“大事不好，中勒索病毒了！”

NGA玩家社区（国内专业的游戏玩家社区）昨天一大早就列出了这样的帖子。随附图片上全英文“YOUR FILES ARE ENCRYPTED!”的警告醒目刺眼。“无解，只有防范措施没有破解办法。给钱也不一定给解。”帖子发出没三分钟，网友就跟了这个“热乎乎”的评论。

“年前我几个朋友的服务器中毒了，勒索10个比特币……后来数据不要了，太贵了。”

最近的一波攻击就在这几天。GrandCrab、GlobeImposter被认定为勒索病毒或其变种，出现在企事业单位的内部群“紧急通知”或警告中。实际上，GandCrab是国内目前最活跃的勒索病毒之一，仅过去一年即经过5次大版本更新，一直和安全厂商、执法部门斗智斗勇。

漏洞银行联合创始人和技术负责人张雪松观察此次病毒，认为它们的技术含量不高，传播方式较为传统，因加密方式升级变种而引起较大后果。年前的WannaCry（勒索病毒，加密文件，比特币赎回）早已激起大部分人士的神经紧绷，“这次较大的反应，是此前病毒风波的余波”。

现实问题是，如果不小心“中毒”，我们该怎么办？身处技术大爆发的时代，技术红利与“技术黑洞”其实是并行的，我们有哪些应对措施？

病毒想要比特币

“你必须在3月11日下午3点向警察局报到！”

这句话像一个天外来音一样，回荡在被入侵的各种系统中。而几乎所有人都知道，其实这只是某个黑客（组织）在发笑。它在勒索比特币，这堪称最为先进的人类对人类的敲诈勒索新形式。NGA贴吧的“中毒”帖子的主角，是装了用友财务软件的电脑，“ALL YOUR IMPORTANT DATA HAS BEEN EN ENCRYPTED!”财务数据被加密了。

问题可能出在密码太弱了。这意味着，如果可以用毫无规律、杂乱无章的“W3RB!#5V%$”类型的密码，则坚决不要用“1234567ABC”类型的密码。GrandCrab擅长使用弱口令爆破、挂马、垃圾邮件传播。一旦密码被爆破，病毒将像癌细胞一样蔓延。

GandCrab勒索病毒运行后，将对用户主机硬盘数据全盘加密，并让受害用户访问特定网址，下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。受害用户拿不到私钥的话，无法解密。无法解密，又想拿回数据文件，就需要付出金钱。

NGA玩家社区曝“中毒贴”

“少则一万，多则三五万（人民币），这是行情。”张雪松说。勒索病毒往往会有一个界面，说明详细的比特币支付流程。“虚拟货币无法追查交易记录，可以兑换成法币，隐匿性成了勒索病毒和黑客们天然的屏障。”帖子下面一位中了ETH后缀病毒的网友回应，“解毒需要6万，直接格式化了，MMP”。

通过邮件传播（点开邮件、解压运行）、蠕虫传播（远程连接、密码拆解）两种方式扩散的病毒，在张雪松看来，在现在的网络和安全管理下，危害性不是特别大。“不像去年爆发的WannaCry,利用操作系统漏洞，不需要密码就可以感染其他电脑，横向传播、自动传播。”

但此次勒索病毒还是引发了一定的反响，特别是核心爆发的重灾区，安全意识比较薄弱、安全管理比较缺位的机构或个人操作者。加密算法、密码强度升级了，用了特殊加密方式（RSA+Salsa20、SA4096位）。“没有密钥不能拆解；即便是安全公司，破译也有相当困难。”张雪松说。

黑客大多无信誉

勒索病毒和黑客大多不讲究“盗亦有道”。

“业内说法，只要中了勒索病毒，基本上就完了。解密过程、分析成本比较高。” 张雪松接触的企业客户中，约20%愿意支付勒索的钱财。但这是不对等的交易，去年处理WannaCry的几个案子时，客户太着急，核心的数据、内部管理数据太重要。确实会支付钱财，但并不是所有支付都换来密钥。

“病毒使本机加密后，信息发回到黑客服务器，建立账本，待受害用户汇款后密钥发回中毒电脑。”但张雪松强调，这只是“有信誉的黑客”的正常操作流程。“实际上70-80%的病毒并没有做到这一步。”这相当于黑客没有信誉，讹了你一笔钱，直接撕票。或者就为了赚钱，从未打算还原。

如果勒索病毒源于国外，国外服务器和国内网络本来就有连通问题，国家本身有防火墙，可能有信号阻碍、丢弃。“不健康的数据包会直接被防火墙屏蔽掉，受害用户没办法如实地收到密钥。”钱财自然只能打水漂。

2017年5月，勒索病毒“想哭”袭击了全球150多个国家和地区，政府部门、医疗服务、公共交通、邮政、通信和汽车制造业均受影响。2018年12月，以微信为支付手段的勒索病毒在全国爆发，几日内至少感染了10万台电脑。或显或隐，类似事件还在不断发生。

这类事件为何频繁发生？“事件的原罪在于黑产的发展。”张雪松认为，黑色产业链的发展是勒索病毒（黑客）的动力。根据每年黑产的分析报告，基本是几百、几千亿的规模。这是动力之源。“这样的环境下，有此等发家致富的机会，黑客永远专注、不遗余力地、没日没夜的去钻研攻击技术，钻研破坏技术，包括病毒。”他补充道。

腾讯安全联合实验室发布的一项《2018上半年互联网黑产研究报告》显示，持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产，给用户和软件开发者带来了巨大的经济损失。区块链迅速发展， 2017年下半年至报告发布前，互联网病毒木马的主流皆围绕区块链、比特币、以太坊、门罗币。在中国裁判文书网上，输入“黑客”，可以找到1778个搜索结果；输入黑产，能够得到8条记录。这是技术的背面，为了进步与创新而付出的必要代价。

黑客和白帽，一直在对攻。“道高一尺魔高一丈”的魔咒也一直存在。利益驱动下庞大且完善的产业链自成生态，网络实名难以全覆盖，对于黑产的打击、管控也很难去追踪。这就造成了“魔”比“道”长得快的倾向。

张雪松认为，银行等金融系统的防范还是跑赢黑客的，“只是推广开来，成本比较高”。

“黑客一定会黑掉你、病毒随时可能入侵”

比急救知识的传播范围有限更甚，遭遇勒索病毒的应急措施处于更加尴尬的盲区。

传统网络安全停留在“建墙”的思想上。这一堵墙非常宏大，可以挡住洪水猛兽。现实往往是传统的安全思想不能解决安全问题。“我装了杀毒软件了，但可能我还是会被病毒勒索。用户会依赖于安全产品，就导致自己很没有安全能力。”

张雪松本人更强调开放安全，一种开放的心态，接受风险，不要去考虑一点风险都没有。“不要想怎样去建一堵不受风险的墙。不可能的。我们需要建立的是反脆弱的能力或者免疫能力。我可以遭受打击，但我一定是健壮的，不能被打击死。”

企业遭遇勒索，一般是向网络安全部门报案，网络安全警察会开展一些排查、事件分析。“企业为公众提供第三方支付等服务，涉及到更多的公众利益，则更容易引起政府和公众的重视。事无巨细地调查、追踪，也是为下一次病毒攻击做准备。”

个体就相对无力。遭遇勒索病毒，有些人甚至会委托安全公司去购买比特币，对于没有接触过数字货币、对勒索病毒知之甚少的个人，应对这种勒索，确实存在某种鸿沟。Facebook数据泄露等事件做出一种提醒，学会反抗；《网络安全法》的实施是一种保障，大厂商要承担起更多的责任。向支付宝盗刷追回、向微信支付投诉，成为当下可行的手段。

不可忽略的事实是，部分损失是无法追偿的。“有意识地为我们的数字资产管理做一些投入，比如保险投入，信息安全保险正在逐步成熟。”此外，自身数字资产管理投入也有必要。张雪松认为，这是这个时代需要我们大家做的。

长期关注安全领域，张雪松有着一套自己的“安全守则”。对于身份信息和不可信来源有着洁癖式的隔离操作。他的手机有小号，用来接外卖、快递电话，注册网站。随时申请、随时删除。“除了微信、支付宝等需要实名认证的重大应用，其他全部采用虚拟身份，能做隔离就做隔离。”

此外，他对于不明来源的事物非常敏感。微信好友、陌生邮件，从来不会打开。不明人发送的信息不会看。信息会做“二次确认”。即便如此，信息的泄露还是防不胜防。工作之余，他监控黑产上泄露的信息，“或多或少还是会有我自己的一些信息”。

基于以上种种，黑客一定会黑掉你、病毒随时可能入侵的心态弥足珍贵。掌握安全本质，多做备份，提升自身的恢复能力、风险管控能力。在张雪松看来，这些越来越成为未来公民、机构必备的基础素质。