WannaCry的前輩們是怎樣勒索用戶的？

WannaCry在上周末的爆發，讓人們的目光又聚集在了勒索病毒身上，都說人是好了傷疤忘了痛的生物，記性可以差到只有悲劇再次發生才會想起還曾有過前車之鑒。在WannaCry之前，它還有哪些前輩曾經給我們留下過痛苦回憶？

恐嚇和要價：勒索軟體的核心戰術

不管採用什麼套路，勒索軟體的目的只有一個，就是從用戶手裡拿走贖金。為了讓用戶服從自己的指令，他們通常會「抓住」用戶的設備或是其上所存儲的資料，押其為「人質」，然後恐嚇用戶交出贖金，以換回那些被扣的數據。

此類惡意軟體在最初時，僅僅是簡單地鎖定用戶的系統，讓其不能操作，相對來說攻擊比較容易被破解，也不會造成太大的實際損害。然而進入新千年以後，隨著傳統破壞性病毒逐漸退出舞台，勒索軟體開始成為一種流行的計算機犯罪形式，它們通常會採用不對稱加密策略，對用戶電腦上的部分特定文件或是全盤數據實施加密，然後威脅用戶必須在指定時間內向指定的賬戶轉賬贖金，否則不予解密，用戶也就永遠無法訪問自己的文件了。因為有些資料實在是重要，所以支付贖金的人數量不少，很多黑客也因此非法獲利成百上千萬的美金。

這種勒索方式的主動權完全被黑客所掌控，不幸中招的用戶很難找到有效的反制手段，強行解密更是極其耗費時間，一般只能任其擺布。而黑客本身則喜歡通過暗網或殭屍網路發動攻擊，現在流行的密碼學貨幣比特幣又是一種極為隱秘的贖金收取渠道，這使得對黑客進行追蹤定位，採取相關措施也變得難如登天。

有上面這些要素作為基礎，勒索軟體成為黑客青睞的獲利工具也就不足為奇了。我們現在就來點個名，看看是哪幾個臭名遠揚的傢伙被刻在了歷史的恥辱柱上。

萬惡之源CryptoLocker

CryptoLocker發跡於2013年年底，它是第一個近年來在公眾視線中名聲大噪的勒索病毒，典型傳播方式為郵件附件，也有使用ZeuS P2P木馬或是殭屍網路傳播的案例。病毒把自己的可執行文件偽裝為一個PDF電子書，誘騙不明就裡的用戶點擊運行，在被釋放后就會把自己植入用戶的個人文件夾，並在註冊表裡寫進運行啟動的鍵值。

接下來它便會展開攻擊中最關鍵的一步，嘗試連接黑客網路，一旦取得連接之後，黑客網路上的伺服器就會為它生成一對2048位長度的RSA密鑰，並把其中的公鑰發回給受感染的系統。CryptoLocker將使用這個公鑰，對本地硬碟以及映射的網路硬碟上的所有特定文檔類型進行加密，包括Office文檔，圖片以及CAD設計文件。

最後，它便會在屏幕上顯示一條信息，告知受害者文件已被加密，需要他通過預付費卡券或是比特幣渠道在3天之內向黑客的秘密賬戶支付400美元或歐元等值的虛擬貨幣，否則黑客伺服器上用於解密的私鑰便會被刪除。

對重要資料的珍視讓不少人不得不配合黑客的勒索行為，根據當時的調查，有41%的受害者決定支付贖金；不過在整個攻擊被安全業界終結之後，從黑客4個比特幣帳號的跟蹤顯示，黑客在短短兩個月內就收集到了時值2700萬美元數量的比特幣，折算下來實際情況是有1.3%的受害者確實支付了贖金。而黑客有沒有按照約定解除他們文件的加密，就不得而知了。據說有支付贖金卻並未履行解密約定的案例出現，相信黑客會遵守承諾也是一種無形的風險。

NAS之災Synolocker

CryptoLocker在接下來的一年多時間裡出現了很多變種，包括使用P2P渠道傳播的變種，以及更加難以防範和破解的2.0版本，這對惡意軟體的進化發展來說是很正常的現象，但有個超乎人們預計的情況是，CryptoLocker把魔爪伸向了Windows PC以外的設備，NAS開始成為勒索軟體新的生財目標。

2014年8月，有群暉NAS的用戶報告稱自己設備上存儲的所有文件都被無故加密，這個自稱SynoLocker的勒索軟體在提示消息里所聲稱的加密方式，還有要挾的手段，都和去年爆發的CryptoLocker如出一轍。其入侵途徑為刺探當時較舊版本的DSM系統漏洞，獲得攻擊目標後會套取管理員賬戶的密碼，獲取並修改對應的許可權，然後把NAS上的所有文件全盤加密。

因為NAS應用在當時仍然集中在一塊比較小眾的用戶群體，所以該勒索軟體的實際影響並未得到有效的統計，但是群暉NAS由於操作簡單易上手，應用豐富界面友好等優點，擁有不少原廠硬體用戶和「黑群暉」自改裝用戶，後者通常因為版本老舊更容易暴露在這種危險之中。

而SynoLocker事件並非群暉NAS第一次成為黑客的攻擊目標，就在同一年內的早些時候，還有黑客入侵群暉NAS並控制其為自己挖狗幣的案例被曝出，可以見得這類軟體的觸手延伸範圍之廣已經超乎了人們的想象。

掌上騙術師Fusob

移動互聯網時代智能手機的地位舉足輕重，如此普適的應用程度讓它很容易就成為了下一個攻擊目標。Fusob和Small這神似兩兄弟在過去的一兩年裡佔據了手機端勒索軟體的九成版圖。

針對手機端的攻擊，大體上和PC端的勒索軟體套路相似，都是一個鎖定、恐嚇和要價的三板斧。不過差異在於Fusob的傳播還比較被動，它有點像早期的PC惡意軟體，把自己偽裝成一個小電影播放器，誘騙受害者下載安裝。一旦中招的話，Fusob就會以一種執法人員的口氣說你看小黃片被我抓到了，不想有事的話就交個一兩百美刀辦事，然後在手機屏幕上顯示一個倒計時，並時刻佔據最前端。

Fusob有一兩個很有意思的地方，一個是它在安裝之後首先會執行一次語言檢查，如果手機系統是俄文或者其他東歐語系的語言，它便蟄伏不出；否則，Fusob就會跳出來鎖住設備並要求支付贖金。第二是黑客居然要求的是等值的iTunes禮品卡……

因此Fusob的受害者主要都集中在英美語系的國家，這些區域內中招的人數超過總數的50%。當然，中招的設備都是允許安裝第三方應用的Android，封閉的生態圈也讓蘋果用戶逃過勒索軟體的一劫。

面對勒索威脅 妥協不是出路

到今天的WannaCry大爆發，勒索軟體藉助著密碼學貨幣的流行，在很好地保證了黑客的匿名特性的同時，為幕後黑手提供了一個大斂錢財的方便渠道。不用擔心為自己行為付出任何責任的黑客，自然也就不會覺得自己有義務履行為受害者解密文件的服務。

所以，雖然已經是無數次的老調重彈，面對日益猖獗的惡意威脅，我們個人還是得提升自己的防範意識，時刻關注自己所使用的軟硬體的安全升級，並且別忘記保持對重要數據的多次備份，才能在萬一中招時把損失降到最低。否則心疼的可就不止是格式化重置設備和重裝應用軟體的時間了。