文/东方亦落
近日,互联网中有许多人表示遭到了新型勒索病毒的攻击。该病毒锁死受害者文件并通过微信二维码的方式勒索赎金。这种勒索方式就和去年流行的WannaCry“蠕虫”病毒一样,只不过它不收取比特币,而是用微信扫码之后支付110元赎金方可获得密钥。此外,该病毒还会窃取用户的淘宝、天猫、支付宝、QQ等账号密码。
目前,微信已经对勒索者的账户进行封禁,对收款二维码也予以紧急冻结,支付宝也表示“已第一时间跟进,目前没有一例支付宝账户受到影响”。虽然此次病毒未造成大规模的互联网安全威胁,但勒索病毒的出现却已经有一些年头了,到了今天还是会时不时就出现在互联网中。而且此次的勒索病毒的界面信息都是中文,还使用不匿名的微信收取赎金,足可见其猖獗程度。
勒索病毒最初如何崛起?有哪些比较出名的事件?在这么多年的发展和传播过程中,勒索病毒屡禁不止的“秘诀”是什么?在未来它又会演变出哪些“新花样”?我们又能否拿出行之有效的办法加以应对呢?
一、出现不过十余年,勒索病毒却已让全球“刮目相看”
勒索病毒的起源大概可以追溯到2007年。一个叫李俊的不起眼的小伙子制作出了让数百万用户“恐惧”的电脑病毒“熊猫烧香”。
李俊和他同伙的初衷就只是为了“炫技”和顺便挣些钱,然而当时该病毒在互联网界引起了极大的恐慌,给不少个人用户、企业甚至政府机构都造成了重大的损失。这种迅速蔓延的情况已经超出了李俊的预期,后来他提供了针对“熊猫烧香”的杀毒软件,这场风波才能够收场。
随着互联网技术的发展,勒索病毒也随之发展。2014年,一款名为“Koler”的勒索病毒席卷安卓平台。它主要利用短信传播病毒,受害者会接到一条内容为“有人以你的名字命名了一个文件还下载了你的图片”的短信,后面还附上了链接,一旦点开链接,就会进入安装APP的页面,一旦下载了APP,手机界面上就会出现要求支付赎金的页面,金额为300美元。Koler的影响范围也不小,对至少30个国家的用户发送了定位勒索短信。
此后,以Koler为首的勒索病毒就在安卓平台中大规模爆发,也意味着勒索病毒从PC端蔓延到移动端,勒索病毒从此开始“双管齐下”,并且范围也开始蔓延至全世界。
2017年,人们几乎忘记了被“熊猫烧香”支配的恐惧,然而危害数倍于“熊猫烧香”的WannaCry在去年5月份让全球网民感受到了深深的惊恐。在WannaCry出现的5月12日当天,全球就有99个国家的7.5万台电脑被感染,其中包括中国、美国、英国、俄罗斯、意大利等国家,有242.3万个IP地址遭受该病毒攻击,将近3.5万个IP地址被WannaCry感染。
而中国受到影响的包括医院、高校、企事业单位在内的1.8万个左右的IP,网络大面积瘫痪。到了14日,WannaCry已经衍生出了感染速度更快、病毒危害更强的变种“WannaCry 2.0”,并且在移动端也发现了WannaCry的痕迹。
WannaCry与以往的勒索病毒的传播速度与路径都有显著的差异,而这一切都要归咎于一款名为“永恒之蓝”的恶意代码。该代码会自动扫描用户Windows系统下的特定漏洞,通过开放的445文件共享端口释放加密程序。这意味着勒索病毒的“段位”越来越高,病毒制造者们的方法也是“与时俱进”。
可以看到,勒索病毒出现至今也只不过十余年的时间,其影响却已经波及全球,让全世界的网民们“刮目相看”并且留下了深深的阴影。说到勒索病毒的“与时俱进”,其实不仅表现在病毒本身,还表现在其感染方式、勒索方式、攻击对象、攻击手段等各个方面。
二、伪装、诱导,勒索病毒“与时俱进”玩出新花样
尽管各类勒索病毒在实际中的表现形态有很大差异,但传播形式却绝非无迹可寻,主要都是通过伪装、诱导等手段附在各种应用程序当中。有的会伪装成游戏、插件、社交软件等,一旦用户运行这些伪装的程序,终端就会被病毒侵染,无法操作。另外一些病毒则会包含在资源文件中,悄悄地在系统后台运行,并伪装成系统应用。
勒索病毒大都表现得十分“强硬”,对系统进行强烈破坏并强制被攻击者付费,在赎金缴纳形式方面也是多种多样。PC端最为常见的就是比特币,到了移动端更是“花样”繁多,微信支付、QQ支付、支付宝支付等。虽然金额比PC端要低,然而存在重复勒索甚至是如同游戏闯关一般的收费模式,例如被攻击者在使用QQ支付的过程中要缴纳入群费、学徒费、解锁费等等。
从勒索病毒喜欢攻击的应用种类来看,可以将其分为游戏类、社交类、免流插件类4种。其中社交类软件是勒索病毒的“最爱”,全网勒索病毒中有28143个是冲着社交应用去的,占总数的一半多。之后是免流插件类软件,共9732个。而近年来火爆的游戏应用也是勒索病毒的高发区,共6754个,位列第三。例如刷钻助手、王者荣耀辅助等与游戏有关的伪装成恶意应用的插件,去年也有不少“吃鸡”玩家受到“强制玩游戏”的Magniber勒索病毒攻击。
在勒索病毒猖獗的过程中,被攻击的对象一般都是非专业技术人员。比起自行破解或报案,这些被攻击者更愿意“破财免灾”,主动缴费以解除病毒的威胁。所以对于病毒的制造者而言,这方面的收益并不会因为技术的创新和防御手段的提升而缩减,反而会凭借用户的依赖心理更加肆虐,这种情况在移动端表现得尤为明显。
此外,攻击者会将恶意程序披上与用户利益挂钩的“外衣”,利用人性固有的弱点来达到自己的目的。比如在社交软件中伪装成“红包”,并且加上“外挂”、“秒抢”这样诱惑性极强的字眼。还有就是利用人类的好奇心,加上“不要点我”之类的字眼。用户在这些伪装下往往禁不住诱骗,最终“中招”。
可以看到,勒索病毒“花样”百出而且颇具“特色”,让人防不胜防。另外,随着时代的发展,勒索病毒在许多方面的“灵感”也“与时俱进”。
三、勒索病毒形成黑色产业链,“杀毒”之路任重道远
随着技术的进步,勒索病毒的制造门槛也逐渐降低。从WannaCry出现之后,勒索病毒开始被越来越多的人所熟知,而许多用户主动缴纳赎金的行为也使得更多的黑客想从中得利,就利用Python、PHP等语言编写了勒索病毒,甚至采用更为简单的AutoIt语言编写了勒索病毒。AutoIt易学易用,功能强大且无需特定运行环境,所以即使毫无编程经验的新手也能迅速运用。
由于勒索病毒在技术层面的“准入门槛”大大降低,越来越多的90后、00后的网络技术爱好者在利益的诱惑下成为开发勒索病毒的“菜鸟黑客”。他们年龄小,缺乏法律意识,而且对互联网攻击抱有更高的热情,他们的攻击范围逐渐扩大,技术能力也在不断提升,清理和监管都较为困难,因此近来有成为勒索病毒攻击的“主力”之势。
在WannaCry出现之后,勒索病毒反而不再像WannaCry那样“粗暴”,而是可以“议价”,在WannaCry事件出现之时,黑客会开出3个比特币的高额赎金,如今一般都会在0.8个比特币(500美金)左右。
经过几年的发展,勒索病毒的制造已经不再是单打独斗,而是形成了“产业链”。这种黑色产业链中的团队会提供大量的用户数据及攻击技术,并形成一套完整的攻击方案,恶意程序、锁屏工具的制作方面都有视频教程以及源代码出售。由此缩短病毒的开发周期,降低病毒制造成本提升收益,使运作流程规模化。
病毒制造方面“与时俱进”,赎金勒索方面也“紧跟步伐”。
可以看到比特币这一新式货币在勒索环节十分重要。早在2013年,以比特币解除勒索病毒的形式就已兴起。当时勒索病毒cryptolocker的制造者加密了所有带有文档后缀名的文件,要求被勒索者缴纳300美元或两个比特币。由于比特币的加密性质,使得警方的追查过程难度增加。
同年比特币价格一路走高,到2013年11月之后逐步回落。但在2014年7月有传闻称一款名为Critroni的勒索软件正在地下黑客论坛以3000美元的价格出售,该软件会加密PC端文件,要求被勒索者支付比特币。
2015年,比特币价格继续走低,但勒索病毒却井喷式爆发。勒索病毒靠邮件等方式传播,尚不足以波及全球。2016年,比特币价格开始爬升,此后WannaCry这样在全球范围肆虐的病毒出现。可见比特币虽然给人们带来了许多好处,但也让黑客的勒索变得更加容易和隐蔽。
随着互联网的蓬勃发展,互联网中的业务愈发多样,系统愈发复杂,所以勒索病毒的“可乘之机”也就大幅增加。与时俱进是好事,但勒索病毒“与时俱进”却不然,随着黑色产业链的形成以及越来越多的花样,勒索病毒只会变得更加不好对付。虽然有不断升级的杀毒软件,还有相关部门的监管,但想要消灭勒索病毒仍然任重而道远。