自2017年一場全球性互聯(lián)網(wǎng)災(zāi)難——WannaCry爆發(fā)，勒索病毒正式進(jìn)入人們的視野，如同打開了潘多拉的盒子。近年來，勒索病毒無論是傳播方式，還是代碼結(jié)構(gòu)，都一直在“進(jìn)化”。

但今天，我們不談技術(shù)，單單從經(jīng)濟(jì)角度，談一談勒索病毒在交易過程中的演變。交易過程即支付贖金的過程，從另外一個(gè)角度探索，勒索病毒為何會如此“繁榮”?

為了更好回答這個(gè)問題，我們不急于直入主題，先來談?wù)剼v史背景。

加密數(shù)字貨幣(以比特幣為例)

比特幣(Bitcoin)的概念最初由中本聰在2008年11月1日提出，并于2009年1月3日正式誕生。比特幣的技術(shù)講起來蠻復(fù)雜，簡化的說，區(qū)別于傳統(tǒng)中心化的法定貨幣交易系統(tǒng)，這是分布式加密數(shù)字貨幣系統(tǒng)，不可人為操縱，所有交易都匿名且真實(shí)有效，不可能被偽造。而且比特幣的數(shù)量是固定的，不會發(fā)生膨脹，財(cái)富不會被稀釋，類比于法定貨幣，有抗通脹作用。歸根結(jié)底，加密數(shù)字貨幣(以比特幣為首)與法定貨幣在根源屬性上是一致的，都是一種信用而已，人們相信它，愿意使用它，它就有了交易屬性，可以作為衡量資產(chǎn)和財(cái)富的一種標(biāo)準(zhǔn)。

作為一種新興的貨幣，剛開始，人們肯定不會那么待見的。在比特幣誕生的第二年，2010年5月21日，美國程序員拉絲勒用1萬枚比特幣換取了兩款披薩餅，折合市場價(jià)30美元，也就是說，比特幣的初始價(jià)值差不多是0.003美元。

起初，比特幣價(jià)格都是緩慢增長的，而2017年是比特幣發(fā)展史中十分重要的一年，全年漲幅高達(dá)1700%，這一年到底發(fā)生了什么事?

勒索病毒(Tor網(wǎng)絡(luò)與加密數(shù)字貨幣的一種應(yīng)用)

2017年，微軟在4月14號發(fā)出安全公告《Microsoft 安全公告 MS17-010 - 嚴(yán)重》，該漏洞幾乎影響所有微軟系統(tǒng)，黑客可直接利用該漏洞執(zhí)行任意命令。同年，5月12日WannaCry勒索病毒在全球爆發(fā)，WannaCry利用MS17-010永恒之藍(lán)漏洞進(jìn)行傳播感染。短時(shí)間內(nèi)感染全球30w+用戶，包括學(xué)校、醫(yī)療、政府等各個(gè)領(lǐng)域。

其實(shí)在WannaCry勒索病毒爆發(fā)之前，勒索病毒就一直有，只是這一次像是“一戰(zhàn)成名”一樣，人盡皆知，因?yàn)槠浯_實(shí)影響到了普通大眾的生活。當(dāng)然，“一戰(zhàn)成名”不僅僅會引起普通民眾的廣泛關(guān)注，同樣也“喚醒”了廣大黑產(chǎn)團(tuán)隊(duì)，包括潛在的可能往這個(gè)方向發(fā)展的技術(shù)愛好者。就是說，勒索病毒這一種新的“商業(yè)模式”，被越來越多從事黑產(chǎn)的人士所喜愛。

勒索病毒之于黑產(chǎn)人士，有哪些優(yōu)點(diǎn)?

• 門檻低
• 投入少
• 周期短
• 變現(xiàn)快
• 收益高

??

門檻低和投入少，主要還是得益于Tor網(wǎng)絡(luò)。就是這樣一個(gè)平臺，可以快速完成人力召集，并且保障了彼此身份的保密性，也可以快速發(fā)布勒索病毒應(yīng)用，如RaaS(勒索軟件即服務(wù))，通過購買這些軟件，對目標(biāo)客戶進(jìn)行滲透和攻擊，完成勒索動作。

周期短和變現(xiàn)快，主要得益于加密數(shù)字貨幣，正是這一貨幣體系，保障了攻擊者的“支付安全”，隨時(shí)可以提現(xiàn)，又不用擔(dān)心暴露身份。當(dāng)然，這也與勒索病毒本身有關(guān)，即勒索病毒會加密數(shù)據(jù)，很多重要業(yè)務(wù)急于恢復(fù)數(shù)據(jù)和業(yè)務(wù)，不得不在短時(shí)間內(nèi)快速完成交易。

而收益高，就是勒索病毒本身的原因，由于數(shù)據(jù)和業(yè)務(wù)被破壞和或中止，對大多數(shù)人或企業(yè)來說，都是災(zāi)難性的。在“災(zāi)難”面前，愿意為之付高價(jià)贖金，自然是情理之中了。

總之，沒有Tor網(wǎng)絡(luò)和加密數(shù)字貨幣，就不會有勒索病毒的發(fā)展壯大；而反過來，勒索病毒的發(fā)展壯大，又極大促進(jìn)了Tor網(wǎng)絡(luò)和加密數(shù)字貨幣體系的健壯性，使支撐者和維護(hù)者越來越多。

??

如何交贖金，為何對勒索病毒的發(fā)展如此重要呢?支付方式有哪些演變呢?接下來，切入主題，談?wù)劷灰椎乃囆g(shù)。

關(guān)于贖金交易方式的梳理

交易可以從兩個(gè)方面進(jìn)行分類，一個(gè)是支付的貨幣角度，一個(gè)是聯(lián)系通信方式角度。貨幣角度，指受害者直接支付給黑客的貨幣，一種是加密數(shù)字貨幣，一種是法定貨幣。但通常來講，以加密數(shù)字貨幣為主流，而加密數(shù)字貨幣的主流則是比特幣。

??

聯(lián)系通信方式角度，即受害者聯(lián)系黑客的方式，用以確認(rèn)贖金金額、贖金地址等問題。經(jīng)過多年迭代和演變，大致分化出了以下類型：

• Jabber即時(shí)通信
• 電子郵件通信
• 網(wǎng)頁
• 微信
• 直接支付

??

下文，一一闡述各個(gè)類型。

1. 微信支付：典型代表UNNAMED1989

2018年12月1日，一款叫UNNAMED1989勒索病毒在公眾視野出現(xiàn)，據(jù)報(bào)道有10萬主機(jī)感染，大量終端被加密。所不同的是，此勒索病毒，首次使用了微信支付贖金的方式，前無古人后無來者，各大媒體冠以“全國首例”使用微信支付贖金的勒索病毒，其實(shí)說全球首例也不為過，真的是勒索病毒發(fā)展史的一朵奇葩。確實(shí)是首例，但現(xiàn)在來看估計(jì)也是最后一例，后果是活生生的：

下圖左邊，是UNNAMED1989勒索病毒運(yùn)行后的勒索界面，一個(gè)碩大的微信支付二維碼看的人好尷尬，贖金是110元人民幣(大大“拉低”了正常勒索病毒的贖金下限)。

下圖右邊，就是UNNAMED1989勒索病毒的作者，22歲的羅某某，沒幾天就被抓了，原因嘛，你懂的。

??

所以，你看，加密數(shù)字貨幣，對勒索病毒而言是幾乎不可替代的存在。使用銀行賬號，微信支付，支付寶等等方式，真的不適合勒索病毒。從攻擊成本來講，特別不劃算，為了區(qū)區(qū)110元，居然鋌而走險(xiǎn)，暴露自己身份。人性本身，就是趨利避害的，所以感覺就是一個(gè)年輕并不專業(yè)的黑產(chǎn)人士玩了一次過家家一樣。

2. 直接支付：典型代表WannaCry/JCry

既然傳統(tǒng)法定貨幣交易方式(網(wǎng)銀/微信/支付寶等)不能用，自然將支付方式調(diào)整為加密數(shù)字貨幣了，這其中，主要還是以比特幣為主。那比特幣又怎么支付呢?對于幣圈人士來說，信手拈來，但對普通民眾來說，還是有點(diǎn)懵逼的。不過，早期階段，懵逼的還有勒索病毒的策劃者，由于無法考慮到普通民眾對黑科技的掌握程度和黑吃黑等復(fù)雜因素，把贖金支付流程都設(shè)置得過于簡單粗暴了：直接支付。

典型代表WannaCry勒索病毒(2017年)，其完成所有文件加密后釋放說明文檔，彈出勒索界面，需支付價(jià)值幾百美元等值的比特幣到指定的比特幣錢包地址，三個(gè)比特幣錢包地址硬編碼于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

??

如上圖所示，比特幣錢包地址直接就放在勒索界面上。給人的感覺就是，賬號放在這里了，你愛打不打。這里有很多邏輯問題，分列如下：

• 因?yàn)楸忍貛佩X包是匿名的，而比特幣的轉(zhuǎn)賬記錄又是公開的，如果直接把比特幣轉(zhuǎn)賬給了黑客，那么怎么證明那錢是你轉(zhuǎn)過去的，真的挺頭疼。對黑客來說也是，這么多人給我打錢，哪一個(gè)受害者是真正交了贖金的呢?
• 如果提前聯(lián)系黑客呢?Check payment和Contact us根本不好用，怎么聯(lián)系，都很難有答復(fù)。
• 此外，還存在“黑吃黑”的現(xiàn)象，“假黑客”通過修改“原版Wannacry”比特幣錢包地址，修改后重新進(jìn)行攻擊。這樣一來，“假黑客”收了錢，而密鑰卻在WannaCry原作者手里，這怎么可能解得了密?這對WannaCry原作者也是打擊，自己布下的局，居然讓其他人來享受“革命果實(shí)”，這怎么能忍。
• 贖金不是以比特幣為計(jì)量單位，而是以美金為計(jì)量單位，再觀察上圖比特幣錢包上方的提示語“Send $300 worth bitconis to this address”，翻譯過來就是，“請將價(jià)值300美元的比特幣打入這個(gè)比特幣地址”。問題是?比特幣價(jià)格是市場化浮動交易，每時(shí)每刻都在變化，有時(shí)候波動還特別大。所以價(jià)值300美元這個(gè)贖金，特別不好操作，等黑客收到的時(shí)候，有可能高于300，也有可能低于300，這非常麻煩。

下圖，是今天比特幣一天的波動價(jià)格，有時(shí)候這個(gè)波動可以夸張到百分之幾百的漲跌幅度。

??

3. 郵箱通信：典型代表Globelmposter/CrySis/Ryuk

作為硬編碼比特幣支付的一種改進(jìn)，郵件通信目前已成為勒索病毒主流的聯(lián)系方式之一，黑客會將自己的郵箱地址嵌入到勒索信息中，或者干脆文件加密后綴也改成了郵箱地址。以著名的Globelmposter勒索病毒“十二主神”變種為例，下圖為黑客留在受害者主機(jī)上的勒索信息文件，文件名為HOW TO BACK YOUR FILES.txt，下圖可以看到，黑客留下了郵箱地址Sin_Eater.666@aol.com，還有受害者的個(gè)人ID，用于唯一標(biāo)識“客戶”。

這里完全沒有黑客的比特幣錢包地址，沒有硬編碼到勒索程序中，避免了上述情景下的尷尬狀況。

??

而且也考慮到了“用戶”體驗(yàn)問題，怎么交贖金，比特幣地址多少，交多少比特幣，被加密的數(shù)據(jù)能恢復(fù)嗎，我是小白，我該怎么操作等等……一系列疑問，黑客會在郵箱里面“全方位耐心解答”?？傊阋诲X，他肯定比你還積極的(巴不得把畢生技術(shù)功力傳授給你，就怕你不懂比特幣交易)。

4. Jabber即時(shí)通信：典型代表Phobos/GandCrab3.0

除了郵箱通信，Jabber也被當(dāng)作一種勒索病毒的聯(lián)系方式，有些勒索家族會將這種通信方式作為備用方式，典型的代表是Phobos勒索病毒和GandCrab3.0勒索變種。

Jabber 是著名的Linux即時(shí)通訊服務(wù)服務(wù)器，它是一個(gè)自由開源軟件，能讓用戶自己架即時(shí)通訊服務(wù)器，可以在Internet上應(yīng)用，也可以在局域網(wǎng)中應(yīng)用。Jabber最有優(yōu)勢的就是其通信協(xié)議，可以和多種即時(shí)通訊對接。

不過，缺點(diǎn)也很明顯，Jabber的主要受眾是技術(shù)宅，普通大眾是沒玩過Linux即時(shí)通訊工具的，所以這個(gè)受用面還是比較窄的。

存在即合理，作為“備胎”通信，由于Jabber開源，且自己可搭，成本和維護(hù)都很經(jīng)濟(jì)，很安全。雖然多數(shù)人不懂怎么用，不過人急了總會想到辦法的。

??

5. 網(wǎng)頁在線聊天：典型代表Sodinokibi/GandCrab4.0以后

作為郵件通信的一種改進(jìn)，網(wǎng)頁在線聊天，被主流勒索寡頭所喜愛。典型代表是GandCrab4.0以后的勒索變種，以及Sodinokibi勒索病毒。

以Sodinokibi勒索病毒為例，該勒索之所以開始爆發(fā)，主要還是得益于其已形成產(chǎn)業(yè)化規(guī)模，即分布式團(tuán)伙作案，每個(gè)人各司其職，按勞分配，多勞多得。首先，Sodinokibi勒索病毒運(yùn)行成功后，會在主機(jī)上留下如下勒索信息，形成“隨機(jī)后綴-readme.txt”的文檔：

??

可以看到，此病毒留了兩個(gè)黑客聯(lián)系網(wǎng)頁，一個(gè)是暗網(wǎng)聊天網(wǎng)頁，一個(gè)是普通聊天網(wǎng)頁，受害企業(yè)可以根據(jù)自身情況任意聯(lián)系(訪問)其中一個(gè)網(wǎng)頁。訪問該網(wǎng)頁后，可以看到，這是一個(gè)可以聊天的網(wǎng)頁，設(shè)計(jì)十分專業(yè)，可以用于黑客與受害企業(yè)就贖金問題進(jìn)行協(xié)商。

??

不過，實(shí)際上，這是一個(gè)產(chǎn)業(yè)化的團(tuán)隊(duì)，黑客并沒有直接與受害企業(yè)溝通，而是雇傭了一批線上客服，7*24小時(shí)在線，負(fù)責(zé)與受害者溝通，并協(xié)商價(jià)格。這個(gè)工作難度相對不大，但需要人力較多，在線時(shí)間較長，所以外包給客服再合適不過了。當(dāng)然，線上客服沒有最終定價(jià)權(quán)，最終贖金價(jià)格由上級老板拍板，即Sodinokibi勒索病毒的組織運(yùn)營者。

Sodinokibi勒索病毒的要價(jià)普遍偏高，多數(shù)是在3到6個(gè)比特幣，所以其主要攻擊對象是企業(yè)，并且是中大型企業(yè)，其攻擊目的是癱瘓企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)，因此很多受害企業(yè)迫于無奈交了不少贖金。正常情況下，受害企業(yè)所交贖金不會低于20萬人民幣。

由于其為產(chǎn)業(yè)化運(yùn)作，故此每個(gè)參與者都有相應(yīng)的分成。我們通過大量數(shù)據(jù)研究發(fā)現(xiàn)，當(dāng)受害企業(yè)向黑客錢包轉(zhuǎn)入比特幣的時(shí)候，此錢包會分批次轉(zhuǎn)入其它成員。

如下圖所示，某次攻擊成功后，將贖金分2批轉(zhuǎn)給了4個(gè)錢包，分別是勒索病毒作者錢包、集成平臺提供商錢包、線上客服錢包、統(tǒng)籌錢包。

??

勒索病毒作者、集成平臺提供商屬于薄利多銷型，每一筆交易都有提成，所以單次提成比例雖低，但總數(shù)是非常客觀的;線上客服按勞分配，說服一個(gè)客戶，就有一小筆提成，當(dāng)然大頭不在他們，因?yàn)樗麄兛商娲员容^強(qiáng)，技術(shù)難度也不大。

每次攻擊所得的贖金，大頭由統(tǒng)籌錢包分配給了攻擊者和組織運(yùn)營者，攻擊者是實(shí)際從事攻擊企業(yè)的個(gè)人或者滲透團(tuán)隊(duì)，所以單次成功后的貢獻(xiàn)比較大，而任何個(gè)人和團(tuán)隊(duì)都能參與到不同客戶的攻擊活動中來，類似銷售團(tuán)隊(duì)，每成一單，提成都比較可觀。最后的大頭，當(dāng)然給了組織運(yùn)營者，其負(fù)責(zé)拉通了各個(gè)環(huán)節(jié)和資源，保障平臺和團(tuán)伙的正常運(yùn)作。

??

我們大致抽象出其交易流程如下：

??

基于上述追蹤，Sodinokibi勒索病毒的產(chǎn)業(yè)化運(yùn)作模式形如：

??

講這么多，其實(shí)就是想告訴大家，勒索病毒已經(jīng)不再是單純的個(gè)人行為，演變至今，必須以集體力量對抗集體力量。

如果攻擊者已經(jīng)產(chǎn)業(yè)化運(yùn)作，防護(hù)者更不應(yīng)該只是單純的安裝某個(gè)軟件，就指望著解決所有問題，這是很困難的，防勒索，還得系統(tǒng)化思考，深層次多角度進(jìn)行產(chǎn)業(yè)化對抗。

??

好了，今天先談到這里，下次我們將深入探討下，中了勒索病毒該怎么辦的問題。