你有沒有體驗過一覺醒來，電腦里的所有重要數據全變成加密文件，必須要交一萬多塊的贖金才能解密這些文檔？

嗯，如果你不看這篇文章，可能就就機會體驗了。

一覺醒來損失一萬塊

就在最近幾天，一直在國外猖獗的勒索木馬在中國突然大規模爆發。

很多普通人早晨打開電腦，發現所有的文件都被黑客加密，而且明目張膽得索要比特幣贖金，折合人民幣一萬多元。

根據受害者向雷鋒網爆料，本來一路心情愉快地去上班，開機卻遭遇突發異常狀況：

昨天下班前電腦還好好的，今天突然開機之后電腦突然很卡，我并沒有在意。結果等了一會，突然瀏覽器自動打開，彈出了一個勒索界面，告訴我所有的文件都已經被加密了，只有點擊鏈接用比特幣交付贖金之后才能拿到解密的密鑰。

　　【文件被加密之后的情形】

如圖所示，文件均被加密成以“.ODIN”擴展名結尾的文件，每個文件夾都內附一個 html 網頁，打開之后，同樣出現勒索網頁：

　　【彈出的勒索網頁，要求受害者支付2.5個比特幣】

據受害者稱，要想解密文檔，被勒索的金額是2.5個比特幣，今日1比特幣的匯率是604.41美元，折合人民幣4060.2451元，也就是說，勒索金額上萬人民幣。

據雷鋒網宅客頻道（公眾號 ID: letshome）了解到，多個受害者均在公司就任與財務相關職位，或者是人事崗位，電腦中均保存了大量公司機密及重要信息，這些信息遭受攻擊加密后，如果不解密將損失慘重。

某個受害人表示，老板認為是他的原因才導致了這些重要資料被加密，所以讓他自己來解決這些問題。

贖金要一萬多，如果老板逼我，我就準備辭職了。

他無奈地表示。

雷鋒網宅客頻道第一時間聯系了 360 和騰訊的安全專家，挖出了這個勒索木馬和這個木馬家族的諸多信息。

　　【網絡上還流傳一些中文版本的勒索信】

勒索人到底是何方神圣？

360反病毒工程師王亮告訴雷鋒網，這個“ODIN”木馬是最近非常流行的密鎖敲詐木馬，它屬于著名的“Locky”木馬家族的分支變種。

我們已經捕獲了這個木馬的80幾個變種了。這個家族的敲詐木馬從15年中期就有了，最近從國慶之前又開始泛濫。

那么這個木馬的背后究竟是誰呢？

王亮說：

在我們收集到的木馬變種里，收款的比特幣賬戶各不相同，勒索的金額也不同，大概是1-3個比特幣左右，換算為人民幣的話，平均在7000-8000元左右。

但是由于勒索團伙要求用比特幣通過暗網支付，所以很難查到背后的團伙究竟是誰，來自哪個國家。就連這些收款比特幣賬戶之間有怎樣的聯系，都很難調查。

不過，根據勒索信的內容來看，由于是純英文，所以王亮基本可以判定這些木馬的作者和敲詐團伙來自國外。

我中招之后還有救嗎？

王亮告訴雷鋒網一個悲傷的消息：到目前為止，這個家族的加密手段還沒有人能夠破解。

他詳述了這個家族勒索木馬的加密方法：

先使用 AES-128 加密算法把電腦上的重要文件加密，得到一個密鑰；

再使用 RSA-2048 的加密算法把這個密鑰進行非對稱加密。

這里的“128”和“2048”的數字是什么意思呢？

這代表了密鑰長度，128 就意味著密鑰長度是128個字節，所以這個密鑰的可能性有“2的128次方”之多。這樣的加密有多強呢？王亮說：

如果想使用計算機暴力破解，根據現在的計算能力，幾十年都算不出來。如果能算出來，也僅僅是解開了一個文件。

當然，從理論上來說，你也可以嘗試破解被 RSA-2048 算法加密的總密鑰，至于破解所需要的時間嘛。。。希望破解成功的時候太陽系還存在。

那么，所有的勒索軟件都無解嗎？也并不是這樣。

王亮告訴雷鋒網：

在2014年勒索軟件剛剛興起的時候，有些勒索木馬的加密方法不夠規范，被安全人員找到了漏洞，可以繞過前面的防護手段，拿到密鑰。還有一些團伙被追蹤到了，主動在自己的網站上把私鑰公開了，這時安全人員也可以根據私鑰制作出解密工具。

對于這類最新的勒索木馬，雖然很殘酷，但是安全專家承認，一旦中招（加密已經完成）之后，最經濟的方法其實就是支付贖金。

上圖就是某受害者繳納一萬多元贖金之后，勒索者提供的密鑰下載網址，其中用紅色的字提醒：從今以后記得備份你的數據。被勒索者提醒要備份數據，就是這樣的體驗。

在下載密鑰之后，就到了讓人“欣喜”的恢復數據過程：

　　【電腦在解密本來就屬于機主的數據】

這類勒索木馬會選擇什么文件進行加密呢？王亮告訴雷鋒網：

一般黑客會對“有價值的文件”進行加密，包括 Word、Excel、PPT、文檔、圖片、壓縮包、數據庫、源碼等等。

有些勒索木馬還會刪除系統自帶的備份，就是為了防止用戶通過系統恢復的方式找回珍貴的文檔。

根據受害人的描述，他們被加密的文檔正是這些客戶資料和合同文檔之類的珍貴數據。

　　【用暗網支付比特幣流程復雜，在淘寶上有人專門幫助受害者支付贖金】

下一個中招的會是我嗎？

病毒木馬不可怕，但可怕的是，我們根本不知道為什么被感染。

對于這幾位受害者來說，他們根本沒有感覺到自己做了不恰當的操作，就直接被木馬加密。這些木馬就像幽靈一樣突然降臨，確實讓人后背發涼。

如此說來，看這篇文章的所有人，都有可能 突然成為下一個受害者。

騰訊電腦管家高級工程師徐超告訴雷鋒網，其實這類文件并不是憑空降臨，而是有一些特定的傳播方式：

1、通過郵件傳播。這些木馬病毒被隱藏在郵件里，需要受害者打開附件里的文件并執行才能觸發。這類文件往往看上去是圖片或者表格，但實際是wsf或js格式的腳本。點擊之后并沒有反應，實際上后臺已經開始默默下載勒索木馬。

2、漏洞掛馬。分為兩種情況

a、網頁掛馬：木馬傳播者會把腳本掛在網頁上，用戶一旦訪問這個網頁，就會中招。這類網站一般都是人們“喜聞樂見”的網站，例如羞羞的網站。

b、軟件掛馬：用戶在非官方渠道下載了帶有木馬的軟件，在開機后，不做任何操作，都有可能中毒。

3、通過U盤傳播。這種類型已經不常見了。

　　【受害者訪問的掛馬網站：51credit.com】

通過一下午的排查，360反病毒工程師王亮已經確定了一位受害者的感染途徑，他訪問了一個信用卡交流網站：51信用卡，這個小有名氣的網站論壇的某個廣告位被黑客掛了木馬，而受害者加載頁面之后，整個木馬的下載過程都是靜默的。

顯然，勒索者的觸角已經非常深入了。

　　【打開掛馬的頁面之后，木馬自動下載執行/圖片由 360 提供】

王亮說，這類木馬一開始國外傳播，后來才滲透進中國。所以最先中招的使一些有國際業務的中國公司，例如外貿企業。

顯然，黑客嘗到了甜頭，因為有中國人愿意為這些資料支付贖金。所以在此之后就有一些專門針對中國企業和組織進行攻擊，后來感染的對象擴大到了教育機構或其他大型組織。

所以，怎樣躲開敲詐？

騰訊電腦管家高級工程徐超告訴雷鋒網，這種木馬的危害是一次性的。一旦病毒發作，只會對全盤進行一次加密動作，之后再新建文件，都不會被加密。而且這種木馬一般是沒有傳染性的。

然而說了這么多，一旦加密完成，即使是頂級安全專家也回天乏術。所以所有的“逃生機會”都在防患上。

除了不點擊可疑網頁和郵件、不下載不明軟件以外，還有一個非常重要的就是，安裝防護軟件。

雖然很多童鞋可以細數“鵝廠”和“數字廠”管家衛士的種種不盡如人意的地方。但是關鍵時刻，他們還是會保護你的安全，順便給你省3個比特幣之類的。

徐超告訴雷鋒網，騰訊電腦管家針對這些勒索木馬進行了防御。可以監控郵箱和網頁，對軟件掛馬也有監控感知能力。目前掌握了60多個存在漏洞的軟件，并針對性的做了云防御加固。

而王亮告訴雷鋒網，360安全衛士對勒索木馬也有針對性的防御策略，不僅對于流行的木馬實現查殺，還可以對非法的大規模文件改動進行攔截。另外，王亮還表示，360有先行賠付的業務。通俗地來說，如果你使用了最新的360安全衛士，但依然中招，他們會對受害者進行最高3個比特幣的賠付。

這對于那個因為付不起贖金而要辭職的童鞋來說應該是個好消息。然而，他告訴雷鋒網，電腦被加密的時候，他是裸奔的。。。

所以，你問我怎樣才能防止一覺醒來就損失一萬塊錢這樣的悲劇發生？

雷鋒網(搜索“雷鋒網”公眾號關注)的建議是：

1、備份你的數據。

2、不要裸奔。

3、把你的防護軟件和系統都升到最高級。