勒索軟件：一場卑劣的金錢游戲

商小闕 ，柳 斌，嚴威川

勒索軟件：一場卑劣的金錢游戲

商小闕 ，柳 斌，嚴威川

編者按：勒索軟件在初級階段使用的加密方式很簡單，但隨著技術的進步，加密技術也越來越高明。防御和攻擊如同進入了永無休止的“貓鼠游戲”，研究人員一邊破解加密，攻擊者則設計出更加復雜的加密形式還以顏色。而企業和用戶在一輪輪攻防轉換中成為了受害者，面對勒索軟件不得不支付金錢挽回損失，甚至有些人天真地認為網絡不法分子也有職業道德，只要收到錢款就能息事寧人。事實真的如此嗎？當然不是！大量事實證明即使付款給勒索方，結果依然得不償失。正如美國電影《華爾街2：金錢永不眠》中有一句經典臺詞：“道德危機就是當一個人拿了你的錢，可是完全不需要負責任。”我們專題所闡述的觀點就是要對黑客的勒索說“不”，并且深入探討勒索軟件泛濫的原因以及該如何最大限度降低被勒索的幾率。

2015年10月，在美國波士頓召開的網絡安全峰會上一名美國聯邦調查局（FBI）助理探員指出，通過對FBI波士頓辦公室的審查，他們建議公司在感染了勒索軟件之后最好支付贖金來找回重要數據。這一建議遭到了很多人的質疑，畢竟這與公眾意識相違背，因為滿足了網絡犯罪者的需求就等于變相鼓勵犯罪。但現實中勒索軟件遠遠比我們想象的可怕，之所以給出這樣的建議也是無奈之舉。

根據美國聯邦調查局（FBI）的調查，2016年至今遭受商務電子郵件入侵的企業已超過22000家，經濟損失超過30億美元以上。不僅如此，黑客們頻繁創建虛假網站,誘導用戶瀏覽；借助網站內釣魚軟件掃描用戶電腦操作系統以及瀏覽器中所含的安全漏洞，向用戶電腦內輸送勒索軟件，一旦終端或數據“中招”，為了避免更大的損失，用戶只能向黑客繳納贖金。相對于黑客們的肆無忌憚，公眾對于勒索軟件的認識更加令人擔憂。卡巴斯基對北美超過5000名用戶的調查表明，有43%的普通用戶根本不知道勒索軟件為何物。另外，15%的美國用戶和17%的加拿大用戶認為關閉電腦就能解決問題，53%的受訪者表示不愿意支付贖金。本刊編輯部也抽樣選擇了10名企業普通用戶做了調查，結果顯示1名用戶能夠說出勒索軟件的危害性；3名用戶認為安裝殺毒軟件就能解決；6名用戶表示根本不知道什么是勒索軟件。

2016年5月30日，根據新華社報道，國家計算機病毒應急處理中心通過對互聯網的監測發現，近期勒索軟件正威脅著廣大計算機用戶，甚至是企業用戶，勒索軟件已經成為惡意攻擊者使用的主要攻擊手段。勒索軟件家族變得更

加龐大，更多技術連同更多的惡意攻擊者投身于此，牟取更大的經濟利益。

“勒索”之下 全球焉有完卵

2015年1月，約瑟夫·愛德華茲的電腦被勒索軟件Reveton入侵，黑客鎖定了電腦，并聲稱因為其瀏覽了非法網站而受到當局執法部門的指控，要求繳納罰款方能解除警方調查。其結果導致這名年僅17歲患有神經發育失調孤獨癥的少年自殺身亡。

2015年4月，美國緬因州林肯郡的四個使用同一網絡的警察局以及一個治安官辦公室的電腦感染病毒，黑客把電腦中的每一個文件都上了鎖導致文件無法正常訪問和打開。警方的技術人員在嘗試破解幾天之后放棄了努力，決定向黑客支付價值300美元的比特幣贖金。

2016年1月，三家印度銀行和一家印度制藥公司的計算機系統感染了勒索軟件病毒，每臺被感染的電腦被索要1比特幣贖金（1比特幣約相當于2800人民幣）。攻擊者滲透到計算機網絡，然后利用未保護的遠程桌面端口感染了網絡中的其他計算機。而因為此次感染，被勒索的印度公司面臨數百萬美元的損失。

2016年2月，黑客使用勒索軟件攻陷了美國好萊塢醫院IT系統,并鎖定其中的文件,導致不能查看電子病歷,甚至連郵件都無法收發。黑客索要340萬美元才會提供代碼解鎖。經過一周多的斡旋,院方最終支付了1.7萬美元才拿回計算機系統控制權。

2016年2月，根據德國廣播公司Deutsche Welle的報道, 兩家德國醫院受到了勒索軟件的感染，這種軟件會鎖住文件，只有給出要求的贖金，才能解開被惡意加密的數據，而讓系統重新運行需要花費數周時間。

2016年3月，一個被研究人員命名為KeRanger的全功能勒索軟件出現在蘋果的BitTorrent客戶端軟件Transmission中。這也標志著首個蘋果勒索軟件出現。

2016年5月，據美國密歇根州媒體報道，美國某公司遭到了惡意軟件的攻擊，離線的計算機系統也受到了威脅。為了防止進一步的損害，工作人員還斷開了電力以及供水系統，甚至電話線路也受到了波及。當地警方確認這是一起勒索軟件事件，該公司已經開始申請保險賠付工作。

雖然以上都是國外案例，但互聯網是沒有任何界限之分的，覆巢之下，焉有完卵。 從2015年起，各類勒索軟件就已經在國內層出不窮，網絡攻擊目標從政府機構擴大到民眾社會生活各個方面，涉及電信、金融、能源等多個領域。國內安全企業調查顯示，在2015年9月至2016年6月期間，勒索軟件出現了爆發式增長，全球勒索軟件數量從不足100萬增長到了目前的1500萬。而在中國傳播的勒索軟件已經從2015年之前的“小打小鬧”，增長到如今的數以萬計的大舉侵襲。通過網頁鏈接（URL）檢測的勒索軟件數量從283個增長到18990個，增長超過67倍，并且還有持續蔓延的趨勢。

黑科技的黑歷史

如果將早期的勒索軟件也冠以“黑科技”，確實有點言過其實。1989年一名哈佛大學畢業生設計出了“艾滋木馬”（AIDS Trojan）病毒，被業內認為是第一款勒索軟件，其攻擊特點是

對稱加密，但很快就被解密了，最終以該名畢業生被起訴告終。自此勒索軟件似乎進入了沉寂期，直到2006年“ Archievus”的出現。這款能將系統中“我的文檔”里面的所有文件都加密的木馬病毒是第一款采用了非對稱加密的勒索軟件。這種非對稱加密技術的出現開啟了勒索軟件的“開掛史”。

360《敲詐者木馬威脅形勢分析報告》顯示，采用了非對稱加密算法的勒索軟件，其核心特點是“可防不可治”。也就是說，一旦系統或安全軟件未能對勒索軟件進行有效的防護，致使電腦感染，導致其對電腦系統中文件的不對稱加密過程完成，理論上來說，除非被攻擊者支付贖金獲取解密密碼，否則沒有任何技術手段可以將文件恢復。造成勒索軟件“可防不可治”的主要原因是加密算法在數學上的不可逆。實際上，勒索軟件通常來說也不會使用什么特殊的加密算法，而是使用國際通行各種標準加密算法對電腦文件進行加密，而這些標準的加密算法原本的設計目的就是為了保證只有特定的人才能解密特定的加密文件，其數學算法本身是不可逆的，密碼也是數學上不可破解的。所以，一旦電腦感染了病毒（不包括鎖屏木馬或采用對稱加密技術等簡單的敲詐者木馬），期望通過其他技術手段恢復系統文件的愿望通常都不太現實。

到了2010年以后，勒索軟件進入了活躍期，幾乎每年都有新種類推出，危害性也越來越大，以下舉幾個歷年比較典型的案例：

·2011年 虛假撥號木馬病毒

這是一款專為Windows產品激活而設計的木馬，其提供了在線激活選項，引導用戶撥打一個國際長途激活產品，但撥通電話之后并沒有人接聽，用戶在等待的同時不知不覺損失了高額的國際長途話費。

·2012年 Reveton：恐嚇施壓

這就是導致17歲少年約瑟夫·愛德華茲自殺的勒索軟件。其能偽造出用戶電腦曾經從事非法活動或瀏覽非法網站，如果解鎖就要付出相應酬金。

·2013年 Cryptolocker：勒索越發狡猾

技術上采用兩道加密方法，第一道是使用進階加密標準將受害系統上的文件加密；第二道加密方法是將前述的進階加密的密鑰再次加密，解密密鑰掌握在網絡不法分子手中。

·2014年 Sypeng：目標逐漸轉移到移動端

Sypeng的出現也是勒索軟件的一個分水嶺，細分了PC端和移動端“陣地”，同時也讓黑客們的注意力開始向移動終端傾斜。這也是基于安卓的勒索軟件，它可以鎖定受害者屏幕，并且顯示FBI處罰警告消息。通過短信發送的虛假 Adobe Flash 更新作為主要傳播途徑。

·2015年 TeslaCrypt：開啟自我智能化

除了本身的危害性之外， TeslaCrypt還有著近乎智能的“生存”方式。它能夠在入侵的終端中長期駐留，并且還擁有自我修復功能。

·2016年 Locky：“二月惡魔”

二月份出現的Locky將勒索軟件發展推上了一個新高度，它在德國以每小時感染5300臺計算機的“戰績”而聞名。其通過網絡釣魚和利用早已覆蓋全球的Dridex基礎設施開始流傳。在3月7日國家計算機病毒應急處理中心也發現并發布了關于這種病毒的緊急預防通知。

除了Locky的“肆虐”，今年還出現了SamSam、PetyaJigsaw、ZCryptor......簡直就是勒索軟件的“狂歡年”。

勒索軟件傳播途徑之我見

2016年9月22日，在天津召開的首屆國際反病毒大會上，360公司總裁齊向東在主旨演講中表示，當前正在爆發的勒索病毒創新的技術模式、盈利模式正在被大批病毒制造者學習復制，未來將泛濫成災。與現實中勒索詐騙不同，在互聯網上通過勒索軟件敲詐錢財更具備隱蔽性和便捷性，且犯罪基礎設施相關成本低廉，以至于犯罪規模不斷擴大，而被勒索方不斷繳納贖金的行為也導致勒索軟件泛濫成災。更令人擔憂的是，如今勒索軟件已經形成了商業模式，并且不斷的在發揮其價值。很多勒索軟件甚至無需注冊新的域名就能發揮其作用，然后可以很簡單的被操作來攻擊TOR網絡或者黑掉一些服務器的合法領域。在低廉成本的基礎上，傳播途徑更是呈多元化發展，令企業和用戶防不勝防。

安全公司的最新數據顯示，釣魚郵件現在已經“放棄”了竊取用戶信息，而是以傳播勒索軟件為主要目的。釣魚郵件中的勒索軟件比率已經從2015年12月份的56%增加到今年3月的93%。導致這一趨勢的原因是勒索軟件越來越容易發送，攻擊者能更快的獲取投資回報。而其他基于釣魚郵件的網絡攻擊需要更多的時間才能獲利。這種釣魚郵件最常見的就是偽造來自銀行的文件，顯示幾乎與正規銀行一模一樣的信函，提示用戶的賬戶有非法消費，希望能夠及時安裝補丁程序加以修正，用戶一旦安裝立即“中招”。這里不得不又提到上文被稱之為“二月惡魔”的Locky，它的傳播途徑主要依靠包含Word附件的垃圾郵件，或者使用.JS和.Zip附件，從2月中旬被發現到全球性傳播僅僅用了兩周時間。其實這也是釣魚郵件的一種，附件中包含惡意宏，通常主題為理財、借貸等信息。當用戶啟用這些文件，會提示啟用宏。一旦啟用宏將允許病毒接觸遠程服務器，下載一個可執行文件，并運行該文件。這個可執行的文件就是Locky勒索病毒，它將立即執行加密，使用戶電腦上的文件進行加密導致用戶無法打開文件，接下來的事情就不言而喻了。目前國內已有大量企事業單位用戶通過電子郵件被感染Locky勒索病毒，用戶感染以后導致大量重要文件被加密，需要支付不同額度的解鎖費后才能正常使用。

與釣魚郵件相比較，更容易也是更常見的攻擊方式就是我們日常瀏覽的網頁，受到感染的網頁在瀏覽的過程中下載并且安裝了勒索軟件。并且目前很多網絡社交工具不但可以通過客戶端上線，同時也可以通過直接訪問網頁上線，這就給勒索軟件的傳播途徑增加了若干源頭；還有一種方式相信大多數用戶都遇到過，就是系統提示升級Adobe Flash軟件，一般情況下要慎重升級，勒索軟件經常通過軟件升級方式來感染用戶的終端；最后一種方式是通過軟件安裝植入病毒，很多情況下用戶會安裝一些第三方下載的軟件，里面可能就隱藏了一些非法鏈接，在安裝軟件的同時將這些不必要的鏈接激活，從而感染病毒。以上都是勒索軟件傳播比較典型的模式，但絕對不是全部途徑，隨著終端與互聯網的不斷發展，新的傳播途徑還會不斷的出現。

國內外案例淺析

2016年2月中旬至4月5日，中國香港電腦保安事故協調中心（HKCERT）接到41起企業或個人針對勒索軟件的求援，被勒索從900元至上萬元不等（人民幣），并且網絡不法分子要求用比特幣支付贖金。

該中心一名高級顧問提到，通常勒索方都會要求以比特幣交易，“贖金”也在逐漸提升。以中國香港為例，2月份收到的個案一般由0.5個比特幣到1個（1比特幣約相當于2800人民幣），到了4月份增至到了4個比特幣。目前接到的個案以中小企業為主，相信有更多個案并未報告，而金額可能更大。其實該中心在2月份Locky勒索軟件爆發時已發出警告，但仍接到41起求助，當中有兩家大企業、30家中小企業、2家非盈利機構、4個家庭用戶及3個網站，多數是被網絡不法份子植入了勒索軟件。該名顧問指出，黑客會通過用戶點擊不明的電子郵件附件或訪問被植入勒索軟件的網站進行攻擊。因此，用戶除了要經常備份、保持系統更新外，還要采用殺毒軟件及防火墻等工具，更要注意不要隨便點擊來歷不名鏈接或附件。微軟中國香港區科技負責人許遵發認為尋求數據保護方案及利用云端服務可有助減少數據被“綁架”機會。

那么，本文多次提到的“Locky”到底是如何進行勒索的呢？以下簡單舉出一個案例，一般個人和企業都會遇到。

首先第一步，黑客會通過附件的形式發給個人或者企業郵箱一封郵件，通常附件都是壓縮文件或Word文檔，惡意宏代碼就隱藏其中。用戶一旦打開附件，幾分鐘后會發現電腦運行有些不對勁，繼而在文件夾中發現所有文件屬性均顯示成“Locky文件”。附件或Word文件中會有相應提示，點擊進入后會出現一個頁面，大致意思是需要支付比特幣的額度以及如何獲得解鎖的方法。本刊記者發現一些鏈接指向的是淘寶網店，解鎖密鑰都是明碼標價，且現在這些網店依然存在。

通常，利用Word攻擊的案例最多。其工作原理是，當用戶打開壓縮文件或者word文檔并運行宏代碼后，用戶電腦就會連接到指定的Web服務器，下載locky惡意軟件到本地Temp目錄下，并強制執行。locky惡意代碼被加載執行后，主動連接黑客C&C服務器，執行上傳本機信息，下載加密公鑰。Locky覆蓋本地所有磁盤和文件夾，找到特定后綴的文件，將其加密成“.locky”的文件。加密完成后生成勒索提示文件。利用壓縮文件作為附件攻擊的情況較少，因為一般具備電腦知識的用戶通常對不明的壓縮文件都有警惕性。

在國外肆虐的勒索軟件種類更加豐富，這里需要提一下“TorLocker”。最初這款勒索軟件只針對于日本電腦用戶，后來逐漸入侵歐洲。為什么要以這款勒索軟件為例呢？因為“TorLocker”本身是有缺陷的，勒索行為簡直不可理喻。其原因在于即使企業或個人用戶支付了贖金，也只能解鎖70%的文件，等于支付贖金損失大，不支付贖金損失更大。很多企業在支付贖金之后發現根本無法令網絡系統恢復如初，需要追加更多的軟硬件設備進行修復，不但損失了贖金和數據，同時增加了新的成本。日本各大IT留言板中只要搜索“TorLocker”關鍵詞，各種

控訴與聲討不勝枚舉。該勒索軟件通過借助256位元的AES密鑰來解密器數據段以感染電腦。

“TorLocker”也被稱為木馬Ransom.Win32. Scraper，業內專家認為這是一種匯編寫的程序，擁有幾乎無法破解的加密機制。該密鑰的位元被用作獨一無二的樣本ID添加到加密文件的最后。隨后惡意軟件被復制到一個臨時文件夾內，并創建該復制文件自動執行的注冊碼。TorLocker感染每個系統的方式都各不相同，就算找到一個能解密數據的密鑰，也無益于在其他系統上的數據解密。網絡不法分子通常要求受害用戶在規定時間內支付贖金以獲得解密數據的密鑰，并且需要在專用TorLocker窗口中輸入付款細節，一旦超過規定時間用戶將丟失所有這些數據。

“TorLocker”對于用戶電腦的危害是致命的，如果不支付贖金，系統運行幾乎處于“癱瘓”狀態。重要的系統進程都會被中止，并且刪除所有系統恢復選項，還對用戶的辦公文檔、視頻文件、音頻文件、圖片、存檔文件、數據庫、備份副本、證書和所有其他文件以及網絡硬盤進行加密。

傳播平臺演進：從PC端到移動端

從國內外勒索軟件案例來看，網絡不法分子入侵PC端更愿意選擇企業而非個人用戶。對于企業而言，被加密的文件和資料往往對企業至關重要，眾多被勒索的公司雖然來自不同領域，但是都有一個共同特點——信息安全意識淡漠，忽視對于重要文件資料的備份。因此，絕大多數企業在遭遇勒索軟件敲詐時，都會傾向于向網絡不法分子支付贖金，以盡快解密文件。這恰恰非常符合網絡不法分子的口味，進而對企業的敲詐更加變本加厲。而隨著入侵技術日益精進，更具針對性、偽裝性的勒索手段頻繁出現，并挑選更加合適的時間針對不同企業用戶發起攻擊，這一切更加讓人難以分辨、防不勝防。這一切令勒索軟件的敲詐方式更容易得逞，也使得利用PC端勒索企業的趨勢進一步惡化。

2014年以后，移動互聯網應用已經超越了PC端應用。根據中國互聯網絡信息中心在2014年8月發布的《中國移動互聯網調查研究報告》顯示，截至2014 年6月底，我國手機網民規模為 5.27 億，較 2013 年底增加 2699 萬人。我國網民中使用手機上網的人群占有率進一步提升，由2013年的81.0%提升至 83.4%，手機網民規模首次超越傳統PC網民規模。

也正是從2014年起，勒索軟件逐漸從PC端向移動端平穩過渡，移動端勒索軟件成為了當年技術創新和攻擊規模雙增長的“暗黑生產力”。到了2015年以后，企業和個人用戶越來越習慣移動辦公，而針對移動終端的勒索軟件攻擊也隨之接踵而來。2016年5月份，根據國家計算機病毒應急處理中心發布的信息分析，國內勒索軟件已經從傳統的只針對Windows系統轉變為針對Android系統，甚至在某種情況下會針對Mac OSX系統。任何一臺設備，在網絡不法分子手里都會成為實施勒索的目標。由此可見，勒索軟件已經不僅僅是PC端的威脅，它的“魔爪”已經延伸到了以手機為首的移動終端。移動辦公的普及也令網絡不法分子不再對PC端一家獨好，這也進一步模糊了企業和個人用戶的界限，也就是說在移動終端領域，勒索軟件對企業與個人用戶一視同仁。數據顯示，從2014年開始，增速迅猛的移動平臺就成為勒索軟件的主攻目標。各種類型的威脅逐漸向移動終端蔓延，其

中移動互聯網社交平臺成為了黑客進行勒索的重要目標。僅2014年至2015年移動終端勒索軟件攻擊的數量成倍增長，由3萬增長到了13萬，數字翻了4倍。并且在移動端惡意攻擊中占比也出現明顯的增長。截至2016年第一季度，360移動安全團隊發布的《Android勒索軟件研究報告》顯示，自2013年6月首個偽裝成殺毒軟件的勒索性質軟件出現至今，勒索類惡意軟件在全球范圍內已累計感染近90萬部手機。

移動端（主要以手機為主）所呈現的勒索界面更加直觀，鎖屏、Activity劫持、屏蔽虛擬按鍵、設置手機PIN碼和修改系統文件等等。解鎖碼生成方式主要是通過硬編碼、序列號計算、序列號對應。解鎖方法除了直接填寫解鎖碼，還能夠通過短信、聯網和解鎖工具遠程控制解鎖。其傳播擴散的“重災區”主要是QQ、微信這類社交平臺以及移動端競技類游戲，勒索軟件隱藏在游戲外掛或者微信搶紅包外掛中，利用用戶爭強好勝的心理，一旦安裝，就會出現鎖屏以及屏蔽虛擬按鍵等情況，不繳納一定額度的款項，就再也進不了操作界面，直接報廢。本刊記者親自做了一個測試，以付費解鎖的名義進入一個勒索軟件QQ群，在付款25元的情況下得到了解鎖工具，交易簡單快捷。在與收款方（可能是勒索方，或者是代收款人員）交流中得知，付費解鎖按照種類標價，從20元到100元不等，價格不算離譜，所以付費的人很多。

移動終端的普及為企業和個人帶來的很多便捷，同時也風險倍增。其中操作系統存在安全漏洞、防病毒軟件功能還不夠完善，用戶防范意識不足，所以受攻擊的概率大大高于傳統PC端。加之移動終端實時在線率高，聯系人之間的信任強度更大，與傳統PC存儲的信息具有差異性，如電話簿、短信息、地理位置信息等都是從傳統PC端無法獲取的，這更加受到網絡不法分子的青睞。根據印度安全軟件公司Quick Heal最新報告顯示，2016年第二季度移動端勒索軟件攻擊量增加200%，接近2015年全年檢測總量的一半。其中，勒索軟件變體將在第三季度中繼續增多，例如，上文提到過的“二月惡魔”Locky勒索軟件也在持續更新內部代碼。此外，Locky等越來越多的勒索軟件使用域名生成算法躲避安全檢查或將成為2016年下半年以及未來的最大威脅之一。

生存還是毀滅，這個選擇莎士比亞嗎？

美國思科系統公司8月發布的報告顯示，目前黑客利用勒索軟件攻擊呈上升趨勢，據推算每年可獲利約3400萬美元，黑客利用勒索軟件攻擊平均每次得手300美元，平均每月超過9500人為此支付“贖金”。

在我們之前的案例中無論從FBI建議、國外警局遭遇到我們身邊的調查案例，向網絡不法分子妥協繳納贖金的情況比比皆是。另外，還有如現代加密、TOR 網絡和比特幣交易等技術也為勒索軟件的肆虐提供了支持，這些技術能夠幫助黑客更加高效地部署攻擊和隱藏自己的蹤跡。通常，多數受害者只能選擇向黑客支付贖金，還有一些用戶則選擇放棄，而剩下一部分用戶則在矛盾的抉擇中失去了支付解鎖的最佳時機。“生存還是毀滅，這是一個值得考慮的問題”，莎士比亞四大悲劇之一《哈姆雷特》中著名的對白也成為了被勒索電腦用戶的心聲。

那么一旦遭遇勒索軟件入侵，只要支付贖金

就沒事了嗎？答案是不行！雖然贖金（比特幣）能夠解決一切，但并不能保證萬無一失。在今年7月份，網絡中發現一種名為Ranscam的“勒索軟件”，之所以加上引號是因為Ranscam還不能算傳統意義上的勒索軟件。它表面上會像普通勒索軟件一樣侵入用戶系統，私自對受害者的文檔進行加密，之后網絡不法分子會提出需要支付贖金解決問題。但令人啼笑皆非的是，Ranscam本身并沒有什么加密技術，它僅僅是直接刪掉了用戶的文檔。即使用戶支付了贖金，文檔其實早已被刪除了。Ranscam的出現讓人們更加清醒的認識到，不要幻想網絡不法分子能夠有職業操守，收到贖金就能夠息事寧人，如果他們那么高尚，還會這么齷齪的勒索嗎？所以，面對勒索軟件威脅，防御或者贖買根本不是一道選擇題，而是一道必選題，答案就是前者！

對勒索軟件說“不”已經成為各國警方和執法機構的共識，因為站在法律的角度，支付贖金無疑是在支持犯罪。但真正能夠達到防御勒索軟件也非易事。相比較來說，普通用戶端相對容易一些。對此國家計算機病毒應急處理中心專家提醒：針對這種情況，建議廣大計算機用戶采取如下防范措施：首先，打開系統中防病毒軟件的“系統監控”功能，從注冊表、系統進程、內存、網絡等多方面對各種操作進行主動防御，這樣可以第一時間監控未知病毒的入侵活動，達到全方位保護計算機系統安全的目的，其次，勒索軟件家族通常使用社會工程學技術進行廣泛傳播，特別是利用電子郵件。用戶不要輕易點擊電子郵件中的附件和URL鏈接地址。如果是電子郵件地址簿中的聯系人發來的郵件，請先核實真實性后再點擊打開。最后就是要主動積極的經常備份，并保持更多備份，以便能將數據恢復至感染之前；不要使用缺乏最新保護的舊版本網頁瀏覽器；在微軟Word和微軟Excel中禁用宏；并考慮卸載Adobe Flash。而企業防御就相對比較復雜，通常遇到了勒索軟件入侵，企業很難分清哪些是職員行為（職員信息已經被盜取或電腦被植入木馬），哪些是黑客操作。考慮到企業的正常運行是第一位，因此定期備份數據是重中之重。由于互聯網高速發展，網絡威脅也在以多元化的態勢呈現，多數企業也越來越意識到數據備份的重要性，并且定期檢查審核備份數據的復原性能。更為重要的是，企業重要數據在備份的同時一定要脫離備份子系統，以達到真正的安全分割。在此基礎之上，最好定期淘汰老舊IT基礎設備，并且及時配置安全軟件，經常更新口令。同時要及時更新操作系統、更新應用軟件的漏洞補丁、更新安全應用程序及反惡意軟件數據庫。這里不得不提到思科推出的《2016年中網絡安全報告》中有關防御勒索軟件的建議，可以使用網絡分段來阻止或減慢自我傳播威脅的逐步滲透，并對其進行遏制。

企業應考慮實施適用于分段網絡的多個組件，包括：

1、用于在邏輯上分隔數據訪問的VLAN和子網，包括在工作站層級的分隔

2、專用防火墻和網關分段

3、具有已配置入口和出口過濾的基于主機的防火墻

4、應用白名單和黑名單

5、基于角色的網絡共享權限（最小權限）

6、適當的憑證管理

為了能夠更全面的探討企業和個人面對勒索軟件的應對策略，本刊記者采訪了360反病毒小組負責人王亮先生（擁有長達9年的惡意軟件查殺經驗，是國內最早追蹤敲詐者病毒的安全專家之一，目前已經帶領團隊攔截到超過80類敲詐者病毒變種），他表示隨著信息化程度越來越高，企業等機構對于信息系統的依賴度也越來越高，而勒索軟件的主要危害就是破壞信息系統。一旦病毒入侵，將竊取機密數據，或致使系統無法正常運行，如果已被感染的設備連接了企業的共享存儲，那么共享存儲中的文件也可能會被加密，企業因此面臨的經濟損失將十分沉重。

目前大多數企業自身并沒有專業的安全防護體系。從技術上來看，企業的IT部門缺乏處理數據安全的經驗及能力；從人員上來看，企業IT從業者的主要工作是維護網站的基礎運維，而非專業的安全防御；從制度上來看，企業對于網絡安全的關注度不高，對于相關設施的投入力度也不足。因此，企業想要有效地對抗勒索軟件，需要與專業的安全機構合作。從防范措施來看，目前對抗勒索軟件還是以預防為主。無論是企業還是個人，都應做到：

（1）及時備份重要數據，最好能在本地、U盤、云盤都備份一份，以防不測

（2）操作系統和IE、Flash等常用軟件應及時打好補丁，以免病毒利用漏洞實現掛馬攻擊

（3）切勿輕易打開陌生人發來的可疑文件及郵件附件

（4）選擇一款可靠的安全軟件做防護

·小知識

社會工程學技術：就是以溝通、誘騙、偽裝等方式，利用用戶好奇、恐懼、獵奇等心理，從而套取用戶系統的秘密。社會工程學是一種與普通的欺騙和詐騙不同層次的手法。因為社會工程學需要搜集大量的信息針對對方的實際情況，進行心理戰術的一種手法。

“水坑”：是黑客通過分析被攻擊者的網絡活動規律，尋找被攻擊者經常訪問的網站的弱點，先攻下該網站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。它利用了網站的弱點在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息。

“勒索”本質：無關技術的利益掮客

根據美國司法部統計，與2015年相比，2016年上半年美國勒索攻擊已翻了兩番，平均每天發生4000起，其中大部分受害人并沒有報案。較典型的勒索支付范圍是從500美元到1000美元，極少數黑客提出的贖金已經過萬元。但贖金還不是損失的全部，數據恢復不及時造成人力、資源、時間上的浪費甚至超過了贖金本身。

通常企業和個人用戶會遇到的就兩種形式的勒索軟件：基于加密和基于locker的勒索軟件。加密勒索軟件通常會加密文件和文件夾、硬盤驅動器等。而Locker勒索軟件則會鎖定用戶設備，通常是基于Android的勒索軟件。最常見的勒索方式分別是影響用戶系統平臺運行、威脅

和恐嚇用戶、加密用戶數據。本刊記者在采訪政法大學戴士劍教授時（中國政法大學教授，最高人民檢察院檢察技術信息研究中心副處長、高級工程師），他提到了在2014年曾經幫助一位學術大師處理過勒索軟件CTB_Locker。戴教授表示處理過程可謂跌宕起伏，文檔加密后，搞學術的老先生看不懂，找的人也看不懂，就簡單地重新安裝了操作系統，才發現文檔照樣打不開，繼續工作的過程中，再次點擊了郵件（勒索軟件是通過郵件傳播的），造成二次被勒索。找到戴教授時，勒索時限還剩下三天，當時也沒有別的辦法，只能按照勒索方的要求購買比特幣進行支付，好不容易購買支付了比特幣，卻發現只有第二次被加密的文檔得到解密，第一次被加密的文檔仍然無法解密，給勒索者發郵件，杳無音訊。這個結果讓這位搞學術的大師痛苦不堪，表示多少錢都愿意支付，因為這些文檔中的保存的文件是他一輩子的心血。

這件事給戴教授留下了深刻的印象，他表示這兩年勒索軟件市場其實一直不溫不火，最近卻突然火了起來，究其根本其實仍然是利益驅動。今年9月14日發布的一份報告稱，某勒索軟件作者兼分發者，僅上半年便從勒索軟件贖金上斂財1.21億美元，去掉各種開銷，凈利潤達9400萬美元。這比以往任何一種黑客入侵或竊取的回報都高得多，難怪勒索病毒這種技術和盈利模式被大批病毒制造者學習復制，以致有了泛濫成災之勢。戴教授還表示勒索軟件本質上仍然是一種木馬程序，它通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟件作者還會設定一個支付時限，有時贖金數目也會隨著時間的推移而上漲。有時，即使用戶支付了贖金，最終也還是無法正常使用系統，無法還原被加密的文件。

目前，網絡不法分子利用勒索軟件獲得了大量的錢財，由于其攻擊的成功率非常大，為了追求最大化的利潤，他們還會降低贖金額度，這在國內互聯網大環境中體現的尤為明顯。本刊記者上文提到過的那個勒索軟件的QQ群，里面的標價沒有超過100元的，但是索要密鑰的人非常多，因為價格是大眾能夠承受的心理范圍。試想一部價值四五千元的手機被鎖，只要花幾十元就能夠安全解鎖，權衡利弊，付款很正常。這類QQ群非常多，有些群名是以手機解鎖名義建立的，有些群名是極具暗示性且很隱蔽的，網絡不法分子不但勒索獲利，同時也擁有極強自我保護的警覺性。同時，還有一個更為隱憂的情況存在于這類QQ群中，就是勒索軟件傳銷式推廣。網絡不法分子不但提供付費密鑰，同時也給感興趣的人（很多是受害者）出售勒索軟件和簡單教程輔導使用，有些甚至是視頻教程。國內從事黑客活動的人群越來越趨向年輕化，30歲以上的人屬于少數，大多數年齡分布在18歲至30歲之間，日常交流的主要平臺是QQ群和微信群。他們在里面交流心得，相互認識，甚至“組團”展開攻擊合作。這類社交群體討論的其實不是技術，而是追求利益與暴富的伎倆。在這個群體中，很多人原本是受害者，卻因為利益的驅使變成了網絡不法分子的幫兇，甚至一些人認為這是一個迅速獲利的生財之道。

同時，互聯網的普及也為這類情況提供了“溫床”，隨便搜索一下就能看到眾多如何制作木馬的文檔甚至詳細教程，這令一些曾經安分守己但又酷愛“鉆研”的用戶迅速成長成為了“黑客”，并且在利益面前選擇了妥協。由于國內出現的手機鎖屏軟件基本都是合法的開發工具AIDE，并且只需要在手機操作即可完成開發流程，因此傳播和制作勒索軟件的不僅僅是黑客，同時還增加了不少“軟件開發愛好者”。不僅在國內，國外情況也是如此，今年8月份，美國一名自稱“造雨人”的黑客就在黑客論壇上以39美元公開出售勒索軟件。顯然，無論國內還是國外，勒索軟件的流行和泛濫與龐大的利益鏈條緊密相連。頂級黑客是勒索軟件的開發者與傳播者，次級的黑客通常是改動者與二次、三次傳播者，而受害者端分為三類，一類是拒絕付款；一類是付款了事；還有一類是付款后因為利益誘惑成為了黑客的忠實“門徒”。第三類人不但在擴大“利益鏈”頂層黑客的影響力，同時還為他們帶來了經濟利益。這類人不僅是受害者，同時也是制作和傳播者，并且如同傳銷般發展下線，無限增加勒索軟件的傳播范圍。另外，黑客培訓也成為了利益鏈重要的一個分支，初學者很快就能夠掌握要領并且迅速獲利，這也讓更多的人加入了這個鏈條，甚至培訓“菜鳥”入門也成為了不錯的生意。根據360《Android勒索軟件研究報告》顯示，2015年全年國內超過11.5萬部用戶手機被感染，2016年第一季度國內接近3萬部用戶手機被感染。按照每個勒索軟件解鎖費用30元計算，2015年國內Android平臺勒索類惡意軟件產業鏈年收益達到345萬元，2016年第一季度接近90萬。國內Android平臺勒索類惡意軟件歷史累計感染手機34萬部，整個產業鏈收益超過了千萬元。

法律有據 制裁有時很無奈

勒索軟件與現實中勒索詐騙不同，在互聯網上敲詐錢財更具備隱蔽性和便捷性，不但在技術上令企業和個人用戶難以防范，同時在法律層面上也很難界定其危害性。

對此，政法大學戴士劍教授表示敲詐勒索罪是指以非法占有為目的，對被害人使用威脅或要挾的方法，強行索要公私財物的行為。《中華人民共和國刑法》第二百七十四條 敲詐勒索公私財物，數額較大或者多次敲詐勒索的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金；數額巨大或者有其他嚴重情節的，處三年以上十年以下有期徒刑；數額特別巨大或者有其他特別嚴重情節的，處十年以上有期徒刑，并處罰金。

敲詐勒索罪侵犯的客體是復雜客體，不僅侵犯公私財物的所有權，還危及他人的人身權利或者其他權益。這也是本罪與盜竊罪、詐騙罪不同的顯著特點之一。

其在客觀方面表現為行為人采用威脅、要挾、恫嚇等手段，迫使被害人交出財物的行為。威脅，是指以惡害相告迫使被害人處分財產，即如果不按照行為人的要求處分財產，就會遭受惡害。威脅內容的種類沒有限制，包括對被害人及其親屬的生命、身體自由、名譽等進行威脅，威脅行為只要足以使他人產生恐懼心理即可，不要求現實上使被害人產生了恐懼心理。威脅的內容是將由行為人自己實現，還是將由他人實現在所不問，威脅內容的實現也不要求自身

是違法的，例如，行為人知道他人的犯罪事實，向司法機關告發是合法的，但行為人以向司法機關告發進行威脅索取財物的，也成立敲詐勒索罪。威脅的方法沒有限制，既可能是明示的，也可能是暗示的；既可以使用語言文字，也可以使用動作手勢；既可以直接通告被害人，也可以通過第三者通告被害人。威脅的結果，是使被害人產生恐懼心理，然后為了保護自己更大的利益而處分自己的數額較大的財產，進而行為人取得財產。被害人處分財產，并不限于被害人直接交付財產，也可以是因為恐懼而默許行為人取得財產，還可以是與被害人有特別關系的第三者基于被害人的財產處分意思交付財產。行為人敲詐勒索數額較小的公私財物的，不以犯罪論處。

敲詐勒索的行為只有數額較大或者多次敲詐勒索時，才構成犯罪。數額巨大或者有其他嚴重情節，是本罪的加重情節，所謂情節嚴重，主要是指：敲詐勒索罪的慣犯；敲詐勒索罪的連續犯；對他人的犯罪事實知情不舉并乘機進行敲詐勒索的；乘人之危進行敲詐勒索的；冒充國家工作人員敲詐勒索的；敲詐勒索公私財物數額巨大的；敲詐勒索手段特別惡劣，造成被害人精神失常、自殺或其他嚴重后果的；等等。

所謂要挾方法，通常是指抓住被害人的某些把柄或者制造某種迫使其交付財物的借口，如以揭發貪污、盜竊等違法犯罪事實或生活作風腐敗等相要挾。一般來說，威脅、要挾內容的實現不具有當場、當時性。但行為人取得財物可以是當場、當時，也可以是在限定的時間、地點。敲詐勒索公私財物還必須是數額較大或者多次敲詐勒索，才能構成犯罪。敲詐勒索罪量刑標準：第一條 敲詐勒索公私財物價值二千元至五千元以上、三萬元至十萬元以上、三十萬元至五十萬元以上的，應當分別認定為刑法第二百七十四條規定的“數額較大”、“數額巨大”、“數額特別巨大”。各省、自治區、直轄市高級人民法院、人民檢察院可以根據本地區經濟發展狀況和社會治安狀況，在前款規定的數額幅度內，共同研究確定本地區執行的具體數額標準，報最高人民法院、最高人民檢察院批準。敲詐勒索罪主體為一般主體。凡達到法定刑事責任年齡且具有刑事責任能力的自然人均能構成本罪。

從以上分析就可以看出，網絡上的利用軟件進行勒索與現實中的敲詐勒索在法律上性質是完全相同的，可以直接適用《刑法》第274條。包括新近出現的通過加微信好友，然后一步步設騙要求裸聊，再通過以散布裸聊視頻、照片為威脅進行勒索，也都是同樣地性質。如果僅僅以通過網絡技術手段進行勒索為前提，那么2015年01月26，國家網信辦公布的“網絡敲詐和有償刪帖”十大典型案例中，涉及到的網絡敲詐勒索案件就有4起，另外6起是有償刪帖案件。如果單獨以勒索軟件為對象，則目前尚未見到具體案例，因為勒索軟件都是走隱藏渠道，打擊難度非常大。

后話：技術也有善惡之分

曾經人們認為技術是純潔的，只是被壞人利用了，甚至有些人一直在爭論技術無罪論。但現在我們應該清楚的認識到，技術是人掌握的，人的善惡決定了技術的黑白，所謂技術無罪是非常荒謬的。無論是精通技術的黑客還是不懂

技術的軟件操作者，只要利用勒索軟件的那一刻，信仰、信用、道義就已經蕩然無存。

一些個人和企業用戶認為支付“贖金”就是可以相安無事，黑客雖然可恨但還是講信用的，這顯然是一種自我安慰的鴕鳥心態。例如上文提到的臭名昭著的“Ranscam”，這種惡意軟件一旦入侵用戶電腦，對用戶文檔進行加密的同時直接刪除用戶的文檔，而不明真相的用戶付款后才發現自己的電腦數據早已被破壞。又比如美國堪薩斯心臟醫院曾經遭到過黑客勒索軟件入侵，他們按要求支付了“贖金”，換來的卻是部分的恢復文件，網絡不法分子則提出了更高的“贖金”要求，否則就不給恢復全部文件。還有更為低劣的，網絡不法分子善于抓住人們的心理弱點，例如他們喜歡入侵色情網站并注入惡意鏈接，當用戶點擊了這些惡意鏈接進入非法網站時，黑客就有開始施展勒索手段。上文提到的17歲少年約瑟夫·愛德華茲自殺行為就是此類典型事件。

從今年開始，勒索軟件將“陣地”從PC端轉移到移動端，安卓系統已不用說，曾經號稱非常安全的Mac OS X系統也遭到了入侵，這對于防御與治理勒索軟件無疑增加了非常大的難度。并且有跡象表明，物聯網將是下一個勒索軟件橫行的重災區。未來，隨著移動設備和移動服務功能的不斷增加，網絡犯罪分子必定會不斷利用移動勒索軟件大肆斂財。盡管世界各地執法機構已經對黑客組織和勒索軟件進行了嚴厲打擊，但是勒索軟件的蔓延至今沒有停止的跡象，企業和個人用戶依然不斷遭到網絡不法分子的勒索與攻擊。結合國內，雖然目前還沒有出現非常重大的勒索軟件案例，但是經過本刊記者調查了幾名用戶受害案例發現，勒索軟件進入中國一段時間后逐漸本土化，經過國內網絡不法分子的操控，逐漸向社交網絡、軟件市場等領域滲透，與用Word文件攻擊相比，APP游戲下載、搶紅包、網絡投票、點贊等形式更容易被國內用戶所接受，且隱蔽性更強。由于贖金普遍偏低，所以受害者多數選擇默認支付，一定程度上助長了網絡不法分子的貪欲與氣焰。“表面風平浪靜，底下暗潮洶涌”形容當下的形勢最合適不過。通常我們認為只要通過政府相關管理部門、業內專家、安全企業等社會各界團體展開合作，從法律、技術、制度等層面進行建議與實際措施就能很好的遏制黑客與黑產的增長勢頭，但我們要清醒地認識到這一切都是輔助條件，具體根治還需要個人與企業自身的“修煉”，這些在上文已經說明就不過多贅述了。

最后，引用春秋?左丘明《左傳?襄公十一年》的一句話：“居安思危，思則有備，有備無患，敢以此規。”

附錄一：參考資料

[1] 國家互聯網絡應急中心（CNCERT）：2015年我國互聯網網絡安全態勢綜述（報告）

[2] 國家互聯網絡信息中心（CNNIC）：2016年8月第38次《中國互聯網絡發展狀況統計報告》

[3] 賽門鐵克2016年網站安全威脅報告

[4] 思科2016年度安全報告

[5] 360《Android勒索軟件研究報告》

[6] 亞信安全2016年第一季度安全威脅報告

[7] 印度Quick Heal2016年第二季度安全報告

[8] 卡巴斯基官網安全博客：勒索軟件肆虐互聯網