你有沒有體驗過一覺醒來,電腦裡的所有重要資料全變成加密檔案,必須要交一萬多塊的贖金才能解密這些文檔?
嗯,如果你不看這篇文章,可能就就機會體驗了。
就在最近幾天,一直在國外猖獗的勒索木馬在中國突然大規模爆發。
很多普通人早晨打開電腦,發現所有的檔案都被黑客加密,而且明目張膽得索要比特币贖金,折合人民币一萬多元。
根據受害者向雷鋒網爆料,本來一路心情愉快地去上班,開機卻遭遇突發異常狀況:
昨天下班前電腦還好好的,今天突然開機之後電腦突然很卡,我并沒有在意。結果等了一會,突然浏覽器自動打開,彈出了一個勒索界面,告訴我所有的檔案都已經被加密了,隻有點選連結用比特币傳遞贖金之後才能拿到解密的密鑰。
【檔案被加密之後的情形】
如圖所示,檔案均被加密成以“.odin”擴充名結尾的檔案,每個檔案夾都内附一個 html 網頁,打開之後,同樣出現勒索網頁:
【彈出的勒索網頁,要求受害者支付2.5個比特币】
據受害者稱,要想解密文檔,被勒索的金額是2.5個比特币,今日1比特币的匯率是604.41美元,折合人民币4060.2451元,也就是說,勒索金額上萬人民币。
據雷鋒網宅客頻道(公衆号 id: letshome)了解到,多個受害者均在公司就任與财務相關職位,或者是人事崗位,電腦中均儲存了大量公司機密及重要資訊,這些資訊遭受攻擊加密後,如果不解密将損失慘重。
某個受害人表示,老闆認為是他的原因才導緻了這些重要資料被加密,是以讓他自己來解決這些問題。
贖金要一萬多,如果老闆逼我,我就準備辭職了。
他無奈地表示。
雷鋒網宅客頻道第一時間聯系了 360 和騰訊的安全專家,挖出了這個勒索木馬和這個木馬家族的諸多資訊。
【網絡上還流傳一些中文版本的勒索信】
360反病毒工程師王亮告訴雷鋒網,這個“odin”木馬是最近非常流行的密鎖敲詐木馬,它屬于著名的“locky”木馬家族的分支變種。
我們已經捕獲了這個木馬的80幾個變種了。這個家族的敲詐木馬從15年中期就有了,最近從國慶之前又開始泛濫。
那麼這個木馬的背後究竟是誰呢?
王亮說:
在我們收集到的木馬變種裡,收款的比特币賬戶各不相同,勒索的金額也不同,大概是1-3個比特币左右,換算為人民币的話,平均在7000-8000元左右。 但是由于勒索團夥要求用比特币通過暗網支付,是以很難查到背後的團夥究竟是誰,來自哪個國家。就連這些收款比特币賬戶之間有怎樣的聯系,都很難調查。
不過,根據勒索信的内容來看,由于是純英文,是以王亮基本可以判定這些木馬的作者和敲詐團夥來自國外。
王亮告訴雷鋒網一個悲傷的消息:到目前為止,這個家族的加密手段還沒有人能夠破解。
他詳述了這個家族勒索木馬的加密方法:
先使用 aes-128 加密算法把電腦上的重要檔案加密,得到一個密鑰; 再使用 rsa-2048 的加密算法把這個密鑰進行非對稱加密。
這裡的“128”和“2048”的數字是什麼意思呢?
這代表了密鑰長度,128 就意味着密鑰長度是128個位元組,是以這個密鑰的可能性有“2的128次方”之多。這樣的加密有多強呢?王亮說:
如果想使用計算機暴力破解,根據現在的計算能力,幾十年都算不出來。如果能算出來,也僅僅是解開了一個檔案。
當然,從理論上來說,你也可以嘗試破解被 rsa-2048 算法加密的總密鑰,至于破解所需要的時間嘛。。。希望破解成功的時候太陽系還存在。
那麼,所有的勒索軟體都無解嗎?也并不是這樣。
王亮告訴雷鋒網(公衆号:雷鋒網):
在2014年勒索軟體剛剛興起的時候,有些勒索木馬的加密方法不夠規範,被安全人員找到了漏洞,可以繞過前面的防護手段,拿到密鑰。還有一些團夥被追蹤到了,主動在自己的網站上把私鑰公開了,這時安全人員也可以根據私鑰制作出解密工具。
對于這類最新的勒索木馬,雖然很殘酷,但是安全專家承認,一旦中招(加密已經完成)之後,最經濟的方法其實就是支付贖金。
上圖就是某受害者繳納一萬多元贖金之後,勒索者提供的密鑰下載下傳網址,其中用紅色的字提醒:從今以後記得備份你的資料。被勒索者提醒要備份資料,就是這樣的體驗。
在下載下傳密鑰之後,就到了讓人“欣喜”的恢複資料過程:
【電腦在解密本來就屬于機主的資料】
這類勒索木馬會選擇什麼檔案進行加密呢?王亮告訴雷鋒網:
一般黑客會對“有價值的檔案”進行加密,包括 word、excel、ppt、文檔、圖檔、壓縮包、資料庫、源碼等等。 有些勒索木馬還會删除系統自帶的備份,就是為了防止使用者通過系統恢複的方式找回珍貴的文檔。
根據受害人的描述,他們被加密的文檔正是這些客戶資料和合同文檔之類的珍貴資料。
【用暗網支付比特币流程複雜,在淘寶上有人專門幫助受害者支付贖金】
病毒木馬不可怕,但可怕的是,我們根本不知道為什麼被感染。
對于這幾位受害者來說,他們根本沒有感覺到自己做了不恰當的操作,就直接被木馬加密。這些木馬就像幽靈一樣突然降臨,确實讓人後背發涼。
如此說來,看這篇文章的所有人,都有可能 突然成為下一個受害者。
騰訊電腦管家進階工程師徐超告訴雷鋒網,其實這類檔案并不是憑空降臨,而是有一些特定的傳播方式:
1、通過郵件傳播。這些木馬病毒被隐藏在郵件裡,需要受害者打開附件裡的檔案并執行才能觸發。這類檔案往往看上去是圖檔或者表格,但實際是wsf或js格式的腳本。點選之後并沒有反應,實際上背景已經開始默默下載下傳勒索木馬。 2、漏洞挂馬。分為兩種情況 a、網頁挂馬:木馬傳播者會把腳本挂在網頁上,使用者一旦通路這個網頁,就會中招。這類網站一般都是人們“喜聞樂見”的網站,例如羞羞的網站。 b、軟體挂馬:使用者在非官方管道下載下傳了帶有木馬的軟體,在開機後,不做任何操作,都有可能中毒。 3、通過u盤傳播。這種類型已經不常見了。
【受害者通路的挂馬網站:51credit.com】
通過一下午的排查,360反病毒工程師王亮已經确定了一位受害者的感染途徑,他通路了一個信用卡交流網站:我愛卡,這個小有名氣的網站論壇的某個廣告位被黑客挂了木馬,而受害者加載頁面之後,整個木馬的下載下傳過程都是靜默的。
顯然,勒索者的觸角已經非常深入了。
【打開挂馬的頁面之後,木馬自動下載下傳執行/圖檔由 360 提供】
王亮說,這類木馬一開始國外傳播,後來才滲透進中國。是以最先中招的使一些有國際業務的中國公司,例如外貿企業。
顯然,黑客嘗到了甜頭,因為有中國人願意為這些資料支付贖金。是以在此之後就有一些專門針對中國企業群組織進行攻擊,後來感染的對象擴大到了教育機構或其他大型組織。
騰訊電腦管家進階工程徐超告訴雷鋒網,這種木馬的危害是一次性的。一旦病毒發作,隻會對全盤進行一次加密動作,之後再建立檔案,都不會被加密。而且這種木馬一般是沒有傳染性的。
然而說了這麼多,一旦加密完成,即使是頂級安全專家也回天乏術。是以所有的“逃生機會”都在防患上。
除了不點選可疑網頁和郵件、不下載下傳不明軟體以外,還有一個非常重要的就是,安裝防護軟體。
雖然很多童鞋可以細數“鵝廠”和“數字廠”管家衛士的種種不盡如人意的地方。但是關鍵時刻,他們還是會保護你的安全,順便給你省3個比特币之類的。
徐超告訴雷鋒網,騰訊電腦管家針對這些勒索木馬進行了防禦。可以監控郵箱和網頁,對軟體挂馬也有監控感覺能力。目前掌握了60多個存在漏洞的軟體,并針對性的做了雲防禦加強。 而王亮告訴雷鋒網,360安全衛士對勒索木馬也有針對性的防禦政策,不僅對于流行的木馬實作清除,還可以對非法的大規模檔案改動進行攔截。另外,王亮還表示,360有先行賠付的業務。通俗地來說,如果你使用了最新的360安全衛士,但依然中招,他們會對受害者進行最高3個比特币的賠付。
這對于那個因為付不起贖金而要辭職的童鞋來說應該是個好消息。然而,他告訴雷鋒網,電腦被加密的時候,他是裸奔的。。。
是以,你問我怎樣才能防止一覺醒來就損失一萬塊錢這樣的悲劇發生?
雷鋒網的建議是:
1、備份你的資料。
2、不要裸奔。
3、把你的防護軟體和系統都升到最進階。