揭秘勒索软件地下产业：捏“软柿子” 勒索组织爱挑医院大学

▲工程师将一台笔记本电脑进行勒索病毒感染，之后演示恢复软件

新工具:

加密技术的新工具、比特币的出现…… 络盗窃变得容易。

新手法:

这些勒索的人甚至还有客服热线，让受害者可以打电话进去，“协助”他们付款。

新态势:

据估计，2012年，只有3%的受害者会交钱。但现在，交赎金的比例已经上升到了50%。

日前，一种名为“想哭（WannaCry）”的勒索病毒袭击全球，从美国快递巨头FedEx、英国医疗系统，到中国的大学，甚至俄罗斯的内务部都遭到攻击。

截至目前，全球 络安全专家还在通力协作，试图找出背后黑手。

而据外媒 道，勒索软件已经成为一个完整的地下产业，任何人都能轻易利用软件敲诈别人。

成都商 梳理了这些勒索软件的“黑”历史、“市场”情况、赎金额度，还有最喜欢的攻击目标。

技术门槛降低

甚至不需要专业技术 勒索软件已有20多种

过去的假杀毒骗局，或用特洛伊木马病毒盗取信用卡，至少还需要黑客们利用技术手段甚至创意来盗取钱财。“现在，甚至根本不需要有任何专业技术。”帮助了几十个 络勒索受害者的Crypsis集团高级总监杰森·瑞布赫斯说。

随着加密技术的新工具、像比特币一样难以被追踪的货币出现，甚至还有 站提供勒索软件…… 络盗窃变得非常容易。现在，任何人都可能简单点下鼠标，生成一个勒索软件。

一旦受害者付款，勒索软件提供者就从中抽取一定比例的提成。这些勒索的人甚至还有客服热线，让受害者可以打电话进去，“协助”他们付款。除了电话，受害者还能选择在线聊天跟勒索者沟通。

四年前，只有大概16种勒索软件，主要在东欧地区活动。那时候，锁住受害者电脑，通常只要求100美元~400美元赎金。随着电脑数据文件成为人们的“生命线”， 络罪犯也开始升级他们的敲诈游戏。现在，市场上已经有二十多种勒索软件，形成了一个完整的地下产业，而想抓住他们甚至给这些幕后黑手定罪则非常困难。

过去，技术人员和 络安全专家一般都能找到解锁方法，给勒索黑客交赎金的人并不多。根据 络安全专家估计，2012年，只有3%的受害者会交钱。但现在，交赎金的比例已经上升到了50%。而不交的那一半人，通常是因为自己有足够备份，或者心理抵触拒绝，还有人是付不起赎金，宁愿放弃电脑文件。

赎金更好隐藏

比特币很难追踪

让罪犯更易藏匿

根据Crypsis集团的数据，赎金现在水涨船高，从低至1个比特币（约1700美元）到高至30个比特币（约5.1万美元），平均赎金为4个比特币（约7000美元）。比起信用卡或者电汇，比特币很难追踪，因此给 络罪犯提供了一种更容易藏匿身份的收钱方式。所以，勒索软件都以比特币来计量赎金。

杰森·瑞布赫斯说，那些业余的勒索者很可能在收钱之后也不解锁，但职业勒索黑客怕坏了“名声”，影响“生意”，通常都会收钱之后解锁。

犯罪目标明确

勒索组织寻找“软柿子”

发现医疗系统尤其怕捏

这些勒索组织已经找到了各种“软柿子”。像大学这种需要共享大量信息而有开放 络系统的组织就比较容易受到攻击。最近，他们还发现医疗系统是一个尤其怕捏的“软柿子”。

医生和急诊室的电脑系统一旦被黑，紧急程度超过其他各种组织。上周五，英国医疗系统被攻击的时候，医生没法查阅病例，不得不让病人回家。伦敦的帝国理工医疗在过去12个月里就被勒索软件攻击了19次之多。

像这样的勒索，暂时没人能免疫。

今年1月，黑客攻击了美国印第安纳州一个小型癌症慈善组织，攻陷了其主服务器和备份服务器，要求高达50个比特币的赎金（约8.7万美元）。

根据FBI的数据，2015年到2016年间，美国遭到勒索软件攻击的数量翻了4倍，赎金高达10亿美元。2016年，加州、印第安纳、肯塔基、马里兰以及得德克萨斯州的医院都曾被勒索软件攻击。2月，洛杉矶医院就支付了1.7万美元赎金，才得以解锁电脑。

手段变得多样

约有一半勒索袭击

通过点开邮件实现

除此之外，大多数小到中型企业通常都会交纳赎金。这些企业没有做足备份工作，别无选择。“大多数情况下，那些数据是他们生意的命脉。”杰森·瑞布赫斯说：“他们要么交钱，要么就经营不下去。”

差不多有一半的勒索袭击都是通过点开邮件实现的，有时候也有更为复杂的方式。像“注水洞袭击”，就是用勒索码先感染一个 站。当用户上这个 站的时候，勒索软件就被下载到用户的电脑。

杰森·瑞布赫斯说，还有一半袭击是用更直接粗暴的方法瞄准受害者。他们扫描一个组织机构的所有软件，找到容易攻击的漏洞、容易破译的密码或其他没有加锁的数据入口，之后就加密受害者的各种文件。

同步播

比特币勒索病毒肆虐全球，国内多所高校中招，有毕业生称毕业论文被锁定无法取回。病毒几乎无法破解，不过身处成都环球中心的数据恢复四川省重点实验室奋战两天后，于14日晚间10点发布了一款免费小工具，“专门针对office文档，可以恢复因中病毒而损失的文件。”

昨日，一条“重磅！四川 络公司攻克勒索病毒，独家发布免费恢复工具”的文章热传，对此公司方面称“发布的工具可以恢复数据，不是破解病毒”。

四川公司发布免费工具恢复文档

现场实测：

未加密数据 恢复内容超8成

用来恢复数据 不是破解病毒

“对，可以恢复数据。”“要看文件大小，1.5M以上的可以尝试使用。”15日下午，环球中心的7楼，赵飞手机响个不停，接电话的间隙，他还要敲打键盘回答好友、同事的咨询。

赵飞是数据恢复四川省重点实验室研究员，实验室依托四川效率源信息安全技术股份有限公司与内江师范学院共同组建。15日当天，他们前一日发布的一款免费小工具在 络上引起围观，据称对于感染了“比特币勒索病毒”的电脑，这款工具可以针对性恢复电脑中office文档的部分数据。

5.5M的Word文档 找回4.5M

赵飞从办公室找来一台电脑，“我们在这台电脑中创设一台虚拟机，然后让病毒感染虚拟机。”

然后，他通过快捷键进入桌面，将实验Word文档（5.5M）复制到U盘，接着拷贝到另一台安全电脑。赵飞打开他们发布的小工具，将实验文档选作恢复目标，选择保存路径后再点击“数据分析”。很快，我们在指定的文件夹中找到了多张图片，共计4.5M。“这些是刚刚Word文档中的图片。”赵飞表示，这个文档中的文字可能被加密无法恢复。