Shodan是用于查找聯(lián)網(wǎng)設(shè)備的搜索引擎。今年夏天，該引擎也被安全研究人員和執(zhí)法部門用于擊潰勒索軟件僵尸網(wǎng)絡(luò)。

10月初發(fā)布的一份報告指稱：“加密機(jī)(Encryptor)”勒索軟件即服務(wù)(RaaS)僵尸網(wǎng)絡(luò)，可以為潛在罪犯提供勒索軟件，讓他們不用自己編寫代碼就能快速發(fā)起勒索軟件攻擊行動。

該勒索軟件首次出現(xiàn)，是在2015年夏天。當(dāng)時并沒有引發(fā)太大影響——3月，Cylance公司報告稱其只有1818名受害者，且其中只有8位受害者支付了贖金。不過，它有幾個特性本可以讓它大獲成功的。

報告出品公司趨勢科技的首席網(wǎng)絡(luò)安全官艾德·卡布雷拉稱，其最大賣點(diǎn)就是價格。其他RaaS提供商通常索要40%的傭金，但“加密機(jī)”RaaS折扣力度很大，只要5%。另外，它號稱自己“完全不可檢測”，利用合法證書和Tor匿名網(wǎng)絡(luò)，具備相當(dāng)程度的殺軟檢測規(guī)避成功率。

據(jù)頂級反病毒產(chǎn)品惡意軟件查殺率檢測服務(wù)NoDistribute宣稱，發(fā)布1年之后，35種反病毒產(chǎn)品之中也僅有2種能檢測出“加密機(jī)”勒索軟件。然而，低價格可能影響到了客戶服務(wù)質(zhì)量。

“客戶對提供的服務(wù)和產(chǎn)品頗有微詞。你總得賺足夠的錢來維持運(yùn)轉(zhuǎn)。”

但是，真正的死亡一擊，來自Shodan。

安全研究人員發(fā)現(xiàn)，某臺“加密機(jī)”RaaS服務(wù)器不小心忘了隱藏在Tor網(wǎng)絡(luò)背后，暴露在了互聯(lián)網(wǎng)上。然后在Shodan的幫助下，可以識別“加密機(jī)”RaaS托管狀態(tài)，一旦發(fā)現(xiàn)，立即關(guān)停。

6月，執(zhí)法部門介入關(guān)閉了其中一臺，幾天之后，又有3臺服務(wù)器被納入關(guān)停名單。“加密機(jī)”RaaS開發(fā)者很快洗手不干，不是因?yàn)榕卤粓?zhí)法部門檢測到，就是已無力維持其商業(yè)模式。如果開發(fā)的惡意軟件有較高技術(shù)要求，就得有人進(jìn)行開發(fā)并提供服務(wù)，這意味得有現(xiàn)金流。要知道，即便是在犯罪市場上，聲譽(yù)也決定一切。

“如果客戶認(rèn)為你的產(chǎn)品或服務(wù)有缺陷，你將會被點(diǎn)評指責(zé)，關(guān)門大吉是最終結(jié)果。如果他們認(rèn)為你已被執(zhí)法部門盯上，你的生意也只能面臨慘淡死亡。”

但是，勒索軟件服務(wù)器的關(guān)停，對大家而言也并不都是好消息。其運(yùn)營者關(guān)停“加密機(jī)”RaaS時，他們清除掉了主加密密鑰，也就意味著文件被加密的受害者將再無機(jī)會找回失去的文件——即便支付了贖金。

這就是又一個公司企業(yè)不應(yīng)該寄希望于支付贖金就找回數(shù)據(jù)的例子，企業(yè)應(yīng)該花費(fèi)更多的努力在防止感染上。