2016年2月的一天，好萊塢長老會醫院的護士們發現電腦全都用不了了。所有的檔案都加了個莫名其妙的字尾，根本打不開。所有電腦程式也都加了這個字尾，一個也啟動不了。掛號只能用紙筆，病歷都成了亂碼，連手術都不能正常進行。當大家都束手無策的時候，院長阿蘭·史蒂芬涅克（Allen Stefanek）接到了一個陌生的通知：

給我1萬7千美元，不然你們的醫院就得關張

。

史蒂芬涅克院長猶豫了一個多星期，還是選擇了交錢。好萊塢長老會醫院所經歷的勒索並不稀有。近年來，越來越多的使用者報告自己的電腦曾被駭客鎖住，只能交贖金了事。這種駭客攻擊被人們叫做“網路勒索”，駭客們使用的軟體也有一個名字，叫做Ransomware。

“面具臉”和“拼圖”病毒

Ransomware的定義很枯燥，我們不如直接舉一個例子：

小明在情人節收到了一名陌生人的郵件，郵件裡一片空白只有一個叫做“拼圖”的附件。小明興高采烈地打開了這個“拼圖”，然而這個叫做“拼圖”的東西並不是節日禮物，而是一個Ransomware。

（“拼圖”Ransomware的典型視窗）

上面就是大名鼎鼎的Ransomware——“拼圖”（Jigsaw）。開啟以後是一個黑色背景的視窗，視窗正中心是一個電影《電鋸驚魂》裡的面具臉。綠色的勒索資訊會一個字一個字地打出來，它用《電鋸驚魂》的口吻給小明寫道：

“我想跟你玩一個遊戲，我來解釋一下游戲規則：你的檔案正在被一個一個地刪掉，照片、影片、文件…… 不過不要擔心，只要你合作，它們就不會被刪完。你的檔案都已經被加密了，你一個也看不了。每個小時我會刪掉一些，刪掉的速度越來越快。如果你關電腦，再次開啟的時候我就刪掉1000個檔案，如果你關掉我，你的檔案就會被永遠加密。只有我能把檔案還給你。現在，我們來玩這個遊戲吧。”

小明趕緊開啟自己硬盤裡的電影資料夾，發現所有的片子都被加上了一個“。fun”的字尾，根本打不開。不僅是電影，自己寫的日記，照的照片，玩的遊戲，一個也打不開。

視窗的左下角是個倒計時，開始是一小時，每次歸零就會刪掉一些檔案。每刪一次，下一次刪的數量就會增多。每小時被刪的檔案指數增長，用不了幾天電腦就啥也不剩了。

當然駭客不是為了玩這個“刪檔案”的遊戲，而是要錢。小明一開始還挺強硬，可檔案都丟了怎麼辦？我這電腦花了幾千塊錢買的，這麼著不就沒法用了嗎？紅色的倒計時讓小明的心臟一蹦一蹦的，而小明漸漸地陷入了絕望。過了幾分鐘，小明終於服軟了。他按照駭客的指示，買了23美元的比特幣，匯給這個陌生人。

小明事後報了警，可比特幣無法追蹤，警察根本抓不著兇手。小明回家開啟電腦，發現面具臉的視窗終於沒有了，可是自己的檔案也全刪沒了。

（Ransomware“拼圖”的各種變體）

這個名為“拼圖”的勒索軟體主要肆虐時間是2016年，它有很多不同的變體，比如被劫持檔案的字尾不一定是”。fun”，還有。gefickt， 。uk-dealer@sigaint。org， 。paytounlock， 。hush， 。locked， 。payrmts， 。afd， 。paybtcs， 。fun， 。kkk， 。gws， 和。btc。 背景也不一定是《電鋸驚魂》的面具臉，還有弄成一群頭盔制服黨的，還有搞出電影《V字仇殺隊》的，還有扮成遊戲“殺手47”的。“拼圖”勒索軟體要多少錢的都有，比較多的是要150塊錢。“拼圖”還走上了國際化道路，除了英語以外，還非常貼心地加上了西班牙語、法語、俄語等多國語言。好訊息是這個臭名昭著的“拼圖”終於被破解了，網上不僅有破解教程，還有一個破解軟體“Jigsaw decrypter”。

像“拼圖”這樣的Ransomware還有很多很多，長相也各不相同，但行為都是一樣的。它透過木馬的形式在郵件、隨身碟、下載網站裡傳播，它自動鎖住你的電腦，把所有檔案加密，並威脅要刪掉它們。受害者必須透過比特幣支付給釋出者，然後釋出者根據心情好壞選擇是否把檔案交還。像小明這樣的受害者，近來一年比一年多。

為什麼Ransomware突然肆虐了起來

Ransomware已經存在了至少十年了，最早只氾濫在”駭客之鄉”俄羅斯。可最近三年Ransomware突然異軍突起，全世界流行起來。IBM曾經在美國做過一次調研，

僅在2016年，已知的網路勒索涉案金額總額近10億美元，40%的垃圾郵件裡都有Ransomware。

一半的受害者拒絕交錢，“魚死網破”，另一半的受害者束手無策，乖乖交錢。

受害者往往對於一百美元以下的贖金能夠接受，這也是為什麼Ransomware每次涉案金額較小，但傳播極其廣泛。企業使用者往往比個人使用者更倒黴，因為他們要交的贖金往往更多，而且他們會迫於公司壓力選擇交錢。70%的企業受害者交了贖金，這些交了贖金的人裡面，一半的人交了至少一萬美元，20%的人交了至少四萬美元。

2016年，

歐洲刑警組織（Europol）把Ransomware列為“危害性最高的網路攻擊”

，排在它後面的才是資料盜竊（偷檔案）和銀行木馬（偷銀行卡）。歐洲刑警組織對網路犯罪做了一個執法優先順序排名，排名前五的病毒裡，三個都是Ransomware。

（歐洲刑警組織對網路病毒的執法優先順序排名）

網際網路初期的病毒，大多數是“損人不利己”的。駭客們搞出個病毒，不為賺錢，就為炫耀一下自己的才華。2006年的病毒“熊貓燒香”，中病毒以後所有。exe結尾的檔案無法執行，圖示變成一個熊貓舉著三炷香。2003年的“衝擊波”（Worm。Blaster）病毒，中病毒以後，電腦會一分鐘自動重啟一次。“衝擊波”的原始碼裡，還有一行嘲諷比爾·蓋茨的話：

“比爾蓋茨啊，你怎麼能讓這種事情發生？少掙點兒錢吧，多修修漏洞。”

（被“熊貓燒香”感染的檔案，圖示全變成了熊貓）

早期的駭客往往都是軟體愛好者，業餘時間搞出個病毒宣傳一下自己，並不拿它賺錢。可隨著網際網路的普及，病毒不再是“惡作劇”，越來越多的職業犯罪者用它來大發橫財。

Ransomware是個很特別的攻擊手段。過去的駭客往往喜歡“黑進”你的電腦，手裡拿著一個“萬能鑰匙”（解密演算法），撬開你的鎖（加密檔案）。而網路勒索正相反，駭客並不在乎你電腦裡有什麼，他們手裡拿的是個“萬能鎖”（Ransomware），逼你交錢以後才把這個“萬能鎖”開啟。上鎖比開鎖容易，加密也比解密要簡單。所以網路敲詐犯，不需要學太多計算機知識。

只要拿到了Ransomware，小學生都可以搞勒索。

管病毒管受害者直接要錢，在過去是行不通的。警方可以透過查詢銀行的交易記錄，迅速追捕到罪犯。可在比特幣發明出來以後，形勢一下子就變了。比特幣隨處可買，線上流通。它不需要身份證驗證，也不需要去銀行管理。

比特幣是個“去中心化”的金融體系，警察對比特幣交易無法追蹤。

有了這麼一個“地下交易”網，駭客們拿完錢後輕鬆逍遙法外。已報告的網路勒索案，絕大多數都是透過比特幣支付的贖金。

（比特幣無法追蹤，所以成了駭客的“通用貨幣”）

網際網路創業就像賽跑，誰釋出的早，誰就容易佔掉市場份額。

這就導致創業者們養成了一種陋習：先發佈一個差不多能用的軟體，以後再慢慢修漏洞。

正是這些漏洞，讓駭客們一下子有隙可乘。

一個典型的例子就是MongoDB。MongoDB是一個非常好用的“非關係型資料庫”（至於什麼是“非關係型資料庫”，我們以後有機會再講）。MongoDB剛剛釋出的時候，它的預設設定非常不合理：任何人都可以訪問這個資料庫（沒有Access Control），而且不做自動備份。很多人不會改MongoDB的預設設定，於是駭客們紛紛前去盜取這些沒有任何保護的資料庫，然後敲詐管理員。

在MongoDB的官方部落格透露，2萬5千個資料庫中，2000個受到了駭客的勒索。勒索者偷走了所有資料，然後在資料庫裡留下一句話：“透過比特幣給我XXX美元，不然我就刪掉你的資料。” 攻擊MongoDB的駭客實在太多了，

以至於一個駭客剛剛在資料庫裡留下勒索的“紙條”，另一個駭客立刻把“紙條”的收款人抹掉，改成自己的比特幣賬戶

。如今MongoDB已經修復了這個漏洞，然而大量使用者並沒有升級，還處在被勒索的風險之下。

綜上所述，

職業罪犯的加入、極低的技術門檻、無法追蹤的交易模式、漏洞百出的軟體

，這些就是Ransomware肆虐的原因。

那麼，我們拿這些敲詐犯沒有辦法了嗎？

對抗網路勒索的手段

2016年6月，美國加利福尼亞州參議院通過了一項法律：網路勒索，視同勒索罪處理。這個編號為SB-1137的法律由加州參議員鮑勃·赫茲伯格（Bob Hertzberg）提出，在州參議院全票透過，最後由加州州長傑瑞·布朗（Jerry Brown）簽署。它不僅給出了網路勒索的法律定義，還規定：就算這個駭客沒有收到贖金，罪行也按照收到贖金判決。

作案者最高可以被判4年監禁，另外還有1萬美元的罰款。

這個法案在討論的時候，好萊塢長老會醫院作為受害者還曾發表過證詞。醫院院長終於可以放下心來，不再擔心醫院電腦被駭客給“鎖住”了。

可事情就這麼結束了嗎？

法案透過僅僅一天後，法案提出者赫茲伯格的電腦就被駭客給加密了。赫茲伯格無奈地發了一條推文，還發了個截圖：“這就是我在州議會的辦公室電腦截圖，它被Ransomware攻擊了。”

（網路勒索法案的提出者赫茲伯格反而被勒索）

直到今日，這些網路勒索的罪犯們還在頻頻作案，因為

雖然立法有了，執法手段上還有很長一段路要走

。今天被成功逮捕的駭客少之又少，大多數勒索者還在逍遙法外。如果事後抓不到，我們就只能事前預防。

防範網路敲詐的方法有很多，

最重要的就是養成良好的上網習慣

：不要點開不認識的郵件附件，不要在不安全的網站下載軟體，勤防毒，勤升級，多用雲端儲存，定期做硬碟備份。

如果上面的都沒有做到，自己還是被攻擊了，不要慌，有不少網站可以把你的檔案找回來。比如

http：//

nomoreransom。org

，它不僅可以用多種演算法嘗試解密被“鎖住”的檔案，還會指導你如何報警。不少Ransomware已經被破解了（比如“拼圖”），去一些值得信任的論壇，也能下載到正確的解密工具。

最後，在付贖金之前一定要再三考慮，因為駭客可能會在要了一次錢以後得寸進尺，不斷地騷擾你。而且駭客不一定會在最後把檔案還給你，你的錢最後也拿不回來。況且，如果交贖金的人少了，駭客們就賺不到錢，類似的攻擊就會變少。你如果交了贖金，這可能是一種對這種犯罪行為的鼓勵。

本期密探：@屈直

歡迎關注 @矽谷密探，矽谷情報一手掌握~