稱復合加密的方式，單純破解難度極大，甚至是不可能的。”深信服安全專家H說。

那么，作為受害者我們只能坐以待斃，乖乖掏錢嗎？

當然不可以，所以為今之計企業(yè)只有兩個選擇，一是安全加固，二是花錢安全加固。

怎么加固呢？

深信服安全專家歐和談到企業(yè)自身應該如何做時，主要方式有：

a、及時給電腦打補丁，修復漏洞。

b、對重要的數據文件定期進行非本地備份。

c、不要點擊來源不明的郵件附件，不從不明網站下載軟件。

d、盡量關閉不必要的文件共享權限。

e、更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

f、如果業(yè)務上無需使用 RDP 的，建議關閉 RDP 。

至于花錢加固，就不用了雷鋒網多說了吧，比如雷鋒網之前了解過的深信服勒索病毒防護方案，能夠基于勒索病毒的感染傳播過程進行分析和防護，并聯動云端進行新型威脅的檢測，實現主動防御。

接下來說的話，相信你聽無數安全從業(yè)人員都說過，但依舊值得重復一遍：

別上不該上的網站，別點不該點的鏈接，別下不該下的東西。

大多數上網需求，都可以在正規(guī)網站上搞定，如果覺得自己安全水平不夠，就別瞎逛。

否則，只能乖乖交贖金。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。