勒索病毒来袭?“黑客一定会黑掉你、病毒随时可能入侵”是真的

勒索病毒来袭?“黑客一定会黑掉你、病毒随时可能入侵”是真的

“大事不好,中勒索病毒了!”

NGA玩家社区(国内专业的游戏玩家社区)昨天一大早就列出了这样的帖子。随附图片上全英文“YOUR FILES ARE ENCRYPTED!”的警告醒目刺眼。“无解,只有防范措施没有破解办法。给钱也不一定给解。”帖子发出没三分钟,网友就跟了这个“热乎乎”的评论。

“年前我几个朋友的服务器中毒了,勒索10个比特币……后来数据不要了,太贵了。”

最近的一波攻击就在这几天。GrandCrab、GlobeImposter被认定为勒索病毒或其变种,出现在企事业单位的内部群“紧急通知”或警告中。实际上,GandCrab是国内目前最活跃的勒索病毒之一,仅过去一年即经过5次大版本更新,一直和安全厂商、执法部门斗智斗勇。

漏洞银行联合创始人和技术负责人张雪松观察此次病毒,认为它们的技术含量不高,传播方式较为传统,因加密方式升级变种而引起较大后果。年前的WannaCry(勒索病毒,加密文件,比特币赎回)早已激起大部分人士的神经紧绷,“这次较大的反应,是此前病毒风波的余波”。

现实问题是,如果不小心“中毒”,我们该怎么办?身处技术大爆发的时代,技术红利与“技术黑洞”其实是并行的,我们有哪些应对措施?

病毒想要比特币

“你必须在3月11日下午3点向警察局报到!”

这句话像一个天外来音一样,回荡在被入侵的各种系统中。而几乎所有人都知道,其实这只是某个黑客(组织)在发笑。它在勒索比特币,这堪称最为先进的人类对人类的敲诈勒索新形式。NGA贴吧的“中毒”帖子的主角,是装了用友财务软件的电脑,“ALL YOUR IMPORTANT DATA HAS BEEN EN ENCRYPTED!”财务数据被加密了。

问题可能出在密码太弱了。这意味着,如果可以用毫无规律、杂乱无章的“W3RB!#5V%$”类型的密码,则坚决不要用“1234567ABC”类型的密码。GrandCrab擅长使用弱口令爆破、挂马、垃圾邮件传播。一旦密码被爆破,病毒将像癌细胞一样蔓延。

GandCrab勒索病毒运行后,将对用户主机硬盘数据全盘加密,并让受害用户访问特定网址,下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口,要求受害用户缴纳赎金。受害用户拿不到私钥的话,无法解密。无法解密,又想拿回数据文件,就需要付出金钱。

NGA玩家社区曝“中毒贴”

“少则一万,多则三五万(人民币),这是行情。”张雪松说。勒索病毒往往会有一个界面,说明详细的比特币支付流程。“虚拟货币无法追查交易记录,可以兑换成法币,隐匿性成了勒索病毒和黑客们天然的屏障。”帖子下面一位中了ETH后缀病毒的网友回应,“解毒需要6万,直接格式化了,MMP”。

通过邮件传播(点开邮件、解压运行)、蠕虫传播(远程连接、密码拆解)两种方式扩散的病毒,在张雪松看来,在现在的网络和安全管理下,危害性不是特别大。“不像去年爆发的WannaCry,利用操作系统漏洞,不需要密码就可以感染其他电脑,横向传播、自动传播。”

但此次勒索病毒还是引发了一定的反响,特别是核心爆发的重灾区,安全意识比较薄弱、安全管理比较缺位的机构或个人操作者。加密算法、密码强度升级了,用了特殊加密方式(RSA+Salsa20、SA4096位)。“没有密钥不能拆解;即便是安全公司,破译也有相当困难。”张雪松说。

黑客大多无信誉

勒索病毒和黑客大多不讲究“盗亦有道”。

“业内说法,只要中了勒索病毒,基本上就完了。解密过程、分析成本比较高。” 张雪松接触的企业客户中,约20%愿意支付勒索的钱财。但这是不对等的交易,去年处理WannaCry的几个案子时,客户太着急,核心的数据、内部管理数据太重要。确实会支付钱财,但并不是所有支付都换来密钥。

“病毒使本机加密后,信息发回到黑客服务器,建立账本,待受害用户汇款后密钥发回中毒电脑。”但张雪松强调,这只是“有信誉的黑客”的正常操作流程。“实际上70-80%的病毒并没有做到这一步。”这相当于黑客没有信誉,讹了你一笔钱,直接撕票。或者就为了赚钱,从未打算还原。

如果勒索病毒源于国外,国外服务器和国内网络本来就有连通问题,国家本身有防火墙,可能有信号阻碍、丢弃。“不健康的数据包会直接被防火墙屏蔽掉,受害用户没办法如实地收到密钥。”钱财自然只能打水漂。

2017年5月,勒索病毒“想哭”袭击了全球150多个国家和地区,政府部门、医疗服务、公共交通、邮政、通信和汽车制造业均受影响。2018年12月,以微信为支付手段的勒索病毒在全国爆发,几日内至少感染了10万台电脑。或显或隐,类似事件还在不断发生。

这类事件为何频繁发生?“事件的原罪在于黑产的发展。”张雪松认为,黑色产业链的发展是勒索病毒(黑客)的动力。根据每年黑产的分析报告,基本是几百、几千亿的规模。这是动力之源。“这样的环境下,有此等发家致富的机会,黑客永远专注、不遗余力地、没日没夜的去钻研攻击技术,钻研破坏技术,包括病毒。”他补充道。

腾讯安全联合实验室发布的一项《2018上半年互联网黑产研究报告》显示,持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产,给用户和软件开发者带来了巨大的经济损失。区块链迅速发展, 2017年下半年至报告发布前,互联网病毒木马的主流皆围绕区块链、比特币、以太坊、门罗币。在中国裁判文书网上,输入“黑客”,可以找到1778个搜索结果;输入黑产,能够得到8条记录。这是技术的背面,为了进步与创新而付出的必要代价。

黑客和白帽,一直在对攻。“道高一尺魔高一丈”的魔咒也一直存在。利益驱动下庞大且完善的产业链自成生态,网络实名难以全覆盖,对于黑产的打击、管控也很难去追踪。这就造成了“魔”比“道”长得快的倾向。

张雪松认为,银行等金融系统的防范还是跑赢黑客的,“只是推广开来,成本比较高”。

“黑客一定会黑掉你、病毒随时可能入侵”

比急救知识的传播范围有限更甚,遭遇勒索病毒的应急措施处于更加尴尬的盲区。

传统网络安全停留在“建墙”的思想上。这一堵墙非常宏大,可以挡住洪水猛兽。现实往往是传统的安全思想不能解决安全问题。“我装了杀毒软件了,但可能我还是会被病毒勒索。用户会依赖于安全产品,就导致自己很没有安全能力。”

张雪松本人更强调开放安全,一种开放的心态,接受风险,不要去考虑一点风险都没有。“不要想怎样去建一堵不受风险的墙。不可能的。我们需要建立的是反脆弱的能力或者免疫能力。我可以遭受打击,但我一定是健壮的,不能被打击死。

企业遭遇勒索,一般是向网络安全部门报案,网络安全警察会开展一些排查、事件分析。“企业为公众提供第三方支付等服务,涉及到更多的公众利益,则更容易引起政府和公众的重视。事无巨细地调查、追踪,也是为下一次病毒攻击做准备。”

个体就相对无力。遭遇勒索病毒,有些人甚至会委托安全公司去购买比特币,对于没有接触过数字货币、对勒索病毒知之甚少的个人,应对这种勒索,确实存在某种鸿沟。Facebook数据泄露等事件做出一种提醒,学会反抗;《网络安全法》的实施是一种保障,大厂商要承担起更多的责任。向支付宝盗刷追回、向微信支付投诉,成为当下可行的手段。

不可忽略的事实是,部分损失是无法追偿的。“有意识地为我们的数字资产管理做一些投入,比如保险投入,信息安全保险正在逐步成熟。”此外,自身数字资产管理投入也有必要。张雪松认为,这是这个时代需要我们大家做的。

长期关注安全领域,张雪松有着一套自己的“安全守则”。对于身份信息和不可信来源有着洁癖式的隔离操作。他的手机有小号,用来接外卖、快递电话,注册网站。随时申请、随时删除。“除了微信、支付宝等需要实名认证的重大应用,其他全部采用虚拟身份,能做隔离就做隔离。”

此外,他对于不明来源的事物非常敏感。微信好友、陌生邮件,从来不会打开。不明人发送的信息不会看。信息会做“二次确认”。即便如此,信息的泄露还是防不胜防。工作之余,他监控黑产上泄露的信息,“或多或少还是会有我自己的一些信息”。

基于以上种种,黑客一定会黑掉你、病毒随时可能入侵的心态弥足珍贵。掌握安全本质,多做备份,提升自身的恢复能力、风险管控能力。在张雪松看来,这些越来越成为未来公民、机构必备的基础素质。