普通人的勒索病毒紧急自救偏方
2019-07-17 11:44

普通人的勒索病毒紧急自救偏方

本文来自微信公众号:浅黑科技(ID:qianheikeji),作者:谢幺,标题图来自视觉中国


大家好,我是谢幺。前几天逛知乎,看见一个说法:普通人的电脑几乎不会被黑,因为没有入侵价值。对于这个说法,幺哥表示部分赞同。



跟企业的服务器相比,个人电脑的攻击价值确实不值一提,但,蚊子虽小也是肉啊!


早些时候,网络攻击者拿下一台普通人的电脑,确实搞不来几个钱,常见的做法是在里头安装各种第三方的软件全家桶,或是劫持浏览器点击小广告挣点广告费,要么是拿来当肉鸡。


比特币带火了数字货币以后,黑客也开始“借用”受害者的电脑算力来挖币,这种在网吧比较常见,因为网吧电脑常年开着机,显卡又好,网管说话又好听,个个都是人才。


但总体来说,单台肉鸡收益不高,得靠数量取胜。


然鹅,勒索病毒的出现让蚊子肉有了新的烹饪方法,普通人的攻击价值陡然提升。


黑客从此不需要提前知道受害者的身份,或是电脑里有没有高价值的东西,直接黑进去,文件全锁上,然后坐等收赎金就完事儿了。



受害者也许是个HR,大量公司简历被加密;也许是个设计师,刚改完的最后一版没了;也是个律师,几份紧急的案子文件被锁;也许是个学生,毕业论文刚写完;或者,也许就只是个普通宅男,硬盘里几个T的小姐姐挥一挥衣袖,不带走一篇云彩……幸福千篇一律,一千个人却有一千种悲剧。


可以说,勒索病毒以一己之力拉高了普通老百姓电脑被黑的概率。


这不,前阵子我刚写了一篇讲勒索病毒团伙的文章,没过多久就有人表示身边有朋友中了勒索。(看来我的乌鸦嘴非常奏效,正在看文的你要小心了)。



在这位浅友默哀的同时,我也想到了自己,以及千千万万个吃瓜浅友们。作为普通人,我们在遇到勒索病毒之后,第一时间做什么才能控制损失甚至自救?


我翻了翻资料,请教了几个身边有经验的老司机,再结合自身生活经验,总结出这套勒索病毒自救偏方,在此分享给大家。


Let's Rock!


普通人的网络勒索自救偏方



首先,现在让我们一起代入场景。


某天,你正开开心心地玩电脑,屏幕上忽然弹出一个奇怪的窗口,上面显示一堆看不太懂的英文,以及一个诡异的小锁或者倒计时。


恭喜你,中招了。



一般情况,桌面还会弹出一个txt文本。



来自远方的勒索者送来一封亲切的问候信,给了你狠狠一巴掌。



请问,此时你该如何应对?


A. 蒙上自己双眼假装看不见,或者捂住耳朵大喊我不听我不听


B. 吃包辣条冷静一下,仔细阅读勒索信并静静欣赏信里的文采


C. 断网


读书时的经验告诉我们,两长一短选最短,所以答案是C。


有网线就直接拔网线,没网线则断开WiFi,保持冷静,如果此时你周围还有同事或者朋友正在上网,悄咪咪看一下他们的电脑是否也出了问题。


许多勒索病毒具有横向传播功能,就像是感冒病毒一样传染给局域网里的其他电脑,早断网一秒,亲人少流一行泪,如果整个办公室都因为你而中招,那么勒索你的就不再只有黑客,还有你的同事和老板。


保留犯罪现场


如果还想找回被加密的文件,尽量让现场保持原样。


不要指望重装系统就能好,有些勒索病毒的解密需要根据你电脑的一些软硬件信息(比如注册表信息)来生成密钥,一旦这些信息被破坏,很可能永远都无法解密,交了钱也没辙。


最好也不要重启电脑或关机。这是网络勒索,网管的那套“万能重启大法”在此并不好使,还可能弄巧成拙,因为电脑内存里很可能留有用来解密的线索,专业人士可以拿来破案,一旦关机断电就会被清空。


在这方面警察蜀黍办案的流程就值得学习,在第一时间保留线索和作案现场,方便日后回溯线索和破案。



保留好现场,下面我们就可以进入自救环节。 


到这一步,重要文件应该已经变成了加密状态,就像这个亚子。



勒索病毒千千万,你得知道自己中了哪一卦。怎么办?


收集病毒特征


仔细回想一下,在中毒的前一刻,自己是不是上了什么不该上的网站,打开了什么不该打开的文件?看了什么不该看的东西?是不是有FBI warning过你?


如果你真的什么也没做,那也有可能是跟你同在一个局域网里的同事干的,当然,他有可能并不会承认,你不妨抽出皮带拷问他一下。


总之,能直接找到病毒样本是最好。


观察被加密的文件的后缀名,不同勒索病毒的后缀不一样,一般通过后缀名就能大致判断种类。比如GlobeImposter勒索病毒的常用后缀是:auchentoshan、动物名+4444,而WannaCry勒索病毒的后缀名是wncry。


怎么判断呢?上网搜呗,度娘谷歌都行,就像这样:




也有些自信心爆棚的病毒会在勒索信自报家门,比如下面这个。



总之,观察勒索信里信外,看有没有透露能判断勒索软件的标志。


如果以上都没法确定病毒种类,记下勒索信的文件路径、具体内容、信里提及的所有网址、邮箱地址等等,这些都可以留作判断依据,具体怎么用后面会讲。


自助解密


正所谓求人不如求己,即便你是个电脑小白,也有一定概率直接找到解密工具。


全世界的安全公司都在努力对抗勒索病毒,其中很多公司都推出了的勒索病毒免费解密工具聚合网站。


比如卡巴斯基的:https://noransom.kaspersky.com/



奥地利知名杀软Emsisoft的:https://www.emsisoft.com/decrypter/



知名安全研究团队malwareteam的:https://id-ransomware.malwarehunterteam.com/



360的:https://lesuobingdu.360.cn/



Avast的:https://www.avast.com/zh-cn/ransomware-decryption-tools



也有一些非商业公司成立的勒索解密网站,比如著名的Nomoreransom勒索软件解密工具集,这是由各国警方和几家著名的网络公司联合发布的“公益救助”网站:


https://www.nomoreransom.org/zh/decryption-tools.html



这些网站的基本流程都差不多:上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息,它就能自动帮你分辨是哪一款勒索软件。


如果是目前已经被攻破的勒索软件,恭喜你,网站会提供对应的解密工具和详细的使用说明。(很多外国网站和说明书都是纯英文的,这里推荐英文不太好的朋友用“彩云小译”,上面那几张截图就是用它翻译的,炒鸡好用,这是幺哥的良心推荐。)



如果通过这些方法依然没找到解密工具,甚至都没法分辨出勒索软件的种类,下一步就该拨打场外求助热线了。


场外求助


你可以去一些技术研究或者安全论坛叫银。


像“吾爱破解论坛”“卡饭论坛”之类的,以及各大网络安全公司的官方论坛,比如“卡卡安全论坛”“火绒论坛”“360社区”等等(这里只是说几个例子,还有别的好去处可以在留言区推荐),找到相应版块,招呼网友和管理员。



遇到危险大喊救命并不丢人,也不要觉得这是无谓的求助,正所谓“大隐隐于市,高手在民间”,技术大神经常隐藏在群众灌水的队伍里。


网上有过不少通过论坛求助成功解密的案例。据幺哥了解,只要你会用小学生文明礼貌用语,很多论坛管理员还是会回应的。


火绒论坛的管理员回复


瑞星卡卡安全论坛的管理员回复


通过场外求助最终解密的例子也不少。比如前阵子吾爱破解论坛的用户在四处求助无门后,顺手去瑞星的“卡卡安全论坛”发了个求助帖,没想到管理员很快就过来帮忙,最终成功解密,省下价值几台iPhone的赎金。(就是上图的那个案例)


如果实在没办法,你也可以在网上找到一些安全研究员的私人公众号,或是安全公司的公众号求助。


万不得已,你还可以求助万能的淘宝。在淘宝上搜索“勒索病毒解密”,你会发现上面有一大票店家。



这算是个求助途径,但幺哥并不是很推荐,毕竟是收费的。


而且,淘宝上帮人解密的店铺,其实大部分用的也是网上公开的解密工具。


从逻辑上来讲,正牌安全公司代表着这颗星球最强的反勒索实力,但凡某款勒索病毒被安全公司攻破,通常会昭告天下:“XXXX公司率先攻破XXXX”,就像这样:



然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧。


不过,如果你觉得自己上网求助、找工具麻烦,或者担心自己手抖误操作,也不妨出点小钱让他们代劳,前提是价格厚道。


同时幺哥也要提醒一句说,最好找信誉较高的店,否则先被勒索再被骗,可能会怀疑人生。


找勒索者唠嗑


除了求助第三方,你其实也可以直接联系一下勒索者,勒索信里通常有联系方式。


编一段声泪俱下的故事,砍砍价,或是告诉对方自己正在想办法准备赎金,但是没有购买虚拟币的经验,需要一些时间学习和开户,试试看能不能延期付款


网友clg808发邮件吐槽赎金太贵


万一勒索者心情好,给你个折扣什么或者延期,甚至被你的真诚和人生哲学所打动,改邪归正,也不是没可能,虽然概率有点小。


顺道说一个小操作:通常情况,勒索病毒作者为了证明自己有能力解密,会给一次测试解密的机会,比如允许你发给他三个文件,免费帮你解密。



如果你被加密的文件里,有一些需要紧急使用的非机密文件(比如刚写完的稿子),不妨直接发给勒索者让他解密。


交钱还是死磕


勒索者不会留给你太多时间,大部分勒索病毒都会带一个倒计时,比如超过24小时赎金翻倍,超过三天就撕票,永远无法解密。


所以其实最重要的是,你必须做好自救失败的打算


如果被勒索的文件真的非常重要,请提前准备好一笔赎金,最后关头也许用得上。虽然交赎金意味着助长勒索之风,但也是无奈之举。 


前几天《纽约时报》有则新闻,讲美国有225位市长联名支持一项不给黑客支付赎金的决议,表面听起来非常振奋人心,可问题来了,等到黑客真的锁死医院、发电厂、政府,整个城市陷入瘫痪,这些市长真的能顶住不支付赎金?


幺哥的个人观点是,支付赎金这件事没有绝对,如果被锁住的文件关系重大,还是得做好两手准备,与其中了勒索病毒再死撑着不交赎金然后自己吃亏,倒不如吃一堑长一智,做好防备,争取以后不被勒索。


如果你被勒索的文件既不重要也不紧急,倒也不妨下定决心死磕,兴许过一段时间安全公司就会找出解密方法。不过,这个期限可能是一个月,也可能是一年,甚至十年,就跟中彩票似的。


研究员王正告诉我,就像Globelmposter、CrySiS两款勒索新的变种,已经有一年多了,至今还没有发布相关解密工具。


总之,看命。



其实最稳妥的方法还是第一时间联系专业的安全公司,不过,我问了几个朋友,他们说安全公司通常只对公司,对个人的话,难说。当然,如果你不缺钱,就不难说了。


总结


说了这么多,幺哥还是希望大家运气好点,别中勒索。


之前看到一则新闻,讲国外有安全公司专门收钱摆平勒索,收费很高,每次都能解开,后来被发现居然是收了客户的钱之后,暗地里去给勒索团伙交赎金拿密钥,自己坐当中间商赚差价。



说实话,这也不能全怪安全公司,毕竟反网络勒索最好的方法还是防患于未然,而不是亡羊补牢,掏钱找安全公司,除了摆平当下遇到的事,更大的意义在于防止未来再踩同样的坑



勒索病毒这事儿未来一定会越来越多,一个很重要的原因是肉身太难抓。


这个逻辑和电信诈骗难打击一样,犯罪分子肉身藏在国外,存在跨境执法困难的问题。 有时候我就心想,这样下去会不会产生一个奇特的现象:


A国的团伙勒索B国的人民,B国的团伙勒索A国的人民,两边罪犯都难抓,但两边的人民都遭罪。


我把这种现象称之为“共轭勒索”。


在这种情况下,作为普通吃瓜群众,除了自保,也没有什么办法。


最后,希望大家平时不乱点文件,不乱看不该看的东西,上正规的网站,养成备份重要文件的习惯,或者干脆用同步云盘,实时同步重要文件。


祝各位浅友网上冲浪愉快。


如果大家还有什么防身小妙招、偏方,欢迎留言。拜拜~


参考资料:

熊猫正正.安全分析与研究.《企业中了勒索病毒该怎么办?可以解密吗?》

360企业安全服务团队.安全客.《勒索病毒应急响应 自救手册(第二版)》


题图截取自电影《功夫》


本文来自微信公众号:浅黑科技(ID:qianheikeji),作者:谢幺,标题图来自视觉中国

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com

正在改变与想要改变世界的人,都在虎嗅APP

赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定

读了这篇文章的人还读了...

回顶部
收藏
评论4
点赞15