只有失去了，才懂得珍惜。

這個一般由前女友教會你的道理，一個病毒同樣也可以教會你。

在中國，已經有至少 497 萬臺電腦感染了這種可怕的病毒。

喜歡看僵尸片的童鞋都熟悉一個場景：“主人公正在家中歲月靜好，而一條街外，世界已經血雨腥風。”如果看到這里，你還懵然無知，不知道我在說神馬。那么請回頭看看，很可能你已經在無數僵尸的注視中了。。。

讓 360“花容失色”的病毒究竟是什么？

你俄幾在我們叟喪，明天資前付俗金，否則偶們就要撕票！

這個狗血爛俗的劇本，幾乎可以概括這個病毒的套路。但是相信我，當狗血的劇情真正發生在你身上的時候，你的體驗會大不一樣。

這種病毒被稱為“勒索者病毒”。

早晨起來，你打開公司電腦，瀏覽了一些網頁。突然發現電腦有一點點卡，你抱怨了一下摳門的公司遲遲不給你換電腦，然后繼續工作。

十幾分鐘后，你的世界開始“變天”。

毫無征兆，系統彈開一個文檔，上面寫著：你好，你的文檔和數據已經全部被我們加密了。但是別急，你知道我們黑客是很守規矩的，只要你給我的賬戶轉“3個比特幣”，保證可以把你的文件毫發無損地解密出來。。。

你慌忙打開文件夾，發現公司所有的資料、報表、客戶合同，包括你剛剛寫的一萬字的工作報告，都變成了莫名其妙的白色圖標，點擊任何一個都無法打開。同時你發現，就連桌面都被黑客改成了勒索信。

更讓你迷惑的是，歹徒居然不讓你網銀轉賬，不用你微信紅包，卻要聽上去很陌生的“比特幣”。而當你仔細搜索才知道，3個比特幣換算成軟妹幣的話，要10000多塊。

如 360 這種見過大世面的反病毒公司，遇到“勒索者病毒”都會“花容失色”。因為，當你看到勒索信的一瞬間，就意味著這件事情幾乎已經無解了。不僅 360，世界上其他的反病毒公司同樣回天乏術。因為這類病毒所使用的加密技術，是和你手上的U盾一樣的安全級別，想要破譯好比登天。

而更讓人感到無力的是：正在看文章的你，在內心里根本不相信自己會是下一個受害者。你也許并不會去給自己的電腦安裝最新的補丁，也可能并不會安裝升級你的反病毒軟件。

正是這種如魯迅描寫的“圍觀殺人”的冷漠，讓“敲詐者病毒”在今年下半年的爆發數量超過了上半年600%（360 統計數據），讓今年年帶有這類病毒的垃圾郵件比去年增長了6000%（IBM 統計數據）。

所以，這個“勒索者病毒”究竟是怎樣運作的呢？

“勒索者病毒”的簡單原理

360 首席反詐騙專家裴智勇告訴雷鋒網宅客頻道，“勒索者病毒”是非常“有個性”的病毒。

一般的木馬病毒都有很直接的目的：竊財，竊密，竊數據，盜賬號。但敲詐者病毒卻是用要挾的辦法，強行索要財物。而且敲詐者病毒的攻擊過程是瞬間完成：在加密文件的過程中用戶幾乎沒有任何感受，當你感受到的時候，證明感染已經成功。

　　【360 首席反詐騙專家裴智勇博士，以及敲詐者病毒的加密解密原理】

具體來說，“勒索者病毒”感染全過程的簡單原理如下：

1、用戶感染這類病毒的途徑有：瀏覽了帶有木馬病毒的網頁（這類比例最大，且大多小白根本沒感覺）、打開了帶有病毒的郵件、下載了帶有病毒的惡意軟件，或者干脆被黑客入侵。

2、在病毒進入用戶電腦之后，會對文檔、圖片、視頻等常用程序進行加密，然后生成一個密鑰，再把這個密鑰用更變態的方法加密多次，最終存儲在本地，只有黑客手中的密鑰才能打開。

3、然后程序會自動彈出勒索信，用戶為了支付贖金，需要購買比特幣，為了購買比特幣，需要下載專用的暗網瀏覽器“洋蔥瀏覽器”。

4、歷盡千辛萬苦給黑客支付贖金之后，再把本地的密鑰發給黑客，黑客解密之后發回本地，用戶就可以用他解碼文件了。

總之，這種病毒頗有一種“你看不慣我，還干不掉我”的風范。用一句話形容， 就是“老奶奶靠墻喝粥”——背壁，無齒，下流。

面對這樣的危急形勢，360 發布了一份《2016敲詐者病毒威脅形勢分析報告》，對這種病毒發出了大夶夶預警。雖然聽上去是一份不太性感的報告，但是其中還是隱藏了很多“萌點”，雷鋒網宅客頻道從中摘了十個有關“敲詐者病毒”的冷知識，讓你對這種無恥的勾當再多一些了解。

有關“敲詐者病毒”的八個冷知識

一、敲詐者病毒是“最男人”的病毒

怎么說呢？還是看圖吧。

　　【敲詐者病毒中招男女比例】

中毒用戶中，有 42% 說并不知道自己怎么中毒的。根據我們的分析這其中90%都是登錄了掛馬（帶有木馬病毒）的網頁，這其中有一些是真不知道自己怎么中毒的，有一些可能是不好意思說的。

裴智勇用“你懂的”口氣說道。

實際上，大量的“黃色網站”“賭博網站”都被黑客“掛馬”（站長也許根本不知情），但是根據調查，絕大多數瀏覽這兩類網站的用戶，看到瀏覽器彈出的風險提示，會以迅雷不不及掩耳盜鈴之勢選擇忽略。

所謂黃賭毒，大概可以解釋為，黃、賭網站一般都帶毒。。。

安全專家們對用戶的這種行為表示“充分理解”。但是，正是“男人的力量”，讓敲詐者木馬呈指數級模式在中國傳播。

　　【敲詐者病毒的兩次傳播高峰，其中一次就是因為某境外黃色網站被掛馬】

系統沒打補丁，可能是罪魁禍首

360 反病毒專家王亮告訴雷鋒網宅客頻道（letshome），從數據來看，網站掛馬是中國用戶感染敲詐者病毒最主要的途徑。

而瀏覽帶有木馬病毒的網站，并不意味著一定會感染。感染的前提是：你的瀏覽器存在漏洞。

根據研究，這些木馬利用的漏洞大概只有兩種：“IE 漏洞”和“Flash 漏洞”。

　　【網頁“掛馬”利用漏洞的比例】

其中絕大多數是 IE 瀏覽器的漏洞。然而，讓人發指的是，其中利用最多的是一個名為“CVE-2014-6332”的漏洞。顧名思義，這個漏洞在2014年就被提交給微軟，并且獲得了修復。而超過四分之三的用戶之所以還會中招，是因為他們使用了2014年以前的老版本 IE，根本沒有打補丁或下載新版本。

所以，趕快去檢查一下你家里和工作單位正在使用的 IE 版本吧。

理論上來說，制作這類病毒的人，并不一定有能力挖掘出最新的瀏覽器漏洞，他們的彈藥都來自于已經被爆出來并且已經被微軟發布補丁的漏洞。而正是因為大量用戶沒有更新最新補丁的習慣，才讓黑客在詐騙的道路上“如魚得水”。

黑客的加密技術，和網銀一樣

“如果把全世界的計算機都用起來，幾年時間都不一定能破解一個敲詐密鑰。加上用無數窮舉的密鑰嘗試解密目標文件所用的時間，這讓破解根本是不可能的。”

裴智勇如此解釋被加密文件的不可破解性。

實際上，黑客在加密中所使用的 RSA 或 ECC 非對稱加密算法，正是銀行 U盾的加密算法。這類技術本來是用于安全支付，現在卻被黑客拿來敲詐勒索。

如果你能破解敲詐密鑰，那么理論上你就能夠破解別人的 U盾。

裴智勇說。

　　【利用加密技術，U盾可以生成難以破解隨機驗證碼】

黑客從不賴賬

根據數據，在中國的受害者中，有將近40%的人不相信付錢后黑客會幫忙解密文件。

根據我們的調查，在中國，付款后黑客履行承諾，解密文件的比例是100%，也就是，黑客從來沒有賴賬。

裴智勇說。

也就是說，雖然你可能永遠不知道黑客在哪里，但是黑客的誠信精神似乎還不錯。

那些不相信敲詐黑客的人，是否還會有一些慚愧呢？這似乎是一種復雜的情感。

　　交贖金，朋友不如淘寶可靠

因為購買比特幣和比特幣轉賬，首先需要翻墻，其次需要下載暗網專用瀏覽器，而且還要找到正確的比特幣購買和交易平臺。關鍵問題在于，所有的流程都需要在英文網站上完成。這個技術挑戰不是一般的大。

所以，八卦的 360 甚至統計了受害者交贖金的途徑。有意思的是，受害者中有 8.3% 選擇求助于朋友，而朋友幫助的成功率是：0%。（雷鋒網宅客頻道發來賀電）

相反，有 58.4% 的童鞋選擇求助于萬能的淘寶，淘寶上專業的商家代付成功率為 92.9%。（向毛主席保證，本文絕不是淘寶廣告。目測淘寶已經屏蔽了“比特幣”關鍵詞。）

而受害者自己操作的成功率都達到了50%。

這一趴的結論是，有事別靠朋友，靠自己。

　　【淘寶上的比特幣交易服務】

企業“VP”的電腦里似乎沒什么重要資料

數據看來不會說謊，如果你愿意支付一萬塊的贖金，一定說明你認為電腦里的數據比一萬塊更值錢。

　　【企業不同層級付贖金的比例】

從這個圖上看，企業的中下層員工中招之后，很多人都會選擇給黑客付錢。然而企業的高管、VP們，居然沒有一個人付錢。從人之常情的理解來看，可能是因為高管的業務資料在下屬手中都有備份。

然而，到了企業的頂頭 BOSS，情況就不一樣了。

這一趴的結論是：“果然，老板們都有不可告人的秘密啊。”

敲詐黑客也有“玩脫”的時候

同一家族病毒加密文件的解密鑰匙都是相同的，密鑰掌握在黑客手中。所以一旦黑客公布密鑰，所有曾經被加密的文件理論上都會“重獲自由”。

例如臭名昭著的 TeslaCrypt 敲詐病毒，作者今年突然良心發現，在自己的暗網網站上放出了密鑰。

　　【TeslaCrypt 作者在網頁上放出密鑰】

當然，絕大多數情況下，你是沒辦法奢望歹徒良心發現的。

不過，由于改裝一個敲詐木馬的門檻很低，所以有很多水平參差不齊的黑客也想來分一杯羹。于是做出了很多“問題病毒”

有的病毒沒有正確運用加密算法，有的病毒本身存在漏洞，有的沒有清除計算機上的歷史痕跡，有的對原文件采用了可以被恢復的刪除操作。

這些情況我們都可以研究出恢復的方法和工具。

裴智勇說。

但是他也表示，這些錯誤大多存在于早期的病毒版本中。最新的敲詐者病毒，沒有發現任何漏洞。也就是說，只要黑客不犯錯誤，就沒有辦法恢復文件。

已經產生了“有中國特色的敲詐者病毒”

由于這類病毒是從國外傳來的，大多都是英文版本。不過在今年，已經越來越多出現“中文版”這種照顧用戶體驗的變種了。

有些病毒的制造者，甚至還玩起了互聯網模式，例如“限時優惠”。。。

這個病毒作者看來深諳互聯網產品的奧義，在勒索信中寫道：在五天內付款，可以享受優惠價哦親。

另外，還有一個敲詐者病毒，在界面上顯示可以“一元解鎖”。然而當你真的進入付款界面的時候，實際上扣除的價格就是上千元。（雷鋒網(公眾號：雷鋒網)宅客頻道感覺這種方法已經得到了電信詐騙的真傳。）

　　【一元解鎖的“敲詐者病毒”】

看了這么多，也許你還是覺得這種病毒離你很遙遠。

然而，事實上這種病毒正在以指數型的速度增長，分裂，變種。今年，360 已經截獲了電腦端新增的敲詐者病毒變種113種，涉及到16.7萬個樣本。而裴智勇根據掌握的數字預測，明年“敲詐者病毒”爆發會是今年的十倍。

就在不久前，雷鋒網宅客頻道接到讀者反映，他辦公室的電腦被無故加密，其中的重要資料被黑客加密。老板要求他自己支付約合1萬人民幣的贖金，他沒有辦法支付，只好考慮辭職。

而另一位讀者因為訪問了某信用卡甲流網站，同樣中病毒遭遇勒索，他花了一夜時間才成功支付贖金。

所以，對待這種病毒，只有一種辦法，就是防患于未然。例如：

安裝最新版殺毒軟件，

安裝系統和瀏覽器的最新補丁，

做好重要資料備份，

或者對自己狠一點，不瀏覽不可名狀的網頁。

當然，土豪隨意。

“敲詐者病毒”正在接近我們。如果不提高安全意識的話，下一個中招的，也許就是你。

　　以下是《2016敲詐者病毒威脅形勢分析報告》全文鏈接，供讀者參考。