中了敲诈者病毒，文件恢复有可能吗？你长着一张被勒索木马敲诈的脸？| 硬创公开课

熟悉小编的读者可能知道，一个月前，我雷好几个读者爆料：

本来一路心情愉快地去上班，开机却遭遇突发异常状况——昨天下班前电脑还好好的，今天突然开机之后电脑突然很卡，我并没有在意。结果等了一会，突然浏览器自动打开，弹出了一个勒索界面，告诉我所有的文件都已经被加密了，只有点击链接用比特币交付赎金之后才能拿到解密的密钥。

有几个读者反应是这样的：

A：赎金要一万多，如果老板逼我，我就准备辞职了（你辞一个试试）。

B：还是有很多重要资料的，缴纳赎金吧，就当几个月工资喂了狗（无辜的狗狗到底做错了什么）。

B：咦，赎金怎么缴纳？怎么买比特币（探索到海枯石烂）？

C：呜呜，求高手反攻解密（坐等到天荒地老）！

看到这篇文章的你，是不是不想遇到这样的惨剧？勒索木马在天朝已经屡见不鲜，为了让更多无辜读者完美躲避勒索木马的袭击，本期小编()宅客频道（微信ID：letshome）邀请了360反病毒小组负责人、拥有长达9年恶意软件查杀经验的王亮来解密勒索木马。

王亮：360反病毒小组负责人，拥有长达9年的恶意软件查杀经验，是国内最早追踪敲诈者病毒的安全专家之一，目前已经带领团队拦截到超过80类敲诈者病毒变种。

一、与勒索木马斗争的辛酸史

王亮：一直以来做的分析工作都是针对木马病毒的，更多的是一种技术性的工作，并没有太多感情因素在其中,但通过与受害者的沟通，才真切感受到他们的无奈与无助，也更加坚定了我们与木马对抗到底的决心。

那段时间挂马中招的反馈确实比较多，当时是想尽快了解一下具体情况。联系确认后，发现受害者主要是因为使用了某款没有升级的flash插件的浏览器，访问挂马页面而中招。用户在操作上并没有明显过错，只是由于访问的站点自身存在问题，使用的浏览器又没有及时更新最终造成这个结果。这里也想提醒大家，此类木马威胁离普通网民其实很近，可能一个不经意的操作就会中招。

之前我们接到过一个反馈，一家公司的职员，计算机中一直没装杀毒软件，周末时还没有关闭计算机。当他周一来公司时发现他计算机上的文件和一台文件共享服务器的文件全部被加密。我们协助追查发现，是它机器上安装的一款视频工具软件，周末时弹出了一个广告，而这个广告恰巧被植入了flash漏洞攻击代码，结果在他没有任何操作的情况下，机器上的文件被木马加密。很多时候，用户甚至没有什么感知的情况下就中招了。

王亮：今年上半年我们拦截的敲诈者攻击超过 44 万次，下半年由于国内挂马攻击的出现，曾经出现过单日拦截敲诈者木马超过 2 万次的情况，敲诈者木马的攻击规模还在不断刷新。

目前我们抓到的敲诈者的各类变种超过 200 种，积极传播与活跃对抗的就有8个家族。根据样本行为、代码分析、攻击溯源看，攻击者来自国内、俄罗斯、日韩、美国等地，参与其中的黑产组织至少有几十个。

另外，从制作门槛上来说，敲诈者病毒的制作门槛并不高，各类加密算法都有现成的源码和库代码可以使用，只要对其原理略知一二就可以做出一款简单的敲诈者。而网上也有很多公开的勒索软件源码，对其做一些修改就能做出一款可以使用的敲诈者病毒。高利润低门槛，使得敲诈者病毒的制作团体越来越多。

王亮：此类木马有十多年历史，之前的敲诈方式是加密或者隐藏文件后要求转账或者购买指定商品，传播量和影响力不高。

最近流行的比特币敲诈者其实在 2014 年就在国外流行了，到 2015 年大量流入国内。在国内大量传播的主流敲诈者家族就有 CryptoWall , CTB-Locker , TeslaCrypt , Cerber , Locky , CryptXXX , xtbl 等多个家族，每个家族在传播对抗过程中又产生有多个分支版本。目前捕获的敲诈者木马超过200个版本，传播量和影响力都非常大。

王亮：多年前制作病毒木马还有炫技的成分存在，现在市面传播的木马全部是利益驱使，互联网上哪里有利可图，哪里就有搞黑产、赚黑钱的网络黑手。敲诈者病毒也不例外，国内中招比较早的一批受害者是外贸相关的企业和个人。

攻击者发现能从国内赚到钱之后，也开始专门针对国内进行攻击，同时因为这一木马知名度的提示，也带动了一批黑产人员加入到敲诈者病毒的制作和传播中。以比特币为代表的各类匿名支付手段，也给敲诈者勒索赎金提供了方便，造成现在敲诈者木马家族多，变种多的情况。

随着信息化程度越来越高，不管是企业还是个人，对于信息系统的依赖度也越来越高，而勒索软件的主要危害就是破坏信息系统中的数据资源。企业个人的信息化程度越高，危害也越大。

前两年，这一波敲诈勒索木马刚刚兴起时，因为主要在国外传播，木马的演变主要也是针对的国外的杀软。那时我们可能只需要几个简单的技术手段，就能很好的查杀和防御这类木马，那时我们已经意识到，攻击者可能很快就会发现在中国也是有利可图的，会转过来专门攻击我们。在敲诈者木马刚刚开始在国外流行时，我们已经在实验我们的防护策略和手段，当时我们测试过对文件做备份，对文件写入内容做检测，对文件写入方法做检查，对数据操作流程做检查等十多种方案。

这中间有过不少尝试，比如刚刚测试文件格式拦截时，发现会误报发票打印程序，后来研究发现有些发票打印程序会改图片格式。我们测试备份方案的时候，发现磁盘IO太高，性能上划不来。我们就在这中间不断尝试，最后将其中比较有效且消耗合理的方案应用到了我们的产品中。

很快 2015 年就开始出现专门针对国内进行传播免杀的敲诈者木马，而且很多木马刚刚出现时都是免杀全球杀软的，在 VirusTotal 上扫描都是 0 检出的。我们之前已经准备了一套可行的防护方案，所以即使在引擎无法检出的情况下，仍能识别攻击保护数据安全。在这个对抗过程中，我们根据木马的传播特点和行为特征又补充增加了多个拦截方案。比如针对挂马传播，即使用户没打补丁，我们的引擎没检出，但在文件落地时我们仍然能将这类恶意程序报出，多层防御使我们有一个很高的拦截成功率。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!