拼客学院陈鑫杰(陈鑫杰勒索病毒防毒)

拼客学院。Hello 同学们好，欢迎大家观看本期节目，我是你们的陈鑫杰老师，那今天呢，杰哥想跟大家聊一聊，什么是勒索病毒以及我们如何做好信息安全防范。

这两天呢，网上有这么一个事还比较火啊，就是 B 站的一个 up 主，叫做“党妹”，已经有500多万粉丝的，算是个大 V 了，那她所在的这个团队呢，惨遭这个黑客攻击。

注：来源B站

简单来说，就是 TA 们用来做节目的、存储大量素材和数据的 NAS 网络硬盘呢，被黑客攻击并且植入了这个 Buran 勒索病毒，那现在呢，这个硬盘里面的所有数据都被加密了，并且没法打开。

所以 TA 们就马上报了警，那警方这边也很快给了回复，就是现在没办法帮你解决，建议你去找专业的数据恢复或网络安全公司。

然后网络安全公司这边的口径，也基本是一样的，就是目前这么中了这个病毒的，数据都没法解开。

所以说，这个团队目前的情况就是，要么你就认啊，数据就这样没了；要么你自己联系黑客交赎金，看看黑客能否把这个密钥给你，拿到密钥之后再解开数据。当然呢，实际案例中，交钱之后能否赎回还是个问题。

大概就这么一个事儿。

那关于这个事情呢，今天咋们节目就跟大家来探讨几个问题。

第1个呢，就是带大家了解一下，到底什么是勒索病毒？关于这个，很多人其实还是比较陌生的，因为还没有“中招”过嘛，所以就觉得跟你没关系。但问题是，一旦中招了，大几率都没法解决的。

所以呢，这里还是先给大家做个普及，毕竟当前的网络攻防对抗趋势来看，未来这类勒索病毒会越来越高发，我们每个人中招的几率正在持续变高。

第2个呢 ，我们要来讨论一下，为什么黑客或勒索病毒能这么猖狂，为什么连警方、网络安全公司、数据恢复公司等等，都束手无策？例如，没办法帮我们，将已加密的数据解密开来，更也没法将黑客团伙绳之于法。这里也带大家来客观理性地看待这件事情。

最后呢，当然也是这一期节目最重要，也是最希望大家了解的一个内容，即就是作为个人或企业，在我们还没有中招之前，怎么做好这个信息安全防范，保障数字资产安全？

1. 什么是勒索病毒？

好，首先我们先来聊第1点，就是什么是勒索病毒。

勒索病毒，其实它也算是我们是众多计算机病毒的一种，只不过呢，以前这些病毒呢，大家印象中应该都知道，电脑中招之后呢，你的电脑就变成一个所谓的”肉鸡”或者”傀儡”，黑客可以删掉或拷贝你的电脑数据啊，或者搞垮你的电脑让你开不了机，或者劫持你电脑去攻击别人。这是传统病毒的攻击行为。

那现在的这个勒索病毒呢，它跟以前的一个最大区别是什么呢？

就是呢，它首先不会去损害或者泄露你的数据，你数据的完整性仍然有保障，也不会对你电脑本身造成破坏；但它换成另一种方式来处理，就是加密。

相比之下，其实勒索病毒算是所有这些病毒里面，比较「斯文」的。

这些勒索病毒加密硬盘之后呢，一般会在里面留下一个联系信息，例如数字货币的汇款地址，或者一个匿名联系邮箱等等，然后等你交了赎金之后，数据再恢复。

简单来说，以往很多病毒的目标就是为了搞破坏，很多黑客搞这些单纯就是为了炫技，例如”熊猫烧香”这种；但现在这种勒索病毒更加现实一些，就是要钱，本质上是因为现在很多黑客团伙已经商业化运营了。

那目前这类勒索病毒，其实已经非常非常多了，并不是很新鲜。

自从2017年开始，Wannacry 想哭病毒就打开这个潘多拉盒子，第一次把计算机病毒跟数字货币结合在一起，并且创造了这种近乎”完美”的勒索犯罪盈利模式，后面就有大量的黑产团队和勒索病毒开始崭露头角。

除了 Buran 和 Wannacry ，还有 Paradise 天堂、Satan 撒旦、Maze 迷宫、GandCrab、STOP、Crysi 等等各种各样的勒索病毒。

不仅如此，它们还会变种。

例如 1.0 版本出来之后，如果被杀毒软件拦截了，那么它还会出现 2.0 或者 3.0等变种，与杀软形成持续对抗的局面，这样的话呢，就导致现在互联网上所存在的勒索病毒及其变种，非常非常的多。

短短几年间，勒索病毒已成为互联网黑灰产犯罪的头号武器。

要知道，单单一个 Gandcrab 勒索病毒，短短几年间，就疯狂净赚 20 亿美金，吸金能力比以往任何「黄赌毒」生意来得更猛。

黑客是如何”投毒”的？

很多人说，我电脑好端端的，也没招惹谁，无缘无故怎么会中招呢？

关于这一点，这里带大家了解一些黑客常见的「投毒」方式，之后你就能明白，为什么越来越多人或政企单位正在「中毒」。

可以这么说吧，黑客基本上做到了：你在哪里，哪里就有毒。

站在网络安全专业领域的角度，黑客往往会采取鱼叉式攻击（Spear Phishing Attack）、水坑攻击（Watering Hole Attack）、社工攻击（Social Engineering Attack）等等手段，实际案例中还会多手法结合，对于普通民众或者非技术团队来说，可以说是防不胜防了。

这里我举几个常见的例子，大家后续要多多留意。

第 1 种 – 软件投毒

很多人呢，下载软件的时候，不喜欢去官网下载啊，很喜欢去一些第三方渠道下载。

例如，很多第三方软件下载网站，服务器早就已经遭受黑客入侵了，黑客在你下载软件之前，提前将病毒和软件捆绑，这样等你上去下载时，你自然而然就中招了。（供应链攻击）

举个例子，这几年国内很多人使用 Windows 系统激活工具，其中有个比较有名叫做 “KMSpico激活神器”，这么一个激活器，其实之前就被绑了木马病毒，很多人不知道，从这些网站下载之后，在给 Windows 系统激活的时候，就莫名其妙变成了别人的肉鸡了。

对于黑客来讲，这种大规模送人头的行为，人家可是特别开心啊。

第 2 种 – 网站投毒

第2种跟第1种比较像，同样是一些网站，因为技术能力一般或者没啥人维护，这就导致网站被黑客入侵了，被人挂马之后呢，普通用户去访问这些网站时，这个网站会莫名其妙弹框或者引导用户下载一些插件之类的，小白不懂的话，就各种点击同意之类的。等同意之后，电脑就就成了肉鸡了。

第 3 种 – 邮件投毒

第3种呢，就是钓鱼邮件，简单来说，就是发布钓鱼邮件，然后在邮件文件里面「藏毒」，用户下载并打开这份有毒的文件时，电脑就中招了。

这种投毒方式，一般会结合当前的热点事件，或者结合用户的社会职位来定向攻击。

比如说，近期疫情期间，如果你是学生的话，那么黑客就可能会伪造教育部或者学校的头衔，给你推一条开学邮件通知，你这一没留意，可能就下载这个 Word 或 Excel 文件，一执行的话，电脑就中招了。

顺便一提，年初印度那边的 APT 黑客组织，针对国内医疗机构大肆发起的鱼叉式攻击，就是采用这种方式。TA 们伪造各种「新冠病毒诊断预防措施.xls」「健康信息填写表.xls」等等藏毒文档，发放邮件诱导医疗团队或个人下载，最终窃取或破坏我国医疗数据。

第 4 种 – 社交投毒

第4种呢，就是基于各种社交软件发起的攻击，例如黑客潜伏在各种社群里，然后发布诱导性文档，例如「娱乐圈841页最新版.pdf」「如何快速拿下富婆？.doc 」「足不出户月入过万秘籍.xls」

这些文档同样是藏毒的，用户下载之后一执行，同样就中招了。

第 5 种 – 手工投毒

最后一种呢，就是黑客团队利用网络扫描器，对互联网上常用的服务端口，例如 21、22、80、135、139、443、445、3389 等等进行大规模扫描，并且基于这些端口服务的漏洞或风险点进行攻击，在拿到访问权限后，再将病毒手工安装上。

举例，当电脑或服务器开启了 3389 远程桌面服务，黑客扫到之后，可以对其登陆口进行暴力破解，如果密码设置得太简单，例如 8 位以内 或者类似 123456 这种纯数字，那基本不用太费劲就能被拿下。

注：网络空间搜索引擎可以扫描到，全球有460万开放3389端口的主机。其中，中国、美国、德国位居榜首。

而如果这样的电脑或服务器，恰好在某个企业办公网，就会导致黑客继续利用这台机器，作为「跳板」进行内网渗透，最终可能导致整个企业”全军覆没”。

这里顺便说回「党妹被黑客勒索」这个案例，她这里提到一个关键信息，就是「花了十几万搭建的NAS网络硬盘，上架用了第1天就中招了！」。

注：来源B站

有折腾过NAS的朋友应该知道，很多人会开启端口映射，这样就可以做成「云硬盘」一样，实现随时随地访问。而这样的话，就不得不向互联网/公网暴露 IP和端口。

也就是说，本来就一个局域网共享盘，现在变成了一个云盘，黑客就可能通过互联网扫到你的网盘访问端口，然后如果你的账号密码设置的又弱，那就很有可能被黑客爆破之后接管你的NAS系统，继而再进行内网渗透。

从经验来看，我个人觉得这种可能性还蛮大的。所谓「事出反常必有妖」嘛，有些观点也猜测是内网首先有电脑先中招了，然后再影响到这个NAS盘，但你早一天晚一天不爆发，偏偏就NAS网盘上线第一天就出事了？

2. 为什么警方或安全公司也束手无策？

好，那刚才呢，我们聊到的这些东西呢，都是属于这个勒索病毒的，比如它的攻击流程、投毒方式等等。

接下来，我们来聊一个也是大家可能比较关心的一个问题，就是说为什么现在警方啊，不能把这些黑客给抓回来，或者说这个网络安全公司呢，为什么也会束手无策呢？平常不技术很牛 X 吗？为什么现在就不能把数据给恢复回来呢？

2.1 为什么警方也比较棘手？

首先呢，大家要知道一点，就是目前这一类的一个病毒，基本上呢，你可以说 90% 以上，都是由国外的专业黑客团队在做的，然后做完之后怎么办呢？

TA 们在全球范围内去招募这些代理商，这些代理商可能来自是美国、俄罗斯、日本、中国等等地区的，代理商在各个地区和渠道实施投毒，最后呢，TA 们拿到这些勒索得到的钱财之后再来相互分成。

也就是说，目前这已经成为是一种全球性的犯罪产业链。

除了全球化，还有一点特征就是，所以作案过程，无论是前期招募代理商，还是后期勒索收钱，所有沟通和交易都是匿名进行的。

所以，这已经算是目前人类面临的一个新的公敌，这不仅仅发生在我们国家，在其他国家也是照样的情况，大家都很头疼这个事。

而如果要抓到这个团队或者抓到这些代理商，就需要将这个交易网络连根拔起，那这就不是一个地区的警方或者一个国家的警方能解决的，肯定需要全球跨地域间合作。

大家要知道，勒索病毒只是要钱，而新冠病毒是要命。

但你看看这次全球新冠病毒疫情，看看国家与国家之间这些个合作，是否真的有那么“亲密无间”或“统一战线”？

可以预想到，未来人类抗争勒索病毒的形势会非常艰巨，而且拐点还远没有到来。

如果从被感染的电脑数量、被加密的数字资产、被勒索的金额等数据来看，这场发生在互联网上的战争，其实早就打响了，只不过大部分人仍然事不关己。

2.2 为啥网络安全公司没法恢复数据？

然后接下来跟大家来聊一聊，就是为什么现在专业的数据恢复公司或者说网络安全公司，在拿到你的这个被加密数据之后呢，也基本上是无解的，这里得从技术的一个角度呢来分析下。

那首先大家要知道一点，就是目前呢，在互联网上流行的这么一些勒索病毒，它加密数据的背后的技术呢，其实都是基于我们经典的密码学技术。

那么在这套经典密码学技术里面呢，有一个是我们现在用的非常多的，在很多领域都会用到的，就是非对称加密算法。

在我们平常上网的时候，看到浏览器有「https」标记这种相对安全的网站，背后就有这个算法支撑。

除此之外，我们日常使用网银、U盾、电子证书等等，一样也需要用到这个技术。

也就是说，在日常生活中，这个加密算法是广泛应用的，只要涉及到安全加密或交易，基本都逃不掉这个。

关于这套算法呢，它设计了一个密钥对的概念，就是公钥和私钥，大家只要记住一句话：公钥加密私钥解，私钥加密公钥解。

但这些算法，本质就是数字公式，目前是人类公开公有，大家都可以用，你网络安全公司能用，我黑客团伙也能用。所以，现在这套加密技术，也被用在勒索病毒这里。

也就是说，黑客用公钥加密你的数据，那就只能由黑客手里对应的私钥来解开你的数据，全球只有一把私钥，就放在黑客手里。

如果随随便便一家公司或单位，声称能破解这个算法或者恢复这些数据，那不意味着，当前我们人类赖以生存的安全加密体系，也被颠覆了？

所以，这些网络安全企业，并不是大家说的“天天瞎吹牛关键时刻就歇菜”，而是真的无解。

本质上，这根本不是工程技术问题，而是个数学问题。

2.3 为啥杀毒软件没有预警？

这里再顺便普及一点，就是党妹提到说「病毒攻击之前，杀毒软件没有预警」

注：来源B站

这里其实就涉及到杀毒软件的工作原理，这其实跟医生现在研发疫苗和药物的流程是一样的。

大家都知道，医生要研制疫苗，首先得拿到病毒样本或基因序列，然后才能进行试验。

同理，工程师做杀软，首先要拿到勒索病毒的样本，然后进行代码分析，将病毒特征放入杀毒引擎中，等下次看到电脑上有类似代码时，就会弹框报警或直接杀掉。

而站在黑客的角度，如果这次病毒这次被杀毒软件识别并”杀”了，那 TA 也可以升级一个变异样本来绕过杀软的检测。

实际上，这里就涉及到黑客和安全工程师之间的攻防对抗，你一“杀”我就变，你再“杀”我再变。

因此，无论是医生还是工程师，大家能力都是有限的，并不是所有的病毒都有现成的疫苗或杀软。

回到党妹这个事情上，为啥杀毒软件没有报警，原因有二：

第一，这个杀毒软件目前还没法识别这个病毒样本；

第二，这个杀毒软件已能识别，但你没有更新杀毒引擎。

第3部分 如何做好信息安全防范？

好，那上面我们也提到了，如果你不小心中招了，那么现在警方也没法找到这些黑客，让TA 们来帮你解密，网络安全公司也没法帮你恢复这个加密数据。

所以呢，大家要这样来思考，于其中招了求疫苗求解药，还不如一开始自己就做好这个安全防范。

你想想，你要中招了，你的数据或生命资产，决定权已经不在你手里了，等于已经掉入病毒或黑客的坑里，无论这个时候谁来帮你，你也一定处于被动的一方。

因此，咱们还不如最开始就主动提高安全警惕，做好预防措施，这个才是对病毒或黑客最好的反击。

你看，这一次的新冠疫情，我们国家做了一个伟大的事情，在这个新冠疫苗出来之前，靠着科学的指导以及群众的防范意识，基本也打赢了这场保卫战。

同样地，这场发生在互联网上的病毒保卫战，我们每个人应该怎么做呢？

其实，我们目前以及未来要面临的互联网病毒保卫战，完全可以借鉴此次新冠防疫战的经验。

这里精简一些，提供这份《给每个人的信息安全指导清单》，方便大家快速上手，主要分为数据安全、主机安全、上网安全、密码安全 几个部分，基本涵盖了我们给一些政企单位提供专业安全咨询方案的核心内容。

3.1 数据安全

这里首先说下数据安全，因为数据是我们这个时代，最重要的资产。数据安全的核心，其实就是「防丢」「防泄」。

怎么防丢呢？一句话就是：多个硬盘本地备份，部分数据云端备份。

其实呢，对于普通人来讲，你多买几块硬盘，然后把电脑、手机里面这些你认为比较重要这些资料，无论是文档、图片、视频等，通过硬盘多拷贝几份就可以了。现在也有很多云盘服务，你也可以结合使用，整体成本也不高，如果怕数据放云端有安全风险，那就有选择得进行备份。

这样本地和云端结合周期性备份，就是最低成本的一种解决方案了。

你想想，你要真中招了，找专业的数据恢复或网络安全公司，如果真能恢复数据，那这个服务价格，基本也是购买硬盘的十倍甚至百倍。

怎么防泄呢？一句话就是：重要文件做加密，访问权限做隔离。

如果涉及到重要的商业数据，那么该做加密做加密，该做隔离做隔离。

以党妹事件为例，如果 IT小哥根据团队职权情况，提前做好权限隔离，那么这次黑客攻击事件造成的破坏也是极低的。

为什么呢？

举例，如果这台被入侵的电脑，刚好是前台小姐姐的电脑，她的工作是做好行政工作，大几率是不需要访问到这些核心业务数据（节目素材或商业合同等）的。

这种情况下，IT 小哥只要把这个电脑访问权限下调到最低，甚至将其隔离在一个独立的局域网内（安全域划分），此时黑客即便拿下这个电脑，技术再牛 X，比如内网扫描漏洞利用横向提权隧道建立 blablablabla …… 那又如何呢？

很多网友甚至提到，党妹这些被黑客加密的数据，要当代电子计算机不能解，那咋们就上量子计算机，真所谓「遇事不决，量子力学」啊。

其实，换个思路，只要提前把数据安全这一环做好了，你就不用去管，我电脑中毒了怎么办？我某个硬盘坏了怎么办？我被黑客攻击了怎么办？此时，只需把这个系统重装一下，再将数据拷贝回来，不就解决问题了？

3.2 主机安全

接下来就是主机安全了（电脑 / 服务器 / 手机等）。

这里的核心，其实就两个，一个是安装安全软件打补丁修漏洞，一个就是关闭不需要的服务或端口。

虽然上面我们提到说，杀毒软件没法百分百保证我们的安全，但有总比没有好。这就好比打疫苗一样，做好提前防范，总能抵御未知风险。

另外，黑客经常攻击的端口服务，无非就是 21、22、23、80、135、139、443、3389 这些，如果要进一步优化的话，就是采取「最小化原则」，把主机不需要的端口或服务关闭掉，尽可能减少攻击面。

3.3 密码安全

第3个就是密码安全，这一点也是很重要的，每年全球泄露出来的各种各样的这些密码库或社工库，排名第一的到现在仍然是 123456。

密码安全的核心，主要有3点，包括复杂度、更新周期、差异化。

密码要复杂，首先涉及到密码长度，例如长度尽量设置在 10 位以上；另外就是混杂程度，例如尽量是「大小写字母 + 数字 + 特殊字符」的混淆。例如 P@sswOrD123% 一定比 password123 要复杂，黑客要暴力破解前面这个密码，攻击的难度是呈指数上升的，词典大小、破解周期、计算资源都完全不在一个量级上。

密码要差异，就是不同网站或不同平台的密码，尽量要区别开来，千万不要一个密码走天下，这样防止某个平台沦陷之后，被进一步拖库攻击。比如，微博密码要是泄露了，哔哩哔哩账号跟微博一模一样，那就一起沦陷了。

密码要更新，一般建议是 3 到 6 个月做一个变更，这样即便之前的密码泄露了，也可以避免损失。

3.4 上网安全

最后一个就是这个上网安全，其实也是我们的社交安全了，说白了，也是个人隐私的一些防范方法。

这块要拓展开来，可以做一个独立专题了，后续有时间再分享，这里先简单说几点：

第一，陌生链接尽量不要点、陌生邮箱不要管、陌生二维码不要扫、陌生WiFi不要随便连，简单来说，不熟悉的不要碰！

第二，不要发含有个人证件信息的图片（身份证、驾照、飞机票…），要发就必须打好码，要么就干脆不要发。因为黑客可以拿这些做定向词典，提高账号破解成功率。

第三，晒图时尽量不用原图不带地理标记，原理同第二条，你暴露越多，黑客能做的就越多。

总结来讲，只要大家把上面所讲的这些安全防范用起来，基本上，无论黑客多牛X，病毒再凶猛，大部分情况你仍然能保护好自己的数字资产。

最重要的是，因为每个人自己就能做好这个事情，不需要求人求”疫苗”等等，这个才是对病毒或黑客最好的反击。

OK，关于这一期内容就聊到这里，非常感谢大家的耐心看完本期节目 ，我们下期再会！