“不给钱就删库”的勒索病毒， 程序员该如何防护？

备份十分必要：勒索病毒开始拉帮结派了

据媒体报道，6月7日本田公司遭遇勒索病毒攻击，全球的业务（包括生产）受到该事件影响。截至10日，本田的部分主要工厂仍处于停工状态。 【关于勒索病毒】 引发此次事件的勒索病毒叫“Ekans”，是Snake勒索软件的一种变体。Ekans拥有相对较新的攻击模式，它具…

近期一家名为ProPublica 的外媒批露了两家号称专门提供勒索病毒数据恢复解决方案的公司，竟然背地里在偷偷地给黑客支付赎金，欺骗寻求数据恢复的用户。

被批露的两家公司名字分别为Proven Data 和Monster Cloud，这两家公司的业务主要就是为客户提供所谓的反勒索病毒解决方案，具体来说就是通过为中了勒索病毒的企业恢复数据来收取服务费。听起来这两家公司的业务跟很多安全类公司提供的服务有些类似，没有什么特别的，甚至还有点替天行道的意思。但让人大跌眼镜的是，这两家公司为客户提供的所谓的解决方案竟然是向发起攻击的黑客支付赎金，然后向被攻击的企业收取更多的服务费，差价赚的不亦乐乎。

为此笔者专门了解了下，结果发现安全领域从事这种勾当的企业远不止这两家。早在今年的6月27日，知名的反病毒软件供应商EmiSoft（奥地利的一家公司，安全圈内比较出名）在公司的官方博客中曾经发表过相关的文章，文章内容批露有一家名为红蚁（Red Mosquito）的所谓的数据恢复公司也在干着和上面提到的两家公司相同的”业务”。 

不幸的是这些所谓的数据恢复公司并非很简单就可以发现，EmiSoft 的主管Fabian Wosar在处理客户业务时，偶然间发现Red Mosquito 这家公司的业务存在问题，于是Febian Wosar 特意精心设计了一个套，事后发现Red Mosquit 的套路和前面提到的两家公司基本是如出一辙。

看下Red Mosquit 的官网，你会发现Red Mosquit 在过去的一年中“战果累累”，该公司网站上对外宣称在过去的一年中他们经手处理的勒索病毒事故达到了数百起，赚得可谓锅满盆满。另外Red Mosquit 还在其官方网站上对外发布广告，称其近期针对勒索病毒方面还推出了“诚实、专业、免费的安全咨询”。

更可笑的是Red Mosquit 还对外宣称，他们公司为用户提供的是支付赎金之外的专业的替代方案，另外还恐吓用户千万不要自己尝试去和黑客进行沟通，防止给自己带来额外的更进一步的损失。

吓唬用户，不让用户自己去主动联系攻击者，原来是为了自己去联系攻击者，好赚取赎金中的差价，Red Mosquit这一招6的飞起，佩服、佩服。

圈内的同学看完这些可能觉得这种简单的计俩都能骗到人，是不是太没常识？设身处地地想一下，如果被攻击者对勒索病毒这一块不是很熟悉，且被勒索病毒加密的数据是比较重要的数据，这个时候来一个所谓的安全专家告诉你他能帮你进行数据恢复，基于对人性的弱点的考量，很多人可能真的会钻进Red Mosquit 下的套，另外从Red Mosquit公布的他们经手处理的勒索病毒事件的数量也能看出掉坑里的用户数据不在少数。

如何被曝光的？

以上我们只是简略地介绍了下这些所谓的数据恢复公司是如何通过精心设计的套路来鱼肉受害者的，并没有具体描述这些”数据公司”的具体套路，为此笔者专门在EmiSoft 的官网上查找了一番，最后总算梳理出了Wosar 发现这些”数据公司”公司的具体过程，了解下这些过程对于广大的互联网用户来说也是一个不错的发现陷阱的过程，具体见下文。

为探明受害者被坑的具体过程，Wosar 专门为此开发了一个伪造的勒索软件，并为勒索软件取了个名字”GOTCHA”。为了增加勒索软件的可信性，Wosar 还专门写了一封勒索信，了解安全的领域的都知道黑客圈里很多都是非英语国家，比如俄罗斯等，这些非英语国家的黑客一般对英文并不是很熟悉，因此为让所写的信件更具可信性，Wosar 特意在信件中添加上一些错误的单词拼写，比如”write”写为”white”，”today” 写为”tday”，”right now” 写为 ”righte now” 等。

参考近几年常见的一些勒索病毒，Wosar 也对应地给自己做的假的勒索病毒添加上了一个独特的ID识别序列号，并告诉被攻击者记下这个ID，这个ID 在支付赎金时会用于识别受害者身份，这样在支付赎金后对应ID的受害者的勒索病毒才会失效。

上面的操作概括起来就是，Wosar 在整个事件中既扮演了发起攻击的黑客，同时又扮演了勒索软件的受害者。整个操作对于了解常见的一些社工方法的人来说并不算很6，但Wosar 就是利用这样一种看似很简单的方式成功的套路了Red Mosquit公司，接下来接着看。

Wosar 利用Joe Mess 这样一个化名，假装自己公司的设备遭受了勒索病毒，写邮件向Red Mosquit 公司进行求助。

邮件发出后不久，Wosar 就收到了Red Mosquit公司员工（化名Conor Lairg）的回复，Conor Lairg 在回复的邮件中表示自己的公司非常有信心可以帮Wosar 找回被文件，但具体的解决方案需要花点时间进行演练，演练结束后会邮件告知Wosar，但Conor Lairg 在邮件中特别强调，嘱咐Wosar 一定不要试图自己去连续攻击者，因为从他们以前的客户经理来看，被攻击者如果自己去主动联系攻击者，很可能交了钱也拿不回来自己的数据。

在Wosar 收到Red Moquit 公司的回复邮件不久，另外又收到了一封疑似来自攻击者的邮件，邮件中声明如果不在一周内将钱交齐，一周之后攻击者会将Wosar的数据全部清除，为了增加信件的真实性，信件中还贴出了Wosar先前发给Red Moquit公司的序列ID。

信的结尾还威胁到，如果在截止的时间时还未向指定的账号打入指定的金额，被加密的数据将会被彻底删除，不可恢复。我们知道Wosar并未真的遭受攻击，这个序列ID是Wosar为了增加发给Red Moquit公司的信件的真实性而编造的，因此Wosar 后来收到的这封信很可能是Red Moquit 公司伪装成黑客发出的，或者就是Red Moquit公司将序列ID泄露给了黑客，但逻辑上来看前者的可能性更大。

收到第一封邮件之后的第二天，Wosar 又收到了第三封邮件，邮件中写明了Wosar 之前发给Red Moquit 公司的ID信息，并咨询是否可以讨论下赎金的价格，由于在这起事件中Wosar 既扮演了攻击者又扮演了被攻击者，显然这一次Red Wosar 把Wosar 当成了发起攻击的黑客。

整个期间Wosar 配合着Red Moquit 公司的工作人员进行价格的讨论，最终双方达成“妥协”，将赎金确定在了900美金。作为交换，Wosar 将加密数据的破解方式告知对方。

更好笑的一幕发生了，在Wosar 将加密数据的破解方式告知Red Moquit 后的第二天，Wosar便收到了第四封邮件，这封邮件中明确说明发送方是Red Moquit 公司。来信中恭喜Wosar 先生，目前公司已经研究出破解加密数据的方式，并保证破解过程中不会对数据造成损坏。

由于公司花费了较大的人力、物力来做这件事，相应的Wosar需要向Red Moquit 支付3950美元，为了让Wosar相信自己的确可以破解数据的加密算法，Red Moquit 可以先免费为Wosar 先生破解10%的加密数据。

到此我们看明白了，所谓的数据恢复公司，其实根本破解不了被加密的数据，他们一面恐吓用户不要直接联系黑客交付赎金，一面自己去和黑客讨价还价，在向黑客支付较低的赎金并向获取到数据的解密方式后，这些所谓的数据恢复公司就会主动的去联系勒索软件的受害者，并向用户索要高出实际赎金几倍的价格。

最为恶心的是，这些所谓的数据恢复公司竟然在此期间还冒充攻击者的身份去恐吓、威胁用户。很多用户由于并不了解安全圈，在这种威逼利诱的情况下很可能会选择和这些所谓的数据恢复公司合作，向其支付赎金。

这件事情被曝光之后，可能也感觉很不光彩，Red Moquit 公司很快就将自己官网上涉及“诚实免费建议”的部分删除。感兴趣的同学可以直接到Red Moquit 的官网（现在还可以访问）上看下。

作为安全圈的资深人士，Wosar 表示，对于已经中勒索病毒的情况目前业界有很多针对已经获知的勒索病毒的解决方式，并不是不可解。

针对诸如Red Moquit 这种情况，Wosar 表示，作为一家数据恢复公司，向黑客支付赎金这件事情本身并不是一件很丢人的事情，如果公开透明的为被攻击者服务的话也可以理解为一种正常的服务。但冒充攻击者威胁受害者，且在官网上注明免费服务这种方式就很不地道了。

什么是勒索病毒？

勒索病毒是最近几年才出现的一种新型病毒，该病毒的传播途径目前来看主要有：邮件、程序木马、网页挂马等形式。从实际情况来看，该病毒性质恶劣、危害极大，一旦感染会给用户带来较大的损失。

据笔者调查，目前出现的勒索病毒的工作方式基本都是采用对数据进行加密的方式。加密算法多种多样，破解的难度和加密算法的复杂程度相关，一般数据被感染，被感染者自己很难解密，一般需要拿到相应的解密私钥信息才能对数据进行解密，除了病毒开发者本人其他人一般很难对数据进行解密。

从笔者自己的实际测试来看（自己测试的话建议在虚拟机中进行测试），勒索病毒一旦进入到用户的计算机，就会自动运行起来，且为躲避杀毒软件的查杀和分析勒索病毒还会自动将软件样本删除掉。

众多勒索病毒有一个统一的特征，就是在对目标数据完成加密之后还会还会对被攻击者的桌面壁纸进行修改，会在桌面等比较显眼的位置弹出写有勒索信息的提示文件。文件内容一般分为两部分，一是告诉被攻击者你的计算机的数据被加密了，而是告诉被攻击者交赎金后才可以恢复数据。

让人比较头疼的是，勒索病毒一般变种类型非常之多，而且类型变化也很快，因此常规的杀毒软件很难发现（攻击者一般在开发完勒索软件之后，会先用最常见的一些病毒查杀软件进行测试，测试通过后才会展开对外的攻击），从近期的数据来看，比较常见的攻击样本有exe、js、vbe以及wsf等类型。

常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测，检测完成后和现有的病毒库中的特征数据进行匹配，如果可以匹配成功则找到病毒文件，因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。

从攻击方式看，钓鱼方式发起的攻击所占比例较少，主要通过目标机器的现有漏洞进行攻击，占到攻击总数的87.7%。从操作系统来看被植入病毒的主要是Windows XP、Windows 7，原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护，一般会存在较多的无法及时修复的漏洞。不幸的是，目前国内很多的机关单位仍在大量的使用这些老旧的系统，比较常见的比如政府、学校、医院以及一部分的企业。由于微软较新版本的Windows 10采用的是强制更新的方式，因此采用了Win10系统的用户几乎没太受到影响。

勒索病毒攻击对象一般分为两种，一部分是针对企业用户，另部分是针对所有用户（不区分个人和企业）。

目前已经发现的勒索病毒的运行流程都比较复杂，但基本上都具备如下的关键特征：

1. 几乎每个勒索病毒都会调用一些复杂的加密算法库；
2. 病毒运行过程中会通过预先写好的脚本文件（在被攻击的计算机上）从对攻击者远端的服务器进行HTTP请求；
3. 病毒会通过脚本文件从攻击者远端的服务器上进行文件的下载，这些文件中一般会包含有加密使用的密钥信息；
4. 病毒除了会从远端的服务器下载文件，一般还会直接从远端的服务器上直接读取一些信息；
5. 下载下来的文件几乎都是通过Windows 上的WScript进行执行的；
6. 下载下来的文件执行后，一般都会收集当前计算机上的信息，比如系统版本等，勒索病毒通过获取具体的版本信息来决定采用什么样的加密方式；
7. 最后勒索病毒一般会对被攻击计算机上的文件进行遍历，然后将收集到的目标文件进行加密。

泛滥的勒索病毒

说起勒索病毒就不得不提到2017年5月份肆虐的“永恒之蓝“，大概也是从这个时候勒索病毒才真正地进入到我们的视野，相比传统的病毒、木马，勒索病毒才是那段时间里真正令人谈“毒”色变、防不胜防的攻击手段。

根据火绒威胁情报系统的统计数据，但是2018年年初到2018年9月份，被勒索病毒攻击过的服务器数量就超过了200万台，攻击总次数超过1700万次。为此“勒索病毒”这个词汇还入选了国家语言资源监测与研究中心发布的“年度媒体十大新词语”。

从360 安全大脑的统计数据来看，进入2019年以来，用户在勒索病毒方面的反馈量基本是逐月增加的。以8月份的数据来看，8月份的勒索病毒反馈量和勒索病毒的种类比7月份的都有小幅的上升，其中Stop 这种类型的勒索病毒的上升量最大。

但从种类来看，360安全统计到的8月份的数据中勒索病毒的数量已经到了29种。其中GlobeImposter 勒索病毒家族的病毒量占到总量的21.21%，排在第一位，另外的两种病毒phobos 和Stop 占比略低，分别为14.2%和13.65%，位居第二、三位，虽然占比略低，但上升速度非常快，一点也不能掉以轻心。

近几年勒索病毒极其猖獗，从操作系统的类型来看，目前发现的主要出现在Windows 系列的操作系统之上，Linux 操作系统中勒索病毒的情况也有，但相对较少。从今年7月份的统计数据来看，被感染的系统中，前三名分别是：Windows 7、Windows 10以及Windows Server 2008。从变化幅度来看，以Windows 7为最大，Windows 7 的勒索病毒感染量从今年6月份的29.47%上升到了7月份的56.45%。

从个人用户和企业用户的分类来看，7月份中个人用户的感染占比比6月份的数据有不小的上升幅度，从6月份69%上升到了86%。这个数据和近期Stop、Sodinokibi 这两种勒索病毒的活跃度上升有关，也和企业用户防范意识逐渐加强有关。

勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。

勒索病毒防护

一些预防措施其实从上文中的勒索病毒介绍中就可以看出，比如勒索病毒一般需要连接到黑客的C&C服务器来进行本地信息的上传和加密，因此可以采用诸如入口、出口白名单的方式对出入我们计算机的流量进行限制，这样可以极大地降低我们的计算机被植入勒索病毒的风险。

上面只是简单说明了下勒索病毒预防的常见的方法，接下来我们从云环境和非云环境两个层面并结合安全技术和安全管理两个层面看下一些常用的勒索病毒预防措施。

1、非云环境预防

（1）重要数据定期备份

对数据库数据库等关键数据进行定期的备份，最好是进行远程异地的备份，这样即使机器上的数据被加密，也可通过远端备份的数据进行数据恢复。

（2）入口白名单

对入口方向添加白名单过滤，只开放实际在使用的端口，不在使用的端口一律不开放，比如445端口。

（3）出口白名单

服务器出口方向只开放真正需要访问的外部端口，这样可以防止勒索病毒连接远端服务器下载密钥信息。

除了端口一般也建议对允许访问外网的服务器的IP进行白名单的限制。

（4）软件下载安全

软件尽量从正规的官网或者公司内部的软件中心下载，防止下载的软件带入勒索病毒。

软件下载之后建议使用公司的病毒查杀工具进行检查，校验无误后再进行后续的安装使用。

（5）杀毒软件定期升级

如果环境中安装了病毒查杀软件，一定要对杀毒软件进行定期的更新升级，由于杀毒软件厂商会根据已查找到的新的病毒信息对自己的病毒特征库进行更新，因此定期更新杀毒软件可以保持病毒特征库是最新的，可以有效减少勒索病毒来源的种类。

（6）非弱口令

勒索病毒不单单会利用系统漏洞或者挂马的方式进行进入受害者的计算机，还可能会破解用户计算机的登录账号信息来直接控制用户的计算机，然后植入勒索病毒。

鉴于这种情况，一般建议增加登录密码的复杂度，包括超级管理员账号和一般的普通账号，一般建议密码长度最少为8，其中需要包含大小写字母、数字和特殊符号。

除了增加密码的复杂度之外，还可以使用密钥认证的方式进行登录的鉴权，只需要将需要登录到服务器的人员的公钥信息加到目标服务器的目标用户的密钥配置文件中即可，密钥的安全程度总体上要比密码的安全程度高，建议使用密钥认证代替密码认证。

（7）系统漏洞补丁

实际使用中，服务器的操作系统版本一般不会进行频繁的变更，但这并不代表操作系统的问题就可以忽视。

系统可以不频繁升级，但可以通过打补丁的方式减少现有系统的漏洞，但一般建议经常关注现有系统的漏洞预警信息，及时对漏洞进行修复。

2、云环境预防

（1）重要数据定期备份

由于云厂商一般会提供较多的数据备份措施，因此相比非云环境，云环境的数据备份相对简单些。

不论是保存在云硬盘还是各类PASS服务自己的数据都有完善的数据备份机制，一般建议设置自动定时备份，全量备份、增量备份都可以，如果是增量备份的话可以将备份的频率设置的相对大一些，这样在使用备份的数据进行数据恢复的时候，恢复后的数据相对较新。

（2）配置VPC安全组

VPC就是用户自己的私有网络，用户服务器的流量的出入都需要经过VPC 安全组的过滤，因此合理的安全组规则可以有效的降低服务器被植入勒索病毒的风险。

VPC 安全组一般都会分出、入两个方向进行设置，出入的端口号一般建议逐个审核、登记，出入的服务器的IP段建议在满足业务需要的情况下尽量的减小网段的范围。

（3）关注厂商发布的病毒提醒

对于当前服务器面临的安全风险，云厂商一般都会在第一时间进行潜在风险和修复方式的公布，建议经常关注云厂商发布的网站公告。对于需要用户自己进行修复的情况，及时按照厂商提供的方案进行修复。

（4）镜像定期备份

不仅仅是云盘中的数据需要周期性的备份，系统盘中的数据一般也建议进行周期性的备份。

从实际的使用情况来看，很多用户在使用服务器时有时也会将一部分的数据放置到系统盘中，因此对系统盘的数据进行周期性的备份或者打快照都是很有必要的。

勒索软件局中局 | 利用伪造的勒索软件解密器再次对用户进行加密

Stop勒索软件主要通过网上一些密码生成器及破解程序进行传播的，这些工具通常是用来让人们免费使用付费的软件，而最大的受害群体无疑是那些学生或青少年，或是与他们共用电脑的亲友们。Stop除了会加密系统上的文件之外，有时还会嵌入其它恶意软件，像是专门盗取密码的木马…