安全专家访谈:Jornt van der Wiel谈论勒索软件

Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。

Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头。

就在这之前,我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。

相比较传统的病毒和木马程序,您是否认为未来勒索软件的受关注程度将越来越高?

没错,我同意这个观点。无论是发现的”新家族”数量,还是感染用户的次数,勒索软件都呈现出极快的上升趋势。勒索软件威胁的规模和严重程度几乎每天都在成倍增加。这主要是因为利用勒索软件获利相对容易。犯罪分子首先感染受害人,后者支付赎金后得到密钥,最后用密钥解密被锁文件。整个过程不需要更多沟通或任何交流。而相比之下,利用银行恶意软件攻击则较为繁琐,犯罪分子还需要与受害人沟通许多事项。

如何才能避免感染勒索软件病毒?

  • 总是为自己的软件安装最新更新补丁;
  • 不要点击可疑邮件内的任何链接或附件;
  • 在Windows系统中启用文件扩展名(这样你就能发现invoice.pdf是不是被篡改成了invoice.pdf.exe);
  • 采用启发式方法升级和配置反病毒解决方案
  • 做好备份工作,一旦文件出错的话,还可以从备份中恢复。将文件离线保存或存储至无限制版本控制的云端(这样就算本地硬盘上被加密的文件同步到云端,依然能恢复最新未加密的版本)。
  • 作为个人用户,感染勒索软件的风险是否比公司更高?

    勒索软件会攻击所有人,并不在乎是个人用户还是公司用户。有时候,的确会专门攻击某些特定公司,但更多时候,我们看到的是试图感染所有人的群发垃圾邮件。另一方面,一些大型公司并不愿支付赎金;因为备份工作做得较为完善。而小型公司支付赎金的意愿往往更高,原因是从备份恢复文件的成本可能高于赎金本身。

    如果文件不幸遭勒索软件加密,何时才能解密呢?

    以下情况下完全能解密文件:

  • 恶意软件作者犯了”实现”错误,因此被加密的文件能被破解。最典型的例子就是Petya勒索软件和 CryptXXX。可惜,我没办法在这里列出他们所犯错误的清单—那样只会让不法分子想出下次不再犯错的方法,这显然不是我们愿意看到的。但通常情况下,解密文件并不容易。如果你希望了解更多有关文件加密和犯罪分子可能犯的错误,建议搜索”Matasano加密挑战”。
  • 在TeslaCrypt勒索软件的案例中,该恶意软件作者突然道歉,直接公布了密钥(”万能钥匙”)。
  • 执法机构收缴了一台存有密钥的服务器,并将密钥共享到互联网上。就在去年,利用荷兰警局提供的密钥,我们专为CoinVault受害人编写了一款解密工具。
  • 有时候支付赎金的确有效,但无法保证每次支付赎金后就一定能解密文件。此外,你支付的每一分钱都将是对犯罪分子”事业的支持”,也会间接让更多的人感染勒索软件病毒。/li>

    在处理CryptXXX勒索软件加密问题的说明中,你提到除了加密的文件外,还需要用到未加密的文件。该软件的主要功能到底是什么呢?如果我手上有未加密的文件,那我根本不需要解密工具…

    这个问题问得好,很高兴有人提这个问题。这表示我们的表述有待进一步提高。该勒索软件在加密你的所有文件时,都使用了同一个密钥。打个比方,你有1000个文件被加密,所有这些被加密的文件中,只有一个存有原始文件—比如,你发给别人邮件中的图片附件。你只要将这一个文件放入我们的解密工具,就能自动生成解密密钥,随后用这一密钥解密其它999个文件。因此那个原始文件相当重要。

    勒索软件是不是只有加密文件的恶意软件一种?

    除了这一种外,还有锁住计算机的勒索软件。但这类勒索软件通常很容易清除,因此流行程度远不如加密文件的那种。如果你想要了解更多有关锁住计算机的勒索软件及应对方法,请访问我们的博客阅读这篇专题博文。

    从国际媒体的报道来看,解决勒索软件问题就像猫捉老鼠的游戏。每次找出一个解决方案,你的对手就试图绕过它。真实情况是否真的如此?

    实际情况并不是这样。我们的系统监视组件始终监视着运行进程的行为,完全可以检测出遇到的大多数新型勒索软件攻击—甚至是那些来自未知勒索软件的攻击。我们的系统监视器几乎很少有失手的时候。我们添加入新的行为特征也能使监视组件捕捉到新型攻击。再次重申,失手的情况极少发生。

    由于犯罪分子索要比特币作为赎金,因此很难追踪。到底能不能追踪并找到这些犯罪分子呢?

    事实上,追踪比特币交易并不难;因为交易信息都记录在了区块链中。区块链就是比特币的本质—你可以追踪任何交易。你不知道的只是交易背后的人是谁。因此,执法机构完全可以追踪到比特币流入了哪个钱包,只是需要找出钱包的主人。

    “混币器”就是不法分子专门用来洗白比特币的工具,作用是防止自己被追踪。可以将”混币器”看做一台机器,你将许多比特币倒入其中,随后开始互相交换,这样你根本分不清哪些比特币是谁的。比如,我是受害人,需要向某个钱包支付1个比特币。在支付完成后,即进入了”混币器”。这枚比特币与其他人的比特币进行交换。因此到最后,你根本不知道你追踪的是不是最开始的那枚比特币。我想你也猜得到,这种情况时有发生。

    互联网上有不少这方面的研究(搜索Google可以发现很多),说明追踪还是有可能的。简单来说:有时的确可以通过追踪交易找到那个钱包,但这并不容易—即使你找到了钱包,执法部门还必须与比特币交易平台合作,找出钱包主人的登录凭证。

    总共花了几年时间才发现CoinVault并找到它的作者?

    自从熊猫安全公司的Bart发推文说找到了另外两个CoinVault样例,人们才开始了解CoinVault。但事实证明这两个样例并非是CoinVault,但显然与该勒索软件有关。我们因此决定专门写一篇有关它的专题博文,并创建了CoinVault演变过程的时间轴。当我们写完90%的内容后,我们将这篇”半成品”文章发给了国家高科技罪案组(NHTCU)。

    我们写完这篇文章后,发现了一些线索:直接指向两名嫌疑犯。我们立即与NHTCU分享了这一信息。从Bart发推文到这一发现之间最多只有1个月的时间,当然我们并没有将所有时间都花费在这篇博文上—还有其它的工作要做。在我们文章发布后,NHTCU又花了半年多的时间立案彻查,最终于去年九月份成功逮捕了这伙犯罪分子。

    网络犯罪分子能从勒索软件中赚多少钱?

    很好的问题,但比较难回答。我们只能确定追踪到的所有比特币交易进入某个钱包的资金。或者当警方缴获一台命令与控制服务器后,从中可以找到支付信息。其实你自己也可以计算,比方说有个犯罪分子成功感染了25万名受害人(对于那些大规模攻击活动,这一数字相当接近实际)。假设犯罪分子向每名受害人索要200美元赎金(现实中,平均在400美元左右)。就算只有1%的受害人支付,那总收入也能达到50万美元。

    局域网内如果有一台PC电脑感染了勒索软件,那是否会传播至网内装有相同操作系统的其它电脑上呢?单个勒索软件能感染不同的操作系统吗?

    至于第二个问题:如果目标是网络服务器的话,单个勒索软件完全可以感染不同的操作系统。例如,勒索软件就能将运行存在漏洞的内容管理系统(用PHP编写)的服务器作为攻击目标。该勒索软件能感染拥有网络服务器(安装PHP)的Windows计算机。然后扫描互联网的其他部分以寻找其他计算机继续进行感染。下一台计算机可能运行Linux系统—但肯定装有PHP网络服务器。概括来说,我的答案是:没错,的确存在多平台勒索软件。

    下周,我们将继续公布剩下的Jornt问答内容。

  • 即使支付赎金,Ranscam也不会恢复你的文件

    在遇到勒索软件攻击时,人们往往第一时间想到的是:是否值得支付赎金,以及如何以最小的代价恢复被锁文件。卡巴斯基实验室从始至终不建议受害人支付任何赎金,而如果不幸遇到被称为”Ranscam”的新型勒索软件时,那支付赎金更是毫无意义:它会将你的文件整个删除。

    提示