2016年2月的一天，好萊塢長老會醫院的護士們發現電腦全都用不了了。所有的檔案都加了個莫名其妙的字尾，根本打不開。所有電腦程式也都加了這個字尾，一個也啟動不了。掛號只能用紙筆，病歷都成了亂碼，連手術都不能正常進行。當大家都束手無策的時候，院長阿蘭·史蒂芬涅克（Allen Stefanek）接到了一個陌生的通知：給我1萬7千美元，不然你們的醫院就得關張。

史蒂芬涅克院長猶豫了一個多星期，還是選擇了交錢。好萊塢長老會醫院所經歷的勒索並不稀有。近年來，越來越多的使用者報告自己的電腦曾被駭客鎖住，只能交贖金了事。這種駭客攻擊被人們叫做“網路勒索”，駭客們使用的軟體也有一個名字，叫做Ransomware。

“面具臉”和“拼圖”病毒

Ransomware的定義很枯燥，我們不如直接舉一個例子：

小明在情人節收到了一名陌生人的郵件，郵件裡一片空白只有一個叫做“拼圖”的附件。小明興高采烈地打開了這個“拼圖”，然而這個叫做“拼圖”的東西並不是節日禮物，而是一個Ransomware。

(“拼圖”Ransomware的典型視窗)

上面就是大名鼎鼎的Ransomware----“拼圖”（Jigsaw）。開啟以後是一個黑色背景的視窗，視窗正中心是一個電影《電鋸驚魂》裡的面具臉。綠色的勒索資訊會一個字一個字地打出來，它用《電鋸驚魂》的口吻給小明寫道：

“我想跟你玩一個遊戲，我來解釋一下游戲規則：你的檔案正在被一個一個地刪掉，照片、影片、文件...... 不過不要擔心，只要你合作，它們就不會被刪完。你的檔案都已經被加密了，你一個也看不了。每個小時我會刪掉一些，刪掉的速度越來越快。如果你關電腦，再次開啟的時候我就刪掉1000個檔案，如果你關掉我，你的檔案就會被永遠加密。只有我能把檔案還給你。現在，我們來玩這個遊戲吧。”

小明趕緊開啟自己硬盤裡的電影資料夾，發現所有的片子都被加上了一個“.fun”的字尾，根本打不開。不僅是電影，自己寫的日記，照的照片，玩的遊戲，一個也打不開。

視窗的左下角是個倒計時，開始是一小時，每次歸零就會刪掉一些檔案。每刪一次，下一次刪的數量就會增多。每小時被刪的檔案指數增長，用不了幾天電腦就啥也不剩了。

當然駭客不是為了玩這個“刪檔案”的遊戲，而是要錢。小明一開始還挺強硬，可檔案都丟了怎麼辦？我這電腦花了幾千塊錢買的，這麼著不就沒法用了嗎？紅色的倒計時讓小明的心臟一蹦一蹦的，而小明漸漸地陷入了絕望。過了幾分鐘，小明終於服軟了。他按照駭客的指示，買了23美元的比特幣，匯給這個陌生人。

小明事後報了警，可比特幣無法追蹤，警察根本抓不著兇手。小明回家開啟電腦，發現面具臉的視窗終於沒有了，可是自己的檔案也全刪沒了。

(Ransomware“拼圖”的各種變體)

這個名為“拼圖”的勒索軟體主要肆虐時間是2016年，它有很多不同的變體，比如被劫持檔案的字尾不一定是”.fun”，還有.gefickt, [email protected], .paytounlock, .hush, .locked, .payrmts, .afd, .paybtcs, .fun, .kkk, .gws, 和.btc. 背景也不一定是《電鋸驚魂》的面具臉，還有弄成一群頭盔制服黨的，還有搞出電影《V字仇殺隊》的，還有扮成遊戲“殺手47”的。“拼圖”勒索軟體要多少錢的都有，比較多的是要150塊錢。“拼圖”還走上了國際化道路，除了英語以外，還非常貼心地加上了西班牙語、法語、俄語等多國語言。好訊息是這個臭名昭著的“拼圖”終於被破解了，網上不僅有破解教程，還有一個破解軟體“Jigsaw decrypter”。

像“拼圖”這樣的Ransomware還有很多很多，長相也各不相同，但行為都是一樣的。它透過木馬的形式在郵件、隨身碟、下載網站裡傳播，它自動鎖住你的電腦，把所有檔案加密，並威脅要刪掉它們。受害者必須透過比特幣支付給釋出者，然後釋出者根據心情好壞選擇是否把檔案交還。像小明這樣的受害者，近來一年比一年多。

為什麼Ransomware突然肆虐了起來

Ransomware已經存在了至少十年了，最早只氾濫在”駭客之鄉”俄羅斯。可最近三年Ransomware突然異軍突起，全世界流行起來。IBM曾經在美國做過一次調研，僅在2016年，已知的網路勒索涉案金額總額近10億美元，40%的垃圾郵件裡都有Ransomware。一半的受害者拒絕交錢，“魚死網破”，另一半的受害者束手無策，乖乖交錢。

受害者往往對於一百美元以下的贖金能夠接受，這也是為什麼Ransomware每次涉案金額較小，但傳播極其廣泛。企業使用者往往比個人使用者更倒黴，因為他們要交的贖金往往更多，而且他們會迫於公司壓力選擇交錢。70%的企業受害者交了贖金，這些交了贖金的人裡面，一半的人交了至少一萬美元，20%的人交了至少四萬美元。

2016年，歐洲刑警組織（Europol）把Ransomware列為“危害性最高的網路攻擊”，排在它後面的才是資料盜竊（偷檔案）和銀行木馬（偷銀行卡）。歐洲刑警組織對網路犯罪做了一個執法優先順序排名，排名前五的病毒裡，三個都是Ransomware。

(歐洲刑警組織對網路病毒的執法優先順序排名)

網際網路初期的病毒，大多數是“損人不利己”的。駭客們搞出個病毒，不為賺錢，就為炫耀一下自己的才華。2006年的病毒“熊貓燒香”，中病毒以後所有.exe結尾的檔案無法執行，圖示變成一個熊貓舉著三炷香。2003年的“衝擊波”（Worm.Blaster）病毒，中病毒以後，電腦會一分鐘自動重啟一次。“衝擊波”的原始碼裡，還有一行嘲諷比爾·蓋茨的話：

“比爾蓋茨啊，你怎麼能讓這種事情發生？少掙點兒錢吧，多修修漏洞。”

(被“熊貓燒香”感染的檔案，圖示全變成了熊貓)

早期的駭客往往都是軟體愛好者，業餘時間搞出個病毒宣傳一下自己，並不拿它賺錢。可隨著網際網路的普及，病毒不再是“惡作劇”，越來越多的職業犯罪者用它來大發橫財。

Ransomware是個很特別的攻擊手段。過去的駭客往往喜歡“黑進”你的電腦，手裡拿著一個“萬能鑰匙”（解密演算法），撬開你的鎖（加密檔案）。而網路勒索正相反，駭客並不在乎你電腦裡有什麼，他們手裡拿的是個“萬能鎖”（Ransomware），逼你交錢以後才把這個“萬能鎖”開啟。上鎖比開鎖容易，加密也比解密要簡單。所以網路敲詐犯，不需要學太多計算機知識。只要拿到了Ransomware，小學生都可以搞勒索。

管病毒管受害者直接要錢，在過去是行不通的。警方可以透過查詢銀行的交易記錄，迅速追捕到罪犯。可在比特幣發明出來以後，形勢一下子就變了。比特幣隨處可買，線上流通。它不需要身份證驗證，也不需要去銀行管理。比特幣是個“去中心化”的金融體系，警察對比特幣交易無法追蹤。有了這麼一個“地下交易”網，駭客們拿完錢後輕鬆逍遙法外。已報告的網路勒索案，絕大多數都是透過比特幣支付的贖金。

(比特幣無法追蹤，所以成了駭客的“通用貨幣”)

網際網路創業就像賽跑，誰釋出的早，誰就容易佔掉市場份額。這就導致創業者們養成了一種陋習：先發佈一個差不多能用的軟體，以後再慢慢修漏洞。正是這些漏洞，讓駭客們一下子有隙可乘。

一個典型的例子就是MongoDB。MongoDB是一個非常好用的“非關係型資料庫”（至於什麼是“非關係型資料庫”，我們以後有機會再講）。MongoDB剛剛釋出的時候，它的預設設定非常不合理：任何人都可以訪問這個資料庫（沒有Access Control），而且不做自動備份。很多人不會改MongoDB的預設設定，於是駭客們紛紛前去盜取這些沒有任何保護的資料庫，然後敲詐管理員。

在MongoDB的官方部落格透露，2萬5千個資料庫中，2000個受到了駭客的勒索。勒索者偷走了所有資料，然後在資料庫裡留下一句話：“透過比特幣給我XXX美元，不然我就刪掉你的資料。” 攻擊MongoDB的駭客實在太多了，以至於一個駭客剛剛在資料庫裡留下勒索的“紙條”，另一個駭客立刻把“紙條”的收款人抹掉，改成自己的比特幣賬戶。如今MongoDB已經修復了這個漏洞，然而大量使用者並沒有升級，還處在被勒索的風險之下。

綜上所述，職業罪犯的加入、極低的技術門檻、無法追蹤的交易模式、漏洞百出的軟體，這些就是Ransomware肆虐的原因。

那麼，我們拿這些敲詐犯沒有辦法了嗎？

對抗網路勒索的手段

2016年6月，美國加利福尼亞州參議院通過了一項法律：網路勒索，視同勒索罪處理。這個編號為SB-1137的法律由加州參議員鮑勃·赫茲伯格（Bob Hertzberg）提出，在州參議院全票透過，最後由加州州長傑瑞·布朗（Jerry Brown）簽署。它不僅給出了網路勒索的法律定義，還規定：就算這個駭客沒有收到贖金，罪行也按照收到贖金判決。作案者最高可以被判4年監禁，另外還有1萬美元的罰款。這個法案在討論的時候，好萊塢長老會醫院作為受害者還曾發表過證詞。醫院院長終於可以放下心來，不再擔心醫院電腦被駭客給“鎖住”了。

可事情就這麼結束了嗎？

法案透過僅僅一天後，法案提出者赫茲伯格的電腦就被駭客給加密了。赫茲伯格無奈地發了一條推文，還發了個截圖：“這就是我在州議會的辦公室電腦截圖，它被Ransomware攻擊了。”

(網路勒索法案的提出者赫茲伯格反而被勒索)

直到今日，這些網路勒索的罪犯們還在頻頻作案，因為雖然立法有了，執法手段上還有很長一段路要走。今天被成功逮捕的駭客少之又少，大多數勒索者還在逍遙法外。如果事後抓不到，我們就只能事前預防。

防範網路敲詐的方法有很多，最重要的就是養成良好的上網習慣：不要點開不認識的郵件附件，不要在不安全的網站下載軟體，勤防毒，勤升級，多用雲端儲存，定期做硬碟備份。

如果上面的都沒有做到，自己還是被攻擊了，不要慌，有不少網站可以把你的檔案找回來。比如http://nomoreransom.org，它不僅可以用多種演算法嘗試解密被“鎖住”的檔案，還會指導你如何報警。不少Ransomware已經被破解了（比如“拼圖”），去一些值得信任的論壇，也能下載到正確的解密工具。

最後，在付贖金之前一定要再三考慮，因為駭客可能會在要了一次錢以後得寸進尺，不斷地騷擾你。而且駭客不一定會在最後把檔案還給你，你的錢最後也拿不回來。況且，如果交贖金的人少了，駭客們就賺不到錢，類似的攻擊就會變少。你如果交了贖金，這可能是一種對這種犯罪行為的鼓勵。

駭客之所以選擇比特幣支付贖金，是因為比特幣不僅相對於其他傳統支付工具有優勢，在其他虛擬貨幣中也是最佳選擇。首先，比特幣有一定的匿名性，便於駭客身份；其次它不受地域限制，可以全球範圍收款；同時比特幣還有“去中心化”的特點，可以讓駭客透過程式自動處理受害者贖金。

透過網路的技術支援，比特幣的製造和發行都不以對中央發行機構的信任為基礎，轉賬和其他交易等操作甚至不需要姓名。

而相比於其他數字貨幣，比特幣目前佔有最大的市場份額，具有最好的流動性，所以成為駭客的選擇，這和現實中犯罪人士喜歡使用美元現鈔背後有相似的邏輯。

我不認為不能到追蹤到罪犯，比特幣雖然無法追蹤，但是已經有人透過電子郵件和駭客取得聯絡，難道不能利用電子郵件進行追蹤，不能把注意力全部放在比特幣能否追蹤的問題上。

因為勒索病毒對價值高的計算機進行了比特幣的支付解鎖，比特幣因此高升幅了。策劃者以此一劍雙鵰。收了的比特幣拿出來又是漲的，倒賣，還是升值的那種，這賺的夠兇。還拿他沒辦法拍賣升值

據說比特幣是日本人發明的，日本人是唯恐天下不亂?日本人看透了人性弱點，自私與貪賴。讓你們在看不清摸不著的環境中互相博鬥殘/殺，等你們失去理智筋疲力盡時，日本人可輕鬆收穫一大筆不義之財。蠢豬們!醒醒吧！

因為比特幣具有匿名性。

我們不談對錯，說說技術。從技術的角度去看看為什麼警擦叔叔抓不到這群壞人。（覺得很長不想看的朋友可以直接看總結）

先說說比特幣比特幣（BitCoin）的概念最初由中本聰在2009年提出，根據中本聰的思路設計釋出的開源軟體以及建構其上的P2P網路。比特幣是一種P2P形式的數字貨幣。點對點的傳輸意味著一個去中心化的支付系統。

我說白一點，比特幣是一種虛擬貨幣，是一種流通在一個區塊鏈網路上的虛擬貨幣。比特幣的交易，就是從一個地址傳送到另外一個地址。

那麼為什麼比特幣具有匿名性呢？這裡就牽涉到區塊鏈的基本技術了。

區塊鏈是什麼？區塊鏈是分散式資料儲存、點對點傳輸、共識機制、加密演算法等計算機技術的新型應用模式。所謂共識機制是區塊鏈系統中實現不同節點之間建立信任、獲取權益的數學演算法。

小編簡單一點說：區塊鏈，顧名思義，這個網路上很多區塊被一條條的鏈連結在一起。那麼這些區塊到底是什麼呢？這些區塊可以比喻成一本本的賬本，它記錄著這個網路裡所有的交易和不同的比特幣存在在不同的地點。通俗說，這些區塊是賬本，記錄著A和B的py交易，也記錄著在X地點存放著多少錢（比特幣）。

那跟匿名有什麼關係？這些存錢的地點很特別，跟銀行很像——我們都知道銀行有很多錢，但是我們不知道誰把錢存在裡面。比特幣的區塊鏈網路採用密碼學加密。每個地點都對應兩把鑰匙。一把公鑰一把私鑰！公鑰的意思，就是每個人都可以使用公鑰去看這裡有多少錢，進行過什麼交易。但是呢到底誰擁有這些錢並且進行交易呢？沒人知道！因為只有擁有私鑰的人才能操作裡面的比特幣。

這些地址跟銀行有點不一樣哦。銀行是在XX路XX號。可是這裡的地址是一連串的雜湊碼！雜湊碼在我們看來就是一串亂碼。只有擁有這串雜湊碼的私鑰的人才能去操作比特幣。

我簡單總結一下：比特幣是一個區塊鏈網路的流通的虛擬貨幣，這個網路的交易是一個地址傳送一定量的比特幣到另外一個地址，這兩個地址都是一個看似是亂碼的雜湊碼，所以沒人知道這個地址在哪裡，沒人知道誰能操作這個地址的比特幣！這就匿名了。

這裡有一點特別有趣的是，比特幣的創始人中本聰是誰依然沒人知道。

但是警察能夠監管嗎？不是不能，有一定的條件限制！

如果這些人想要把比特幣換成現實中的錢，在交易平臺交易的話，警察就只需要知道這個加密的賬戶把換出來的現實中的匯入了現實中哪個賬戶就行了。當然，如果他們不從交易平臺換錢就沒有辦法了。

1.比特幣勒索病毒原理

該勒索病毒是“蠕蟲式”的勒索軟體叫WannaCry勒索病毒，會鎖定並加密電腦各種檔案，使用者開啟就會彈出索要比特幣的視窗，每次大概300-600美刀，也有部分使用者付錢也沒有解密，當時人心惶惶。

這個勒索病毒是犯罪分子用NSA（美國安全域性）洩露的漏洞“EternalBlue”（永恆之藍）傳播的，攻擊物件是沒有更新到最新版本的Windows系統。

WannaCry勒索病毒主要利用微軟的系統漏洞獲得自動傳播能力，能在數小時內感染一個系統內的全部電腦，2017年5月12號全球大爆發，知道5月13號英國的研究人意外發現病毒開關，意外遏制了病毒擴散。

2.比特幣追蹤相關

為什麼罪犯不好追蹤，這個就可以說說比特幣的匿名性了，因為筆者寫過一篇關於比特幣匿名性的文章，所以有所瞭解。

比特幣每筆交易都被記錄在案。任何人都能看見比特幣的去向。僅靠去向的話不能夠用來辨識任何人，因為地址只是隨機數。然而，如果任何任何交易所包含的地址能夠和一個身份相關聯，就有很大的可能性從該關聯出發，找出其他地址的所有者。這個身份情報可能來源於網路統計資訊、流量監視或谷歌搜尋。官方所推薦的方法是每筆交易都更換一個地址，這會使這種攻擊變得更加困難。

簡單的說就是我轉了一筆比特幣給一個人後，其實中間經歷過很多次地址的變動和中轉，而且可能犯罪分子的錢包地址也是備用的，最後再轉出去，又經歷過無數次的地址變動，最終去查犯罪分子的資料是不太可能實現的，因為這個系統本來就是去中心化的。定位是很難實現，都不確定這筆賬流向了何方。

所以比特幣的區塊鏈技術是中性的，好人用到就是造福社會，壞人利用就是犯罪，技術本無罪，人心才是有對錯的

近些年勒索病毒頻發，“WannaCry”、"NotPetya"、“壞兔子”，每次勒索病毒的爆發都引起各行各業的恐慌。今年年初，市委網信辦通報勒索病毒再次出現。據悉此次的勒索病毒是GlobeImposter家族的最新變種，主要以國內公共機構伺服器為主要攻擊物件。多家醫院伺服器遭到攻擊 ，導致系統癱瘓，資料庫檔案被加密破壞，已嚴重影響醫院的正常就醫秩序。如何有效防止勒索病毒的攻擊，已經成為各組織資訊保安建設重點關注的課題。

目前市場上常見的勒索病毒防護方案有兩種：一是資料備份，在遭到病毒之後可恢復歷史檔案，卻只能挽回少量損失；二是防毒軟體，可發現惡意攻擊，但是並不能發現變種勒索病毒。這兩種解決方案雖然都能挽回一定損失，卻並不能真正防止勒索病毒對檔案的破壞。我們更應該思考的是如何從根源徹底防止資料檔案被病毒加密。

億賽通作為國內資料洩露防護領域的第一品牌，針對勒索病毒的防護研究始終在進行中，此次全新推出自主研發的“勒索病毒防護衛士公益版V1.0”，對資料檔案進行保護，使勒索病毒無法對資料進行加密，勒索行為化為泡影。

智慧識別全面抵禦病毒攻擊

億賽通勒索病毒防護衛士公益版V1.0：國內首款勒索病毒防護軟體，經過專業測試，可主動抵禦各種勒索病毒對企業核心檔案的攻擊加密。軟體採用可信程序、程序簽名等技術，透過對程序進行智慧識別，防止各種勒索病毒軟體對使用者文件進行惡意加密，從而有效保護您的資料資產安全。

產品具體功能...

1.智慧學習：使用者可自主選擇需保護目錄進行學習，可學習到被保護目錄下檔案的合法訪問程序及檔案路徑資訊；

2.策略應用：將學習結果生成檔案保護策略並應用；

3.檔案防護：支援對檔案開啟或關閉防護，開啟防護後將拒絕非法程序訪問被保護目錄下的檔案；

4.違規記錄：支援記錄被拒絕訪問的軟體程序及拒絕訪問的檔案及路徑；

5.策略維護：支援將未學習到的合法程序新增到檔案保護策略中。

億賽通——中國資料安全防護專家，堅持從源頭上真正的保護使用者資料安全，即使勒索軟體變種多樣，防護衛士均可能做到完美抵禦，打擊非法勒索黑產，我們一直在路上！