媒體調查勒索病毒：已成完整地下産業，專挑醫院、大學下手

　　新工具

　　加密技術的新工具、比特幣的出現……網路盜竊變得容易。

　　新手法

　　這些勒索的人甚至還有客服熱線，讓受害者可以打電話進去，“協助”他們付款。

　　新態勢

　　據估計，2012年，只有3%的受害者會交錢。但現在，交贖金的比例已經上升到了50%。

　　日前，一種名為“想哭（WannaCry）”的勒索病毒襲擊全球，從美國快遞巨頭FedEx、英國醫療系統，到中國的大學，甚至俄羅斯的內務部都遭到攻擊。

　　截至目前，全球網路安全專家還在通力協作，試圖找出背後黑手。

　　而據外媒報道，勒索軟體已經成為一個完整的地下産業，任何人都能輕易利用軟體敲詐別人。

　　紅星新聞梳理了這些勒索軟體的“黑”歷史、“市場”情況、贖金額度，還有最喜歡的攻擊目標。

　　技術門檻降低

　　甚至不需要專業技術 勒索軟體已有20多種

　　過去的假殺毒騙局，或用特洛伊木馬病毒盜取信用卡，至少還需要駭客們利用技術手段甚至創意來盜取錢財。“現在，甚至根本不需要有任何專業技術。”幫助了幾十個網路勒索受害者的Crypsis集團高級總監傑森 瑞布赫斯説。

　　隨著加密技術的新工具、像比特幣一樣難以被追蹤的貨幣出現，甚至還有網站提供勒索軟體……網路盜竊變得非常容易。現在，任何人都可能簡單點下滑鼠，生成一個勒索軟體。

　　一旦受害者付款，勒索軟體提供者就從中抽取一定比例的提成。這些勒索的人甚至還有客服熱線，讓受害者可以打電話進去，“協助”他們付款。除了電話，受害者還能選擇線上聊天跟勒索者溝通。

　　四年前，只有大概16種勒索軟體，主要在東歐地區活動。那時候，鎖住受害者電腦，通常只要求100美元~400美元贖金。隨著電腦資料檔案成為人們的“生命線”，網路罪犯也開始升級他們的敲詐遊戲。現在，市場上已經有二十多種勒索軟體，形成了一個完整的地下産業，而想抓住他們甚至給這些幕後黑手定罪則非常困難。

　　過去，技術人員和網路安全專家一般都能找到解鎖方法，給勒索駭客交贖金的人並不多。根據網路安全專家估計，2012年，只有3%的受害者會交錢。但現在，交贖金的比例已經上升到了50%。而不交的那一半人，通常是因為自己有足夠備份，或者心理抵觸拒絕，還有人是付不起贖金，寧願放棄電腦文件。

　　贖金更好隱藏

　　比特幣很難追蹤

　　讓罪犯更易藏匿

　　根據Crypsis集團的數據，贖金現在水漲船高，從低至1個比特幣（約1700美元）到高至30個比特幣（約5.1萬美元），平均贖金為4個比特幣（約7000美元）。比起信用卡或者電匯，比特幣很難追蹤，因此給網路罪犯提供了一種更容易藏匿身份的收錢方式。所以，勒索軟體都以比特幣來計量贖金。

　　傑森 瑞布赫斯説，那些業餘的勒索者很可能在收錢之後也不解鎖，但職業勒索駭客怕壞了“名聲”，影響“生意”，通常都會收錢之後解鎖。

　　犯罪目標明確

　　勒索組織尋找“軟柿子”

　　發現醫療系統尤其怕捏

　　這些勒索組織已經找到了各種“軟柿子”。像大學這種需要共用大量資訊而有開放網路系統的組織就比較容易受到攻擊。最近，他們還發現醫療系統是一個尤其怕捏的“軟柿子”。

　　醫生和急診室的電腦系統一旦被黑，緊急程度超過其他各種組織。上週五，英國醫療系統被攻擊的時候，醫生沒法查閱病例，不得不讓病人回家。倫敦的帝國理工醫療在過去12個月裏就被勒索軟體攻擊了19次之多。

　　像這樣的勒索，暫時沒人能免疫。

　　今年1月，駭客攻擊了美國印第安納州一個小型癌症慈善組織，攻陷了其主伺服器和備份伺服器，要求高達50個比特幣的贖金（約8.7萬美元）。

　　根據FBI的數據，2015年到2016年間，美國遭到勒索軟體攻擊的數量翻了4倍，贖金高達10億美元。2016年，加州、印第安納、肯塔基、馬利蘭以及得德克薩斯州的醫院都曾被勒索軟體攻擊。2月，洛杉磯醫院就支付了1.7萬美元贖金，才得以解鎖電腦。

　　手段變得多樣

　　約有一半勒索襲擊

　　通過點開郵件實現

　　除此之外，大多數小到中型企業通常都會交納贖金。這些企業沒有做足備份工作，別無選擇。“大多數情況下，那些數據是他們生意的命脈。”傑森 瑞布赫斯説：“他們要麼交錢，要麼就經營不下去。”

　　差不多有一半的勒索襲擊都是通過點開郵件實現的，有時候也有更為複雜的方式。像“注水洞襲擊”，就是用勒索碼先感染一個網站。當用戶上這個網站的時候，勒索軟體就被下載到用戶的電腦。

　　傑森 瑞布赫斯説，還有一半襲擊是用更直接粗暴的方法瞄準受害者。他們掃描一個組織機構的所有軟體，找到容易攻擊的漏洞、容易破譯的密碼或其他沒有加鎖的數據入口，之後就加密受害者的各種文件。

　　現在，勒索駭客們甚至還玩弄起了人們的善心，給他們的犯罪行為戴上美麗面具。傑森 瑞布赫斯最近就追蹤到一起攻擊，勒索者假裝是做慈善，要求受害者“獻愛心”（支付贖金），稱是在給全世界的患病兒童謀福利。

　　同步播報

　　比特幣勒索病毒肆虐全球，國內多所高校中招，有畢業生稱畢業論文被鎖定無法取回。病毒幾乎無法破解，不過身處成都環球中心的數據恢復四川省重點實驗室奮戰兩天后，于14日晚間10點發佈了一款免費小工具，“專門針對office文檔，可以恢復因中病毒而損失的文件。”

　　昨日，一條“重磅！四川網路公司攻克勒索病毒，獨家發佈免費恢復工具”的文章熱傳，對此公司方面稱“發佈的工具可以恢複數據，不是破解病毒”。

　　四川公司發佈免費工具恢復文檔

　　現場實測：未加密數據 恢復內容超8成

　　用來恢複數據 不是破解病毒

　　“對，可以恢複數據。”“要看文件大小，1.5M以上的可以嘗試使用。”15日下午，環球中心的7樓，趙飛手機響個不停，接電話的間隙，他還要敲打鍵盤回答好友、同事的諮詢。

　　趙飛是數據恢復四川省重點實驗室研究員，實驗室依託四川效率源資訊安全技術股份有限公司與內江師範學院共同組建。15日當天，他們前一日發佈的一款免費小工具在網路上引起圍觀，據稱對於感染了“比特幣勒索病毒”的電腦，這款工具可以針對性恢復電腦中office文檔的部分數據。

　　“我們發佈的工具可以用來恢複數據，不是破解病毒。”對於有網傳“攻克病毒”的傳言，趙飛向記者解釋，病毒大規模感染的事件出現後，他們注意到國內不少高校的畢業生反映論文被病毒破壞而無法取回，便首先發佈了這款針對office文檔的數據恢復工具。

　　截至15日晚上7:45，他們發佈的小工具下載量已經達到3448，並獲得一些反饋，“主要是工具係在win10系統的環境下開發，在xp、win7等環境下可能存在一些不相容的現象。”趙飛告訴成都商報記者。

　　5.5M的Word文檔 找回4.5M

　　趙飛從辦公室找來一台電腦，“我們在這臺電腦中創設一台虛擬機，然後讓病毒感染虛擬機。”

　　然後，他通過快捷鍵進入桌面，將實驗Word文檔（5.5M）複製到隨身碟，接著拷貝到另一台安全電腦。趙飛打開他們發佈的小工具，將實驗文檔選作恢復目標，選擇保存路徑後再點擊“數據分析”。很快，我們在指定的文件夾中找到了多張圖片，共計4.5M。“這些是剛剛Word文檔中的圖片。”趙飛表示，這個文檔中的文字可能被加密無法恢復。

　　趙飛告訴記者，上週五晚間病毒大規模感染出現後，他們集合了七八個人的團隊，尋找恢複數據的可能性。此前，他們公司曾接觸過類似病毒，“省內一城市燃氣公司燃氣系統伺服器被勒索軟體病毒感染，所有關鍵數據和資訊都被鎖定，我們幫助對方恢復了93%的數據。”

　　趙飛告訴記者，他們發佈的工具就是嘗試恢復文件中未被加密的內容。“一般恢復到70%以上。”

　　“不是病毒作者的話，想要破解病毒幾乎不可能。”趙飛表示，即使用超算中心的大型機來運算，也可能要花上幾十年。“所以近期如果有人宣稱破解了病毒，可以幫你完全恢復文件，那一定是騙人的。”

　　昨日傍晚時分，記者了解到，工具的1.1版本也已經發佈，趙飛表示，用戶可以關注“效率源科技”微信公眾號下載小工具。

　　（原題為《捏“軟柿子” 勒索組織愛挑醫院大學》）

　　延伸閱讀：勒索病毒傳播放緩，白宮稱駭客已在全球攫取7萬美元贖金