有人說,普通人的電腦幾乎不會被黑,因爲沒有入侵價值。
對於這個說法,我表示部分贊同。
跟企業的服務器相比,個人電腦的攻擊價值確實不值一提,但,蚊子雖小也是肉啊!
早些時候,網絡攻擊者拿下一臺普通人的電腦,確實搞不來幾個錢,常見的做法是在裏頭安裝各種第三方的軟件全家桶,或是劫持瀏覽器點擊小廣告掙點廣告費,要麼是拿來當肉雞。
比特幣帶火了數字貨幣以後,黑客也開始“借用”受害者的電腦算力來挖幣,這種在網吧比較常見,因爲網吧電腦常年開着機,顯卡又好,網管說話又好聽,個個都是人才。
但總體來說,單臺肉雞收益不高,得靠數量取勝。
然鵝,勒索病毒的出現讓蚊子肉有了新的烹飪方法,普通人的攻擊價值陡然提升。
黑客從此不需要提前知道受害者的身份,或是電腦裏有沒有高價值的東西,直接黑進去,文件全鎖上,然後坐等收贖金就完事兒了。
受害者也許是個HR,大量公司簡歷被加密;也許是個設計師,剛改完的最後一版沒了;也是個律師,幾份緊急的案子文件被鎖;也許是個學生,畢業論文剛寫完;或者,也許就只是個普通宅男,硬盤裏幾個T的小姐姐揮一揮衣袖,不帶走一篇雲彩……幸福千篇一律,一千個人卻有一千種悲劇。
可以說,勒索病毒以一己之力拉高了普通老百姓電腦被黑的概率。
那麼,作爲普通人,我們在遇到勒索病毒之後,第一時間做什麼才能控制損失甚至自救?
我翻了翻資料,請教了幾個身邊有經驗的老司機,再結合自身生活經驗,總結出這套勒索病毒自救偏方,在此分享給大家。
首先,現在讓我們一起代入場景。
某天,你正開開心心地玩電腦,屏幕上忽然彈出一個奇怪的窗口,上面顯示一堆看不太懂的英文,以及一個詭異的小鎖或者倒計時。
恭喜你,中招了。
一般情況,桌面還會彈出一個txt文本。
來自遠方的勒索者送來一封親切的問候信,給了你狠狠一巴掌。
請問,此時你該如何應對?
A.蒙上自己雙眼假裝看不見,或者捂住耳朵大喊我不聽我不聽
B.吃包辣條冷靜一下,仔細閱讀勒索信並靜靜欣賞信裏的文采
C.斷網
讀書時的經驗告訴我們,兩長一短選最短,所以答案是C。
有網線就直接拔網線,沒網線則斷開WiFi,保持冷靜,如果此時你周圍還有同事或者朋友正在上網,悄咪咪看一下他們的電腦是否也出了問題。
許多勒索病毒具有橫向傳播功能,就像是感冒病毒一樣傳染給局域網裏的其他電腦,早斷網一秒,親人少流一行淚,如果整個辦公室都因爲你而中招,那麼勒索你的就不再只有黑客,還有你的同事和老闆。
- 保留犯罪現場
如果還想找回被加密的文件,儘量讓現場保持原樣。
不要指望重裝系統就能好,有些勒索病毒的解密需要根據你電腦的一些軟硬件信息(比如註冊表信息)來生成密鑰,一旦這些信息被破壞,很可能永遠都無法解密,交了錢也沒轍。
最好也不要重啓電腦或關機。這是網絡勒索,網管的那套“萬能重啓大法”在此並不好使,還可能弄巧成拙,因爲電腦內存裏很可能留有用來解密的線索,專業人士可以拿來破案,一旦關機斷電就會被清空。
在這方面警察蜀黍辦案的流程就值得學習,在第一時間保留線索和作案現場,方便日後回溯線索和破案。
保留好現場,下面我們就可以進入自救環節。
到這一步,重要文件應該已經變成了加密狀態,就像這個亞子。
勒索病毒千千萬,你得知道自己中了哪一卦。怎麼辦?
- 收集病毒特徵
仔細回想一下,在中毒的前一刻,自己是不是上了什麼不該上的網站,打開了什麼不該打開的文件?看了什麼不該看的東西?是不是有FBI warning過你?
如果你真的什麼也沒做,那也有可能是跟你同在一個局域網裏的同事乾的,當然,他有可能並不會承認,你不妨抽出皮帶拷問他一下。
總之,能直接找到病毒樣本是最好。
觀察被加密的文件的後綴名,不同勒索病毒的後綴不一樣,一般通過後綴名就能大致判斷種類。比如 GlobeImposter 勒索病毒的常用後綴是:auchentoshan、動物名+4444,而 WannaCry 勒索病毒的後綴名是 wncry。
怎麼判斷呢?上網搜唄,度娘谷歌都行,就像這樣:
也有些自信心爆棚的病毒會在勒索信自報家門,比如下面這個。
總之,觀察勒索信裏信外,看有沒有透露能判斷勒索軟件的標誌。
如果以上都沒法確定病毒種類,記下勒索信的文件路徑、具體內容、信裏提及的所有網址、郵箱地址等等,這些都可以留作判斷依據,具體怎麼用後面會講。
- 自助解密
正所謂求人不如求己,即便你是個電腦小白,也有一定概率直接找到解密工具。
全世界的安全公司都在努力對抗勒索病毒,其中很多公司都推出了的勒索病毒免費解密工具聚合網站。
比如卡巴斯基的:
https://noransom.kaspersky.com/
奧地利知名殺軟 Emsisoft 的:
https://www.emsisoft.com/decrypter/
知名安全研究團隊 malwareteam 的:
https://id-ransomware.malwarehunterteam.com/
360的:
https://lesuobingdu.360.cn/
Avast 的:
https://www.avast.com/zh-cn/ransomware-decryption-tools
也有一些非商業公司成立的勒索解密網站,比如著名的 Nomoreransom 勒索軟件解密工具集,這是由各國警方和幾家著名的網絡公司聯合發佈的“公益救助”網站:
https://www.nomoreransom.org/zh/decryption-tools.html
這些網站的基本流程都差不多:上傳病毒樣本、被加密的文件、勒索信全文或是信裏的郵件地址等信息,它就能自動幫你分辨是哪一款勒索軟件。
如果是目前已經被攻破的勒索軟件,恭喜你,網站會提供對應的解密工具和詳細的使用說明。
如果通過這些方法依然沒找到解密工具,甚至都沒法分辨出勒索軟件的種類,下一步就該撥打場外求助熱線了。
- 場外求助
你可以去一些技術研究或者安全論壇叫人。
像“吾愛破解論壇”、“卡飯論壇”之類的,以及各大網絡安全公司的官方論壇,比如“卡卡安全論壇”、“火絨論壇”、360社區等等(這裏只是說幾個例子,還有別的好去處可以在留言區推薦),找到相應版塊,招呼網友和管理員。
遇到危險大喊救命並不丟人,也不要覺得這是無謂的求助,正所謂“大隱隱於市,高手在民間”,技術大神經常隱藏在羣衆灌水的隊伍裏。
網上有過不少通過論壇求助成功解密的案例。據瞭解,只要你會用小學生文明禮貌用語,很多論壇管理員還是會迴應的。
如果實在沒辦法,你也可以在網上找到一些安全研究員的私人公衆號,或是安全公司的公衆號求助。
萬不得已,你還可以求助萬能的淘寶。在淘寶上搜索“勒索病毒解密”,你會發現上面有一大票店家。
這算是個求助途徑,但並不是很推薦,畢竟是收費的。
而且,淘寶上幫人解密的店鋪,其實大部分用的也是網上公開的解密工具。
從邏輯上來講,正牌安全公司代表着這顆星球最強的反勒索實力,但凡某款勒索病毒被安全公司攻破,通常會昭告天下:“XXXX公司率先攻破XXXX”,就像這樣:
然後相應的解密工具就會同步到各大反勒索網站。淘寶店主不是太可能掌握某種特殊的解密技巧。
不過,如果你覺得自己上網求助、找工具麻煩,或者擔心自己手抖誤操作,也不妨出點小錢讓他們代勞,前提是價格厚道。
同時也要提醒一句說,最好找信譽較高的店,否則先被勒索再被騙,可能會懷疑人生。
- 找勒索者嘮嗑
除了求助第三方,你其實也可以直接聯繫一下勒索者,勒索信裏通常有聯繫方式。
編一段聲淚俱下的故事,砍砍價,或是告訴對方自己正在想辦法準備贖金,但是沒有購買虛擬幣的經驗,需要一些時間學習和開戶,試試看能不能延期付款。
萬一勒索者心情好,給你個折扣什麼的或者延期,甚至被你的真誠和人生哲學所打動,改邪歸正,也不是沒可能,雖然概率有點小。
順道說一個小操作:通常情況,勒索病毒作者爲了證明自己有能力解密,會給一次測試解密的機會,比如允許你發給他三個文件,免費幫你解密。
如果你被加密的文件裏,有一些需要緊急使用的非機密文件(比如剛寫完的稿子),不妨直接發給勒索者讓他解密。
- 交錢還是死磕
勒索者不會留給你太多時間,大部分勒索病毒都會帶一個倒計時,比如超過24小時贖金翻倍,超過三天就撕票,永遠無法解密。
所以其實最重要的是,你必須做好自救失敗的打算。
如果被勒索的文件真的非常重要,請提前準備好一筆贖金,最後關頭也許用得上。雖然交贖金意味着助長勒索之風,但也是無奈之舉。
以前《紐約時報》有則新聞,講美國有225位市長聯名支持一項不給黑客支付贖金的決議,表面聽起來非常振奮人心,可問題來了,等到黑客真的鎖死醫院、發電廠、政府,整個城市陷入癱瘓,這些市長真的能頂住不支付贖金?
我的個人觀點是,支付贖金這件事沒有絕對,如果被鎖住的文件關係重大,還是得做好兩手準備,與其中了勒索病毒再死撐着不交贖金然後自己吃虧,倒不如吃一塹長一智,做好防備,爭取以後不被勒索。
如果你被勒索的文件既不重要也不緊急,倒也不妨下定決心死磕,興許過一段時間安全公司就會找出解密方法。不過,這個期限可能是一個月,也可能是一年,甚至十年,就跟中彩票似的。
總之,看命。
其實最穩妥的方法還是第一時間聯繫專業的安全公司看看,不過他們通常只對公司,對個人的話,難說。當然,如果你不缺錢,就不難說了。
- 總結
說了這麼多,還是希望大家運氣好點,別中勒索。
以前看到過一則新聞,講國外有安全公司專門收錢擺平勒索,收費很高,每次都能解開,後來被發現居然是收了客戶的錢之後,暗地裏去給勒索團伙交贖金拿密鑰,自己坐當中間商賺差價。
說實話,這也不能全怪安全公司,畢竟反網絡勒索最好的方法還是防患於未然,而不是亡羊補牢,掏錢找安全公司,除了擺平當下遇到的事,更大的意義在於防止未來再踩同樣的坑。
勒索病毒這事兒未來一定會越來越多,一個很重要的原因是肉身太難抓。
這個邏輯和電信詐騙難打擊一樣,犯罪分子肉身藏在國外,存在跨境執法困難的問題。有時候我就心想,這樣下去會不會產生一個奇特的現象:
A國的團伙勒索B國的人民,B國的團伙勒索A國的人民,兩邊罪犯都難抓,但兩邊的人民都遭罪。
我把這種現象稱之爲“共軛勒索”。
在這種情況下,作爲普通吃瓜羣衆,除了自保,也沒有什麼辦法。
最後,希望大家平時不亂點文件,不亂看不該看的東西,上正規的網站,保護好個人隱私信息,養成備份重要文件的習慣,或者乾脆用同步雲盤,實時同步重要文件。
祝大家網上衝浪愉快!