Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头。
就在这之前,我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。
相比较传统的病毒和木马程序,您是否认为未来勒索软件的受关注程度将越来越高?
没错,我同意这个观点。无论是发现的”新家族”数量,还是感染用户的次数,勒索软件都呈现出极快的上升趋势。勒索软件威胁的规模和严重程度几乎每天都在成倍增加。这主要是因为利用勒索软件获利相对容易。犯罪分子首先感染受害人,后者支付赎金后得到密钥,最后用密钥解密被锁文件。整个过程不需要更多沟通或任何交流。而相比之下,利用银行恶意软件攻击则较为繁琐,犯罪分子还需要与受害人沟通许多事项。
如何才能避免感染勒索软件病毒?
作为个人用户,感染勒索软件的风险是否比公司更高?
勒索软件会攻击所有人,并不在乎是个人用户还是公司用户。有时候,的确会专门攻击某些特定公司,但更多时候,我们看到的是试图感染所有人的群发垃圾邮件。另一方面,一些大型公司并不愿支付赎金;因为备份工作做得较为完善。而小型公司支付赎金的意愿往往更高,原因是从备份恢复文件的成本可能高于赎金本身。
如果文件不幸遭勒索软件加密,何时才能解密呢?
以下情况下完全能解密文件:
在处理CryptXXX勒索软件加密问题的说明中,你提到除了加密的文件外,还需要用到未加密的文件。该软件的主要功能到底是什么呢?如果我手上有未加密的文件,那我根本不需要解密工具…
这个问题问得好,很高兴有人提这个问题。这表示我们的表述有待进一步提高。该勒索软件在加密你的所有文件时,都使用了同一个密钥。打个比方,你有1000个文件被加密,所有这些被加密的文件中,只有一个存有原始文件—比如,你发给别人邮件中的图片附件。你只要将这一个文件放入我们的解密工具,就能自动生成解密密钥,随后用这一密钥解密其它999个文件。因此那个原始文件相当重要。
勒索软件是不是只有加密文件的恶意软件一种?
除了这一种外,还有锁住计算机的勒索软件。但这类勒索软件通常很容易清除,因此流行程度远不如加密文件的那种。如果你想要了解更多有关锁住计算机的勒索软件及应对方法,请访问我们的博客阅读这篇专题博文。
从国际媒体的报道来看,解决勒索软件问题就像猫捉老鼠的游戏。每次找出一个解决方案,你的对手就试图绕过它。真实情况是否真的如此?
实际情况并不是这样。我们的系统监视组件始终监视着运行进程的行为,完全可以检测出遇到的大多数新型勒索软件攻击—甚至是那些来自未知勒索软件的攻击。我们的系统监视器几乎很少有失手的时候。我们添加入新的行为特征也能使监视组件捕捉到新型攻击。再次重申,失手的情况极少发生。
由于犯罪分子索要比特币作为赎金,因此很难追踪。到底能不能追踪并找到这些犯罪分子呢?
事实上,追踪比特币交易并不难;因为交易信息都记录在了区块链中。区块链就是比特币的本质—你可以追踪任何交易。你不知道的只是交易背后的人是谁。因此,执法机构完全可以追踪到比特币流入了哪个钱包,只是需要找出钱包的主人。
“混币器”就是不法分子专门用来洗白比特币的工具,作用是防止自己被追踪。可以将”混币器”看做一台机器,你将许多比特币倒入其中,随后开始互相交换,这样你根本分不清哪些比特币是谁的。比如,我是受害人,需要向某个钱包支付1个比特币。在支付完成后,即进入了”混币器”。这枚比特币与其他人的比特币进行交换。因此到最后,你根本不知道你追踪的是不是最开始的那枚比特币。我想你也猜得到,这种情况时有发生。
互联网上有不少这方面的研究(搜索Google可以发现很多),说明追踪还是有可能的。简单来说:有时的确可以通过追踪交易找到那个钱包,但这并不容易—即使你找到了钱包,执法部门还必须与比特币交易平台合作,找出钱包主人的登录凭证。
总共花了几年时间才发现CoinVault并找到它的作者?
自从熊猫安全公司的Bart发推文说找到了另外两个CoinVault样例,人们才开始了解CoinVault。但事实证明这两个样例并非是CoinVault,但显然与该勒索软件有关。我们因此决定专门写一篇有关它的专题博文,并创建了CoinVault演变过程的时间轴。当我们写完90%的内容后,我们将这篇”半成品”文章发给了国家高科技罪案组(NHTCU)。
我们写完这篇文章后,发现了一些线索:直接指向两名嫌疑犯。我们立即与NHTCU分享了这一信息。从Bart发推文到这一发现之间最多只有1个月的时间,当然我们并没有将所有时间都花费在这篇博文上—还有其它的工作要做。在我们文章发布后,NHTCU又花了半年多的时间立案彻查,最终于去年九月份成功逮捕了这伙犯罪分子。
网络犯罪分子能从勒索软件中赚多少钱?
很好的问题,但比较难回答。我们只能确定追踪到的所有比特币交易进入某个钱包的资金。或者当警方缴获一台命令与控制服务器后,从中可以找到支付信息。其实你自己也可以计算,比方说有个犯罪分子成功感染了25万名受害人(对于那些大规模攻击活动,这一数字相当接近实际)。假设犯罪分子向每名受害人索要200美元赎金(现实中,平均在400美元左右)。就算只有1%的受害人支付,那总收入也能达到50万美元。
局域网内如果有一台PC电脑感染了勒索软件,那是否会传播至网内装有相同操作系统的其它电脑上呢?单个勒索软件能感染不同的操作系统吗?
至于第二个问题:如果目标是网络服务器的话,单个勒索软件完全可以感染不同的操作系统。例如,勒索软件就能将运行存在漏洞的内容管理系统(用PHP编写)的服务器作为攻击目标。该勒索软件能感染拥有网络服务器(安装PHP)的Windows计算机。然后扫描互联网的其他部分以寻找其他计算机继续进行感染。下一台计算机可能运行Linux系统—但肯定装有PHP网络服务器。概括来说,我的答案是:没错,的确存在多平台勒索软件。
下周,我们将继续公布剩下的Jornt问答内容。