對(duì)于用戶來說，勒索軟件是網(wǎng)絡(luò)攻擊者使用的最可怕的一種武器。據(jù)估計(jì)，僅在美國(guó)，因勒索軟件造成的損失就達(dá)到了75億美元，而在加拿大，因勒索軟件造成的損失就也達(dá)到了23億美元，毫無疑問，全球都能感受到勒索軟件的存在，而造成的損失更是難以估量。

[[321105]]

但除了直接和間接的經(jīng)濟(jì)損失外，勒索軟件還運(yùn)用了深層的心理犯罪機(jī)制來攫取最大利益，這讓它區(qū)別于其他形式的網(wǎng)絡(luò)攻擊。與其他所有類型的惡意軟件相比，勒索軟件在發(fā)起攻擊時(shí)并不會(huì)隱藏其活動(dòng)，而是向受害者說明他們已經(jīng)被攻擊，并強(qiáng)迫受害者采取行動(dòng)(比如支付贖金)。

勒索軟件在攻擊時(shí)準(zhǔn)確地利用了受害人的恐懼、認(rèn)知、是否交贖金的動(dòng)機(jī)和被鎖定的資料價(jià)值，這些因素都會(huì)隨著時(shí)間的流逝而發(fā)生變化，比如有的受害者據(jù)直接選擇不付贖金，也有受害人會(huì)選擇安全商，進(jìn)行異地備份并創(chuàng)建解密器。在本文中，我們將探討勒索軟件的攻擊者所使用的心理機(jī)制是如何隨著時(shí)間而發(fā)展的，從而攫取最大利益。

使用勒索軟件的攻擊者要發(fā)起心理攻擊需要具備什么條件?

勒索軟件的基本功能包括初始感染、快速加密和受害者通知，在這種情況下，受害者被告知他們失去了訪問數(shù)據(jù)的權(quán)限，為了訪問這些數(shù)據(jù)，受害者必須支付贖金。從心理上講，罪犯如果要達(dá)成目的，需要確保的是：

• 勒索軟件鎖定的是受害者的關(guān)鍵數(shù)據(jù)，且短期內(nèi)不可破解;
• 對(duì)受害者施加影響，讓受害者覺得支付贖金是他們唯一可行的選擇;
• 營(yíng)造緊迫感：為了最大程度地提高利潤(rùn)，支付贖金的速度至關(guān)重要，以免出現(xiàn)破解軟件。

自從1989年第一個(gè)勒索軟件出現(xiàn)以來，索取贖金的方法就在不斷的“試驗(yàn)和錯(cuò)誤”中不斷演變，試圖最大限度地提高利潤(rùn)，減少相關(guān)的風(fēng)險(xiǎn)。

早期勒索軟件索取贖金的方法

第一款勒索軟件出現(xiàn)于1989年，哈佛大學(xué)畢業(yè)的Joseph L.Popp創(chuàng)建，名為“艾滋病信息木馬”(AIDS Trojan)。這款勒索軟件使用對(duì)稱加密，解密工具沒花多少時(shí)間就修復(fù)了文件名，但這一舉動(dòng)激發(fā)了隨后近乎30年的勒索軟件工具。據(jù) Popp 本人回憶，1989 年，他設(shè)計(jì)勒索軟件的初衷是為了抗擊艾滋病。為了募集抗艾資金，他弄巧成拙，給世界衛(wèi)生組織論壇的與會(huì)代表發(fā)送了 20,000 份病毒加密磁盤。當(dāng)代表們運(yùn)行磁盤文件時(shí)，電腦被凍結(jié)，屏幕信息要求匯錢之后才能打開磁盤，取回電腦里的文件。當(dāng)時(shí)，受害者一旦執(zhí)行惡意軟件，該惡意軟件就會(huì)隱藏文件目錄，如果受害者希望解密數(shù)據(jù)，則需要支付189美元。有報(bào)道稱，一些醫(yī)療機(jī)構(gòu)在遭到AIDS Trojan攻擊后，長(zhǎng)達(dá)10年的研究資料瞬間化為烏有。

像現(xiàn)在的許多勒索軟件一樣，Popp當(dāng)時(shí)也使用了多種通知受害者的方式，并嚇唬和恐嚇受害者：

目前勒索軟件索取贖金的方法

勒索軟件在經(jīng)歷了許多年之后才開始流行，并開始采用其他心理機(jī)制。首先被引入的是一種計(jì)時(shí)器，它倒計(jì)時(shí)到不久的將來的某一時(shí)刻(例如，從感染開始的48小時(shí)內(nèi))，之后文件將被刪除，并且完全無法恢復(fù)，不管受害者隨后是否想要支付贖金。

其實(shí)這種倒計(jì)時(shí)心理機(jī)制在營(yíng)銷界已被廣泛運(yùn)用，其目的就是用于營(yíng)造緊迫感。但是，這種營(yíng)造的緊迫感往往也會(huì)給攻擊者自己挖坑，比如許多勒索軟件受害者無法在給定的時(shí)間內(nèi)付款，或者因?yàn)槭芎φ卟恢涝谶@期間該怎么做，或者因和攻擊者溝通而浪費(fèi)了截止日期，以致他們中的許多人錯(cuò)過了截止日期，迫使攻擊者執(zhí)行刪除文件或鎖定文件的操作。如上所述，雖然倒數(shù)計(jì)時(shí)方法有助于達(dá)成攻擊的成功率，但對(duì)攻擊者來說也有不利的一面：就最大限度地攫取利潤(rùn)而言，這并不是很有效，往往無法收取到贖金。現(xiàn)在，新形式的勒索軟件現(xiàn)在常常試圖通過提供更低的贖金價(jià)格來激勵(lì)受害者，只要受害者支付贖金的速度快，則所交的贖金也越少，反之時(shí)間耗的越長(zhǎng)，則交的贖金越多。

使用令人害怕的聲音和圖像來嚇唬受害者

雖然利用倒計(jì)時(shí)和贖金數(shù)量會(huì)促使受害者采取行動(dòng)，但使用令人害怕的聲音和圖像來嚇唬受害者也是攻擊者使用的重要手段。因?yàn)槿诤狭丝植赖囊曈X效果和令人震驚的聲音，會(huì)增加攻擊效果和贖金的收回概率。

[[321106]]

對(duì)比其他勒索軟件，Cerber勒索軟件增加了新的功能。首先，Cerber通過電子郵件附件的形式進(jìn)入受害者計(jì)算機(jī)。一旦被打開，就像其他勒索軟件一樣加密文件并向受害者索要贖金。同時(shí)，它會(huì)進(jìn)一步確認(rèn)計(jì)算機(jī)聯(lián)網(wǎng)狀態(tài)，并將受感染的計(jì)算機(jī)用于其他目的。例如，實(shí)施分布式拒絕服務(wù)攻擊或作為垃圾郵件程序使用。

Cerber因?yàn)槠洫?dú)特的贖金索要通知方式而著稱。多數(shù)勒索軟件通過文字訊息索要贖金，而Cerber卻獨(dú)樹一幟，通過語(yǔ)音通知受害人。Cerber勒索軟件使用VBScript播放音頻消息，并反復(fù)聲明“注意!你的文檔、照片、數(shù)據(jù)庫(kù)和其他重要文件已加密!”。

在上圖所示的Cerber贖金說明的底部，請(qǐng)注意拉丁文的格言，“默默地向我報(bào)價(jià)”，翻譯成更熟悉的“不會(huì)殺死我的東西，會(huì)使我變得更堅(jiān)強(qiáng)”。攻擊者為什么選擇包含這種堅(jiān)毅的格言仍然是一個(gè)謎。

但是就確保和加快付款速度而言，這種恐嚇方法的結(jié)果尚無定論。要深入研究勒索軟件啟動(dòng)畫面中使用的心理機(jī)制，請(qǐng)參閱此文。

同理心策略

當(dāng)威脅和恐嚇技術(shù)不足以促使人們采取行動(dòng)或至少不夠快時(shí)，勒索軟件攻擊者便改變了他們的心理策略。勒索軟件的最新示例采用了多種方法，從最初表現(xiàn)出的更大的侵略性(旨在說服人們?nèi)~支付而不是進(jìn)行談判)到現(xiàn)在充滿同情心的“軟銷售”。

表現(xiàn)出的更大的侵略性的一個(gè)很好的例子是Megacotex的贖金記錄，它警告受害者不要試圖發(fā)送部分付款或協(xié)商折扣，否則他們將再也看不到他們的數(shù)據(jù)。2019年5月，發(fā),一種名為MegaCortex的新勒索軟件被發(fā)現(xiàn)，根據(jù)當(dāng)時(shí)的監(jiān)測(cè)情況，MegaCortex已在美國(guó)、加拿大等多地區(qū)傳播，該病毒攻擊目標(biāo)為大型企業(yè)，其通過域控服務(wù)器下發(fā)勒索病毒。

不過勒索軟件的開發(fā)者也明白，不同的受害者可能需要不同的心理攻擊機(jī)制，因此他們會(huì)選擇同理心已達(dá)到目的。例如，Snake勒索軟件試圖以合理的方式提醒受害者，并以問答的形式和令人放心的語(yǔ)言表示關(guān)注，例如“別擔(dān)心”和“你可以立即啟動(dòng)并運(yùn)行”。2020年，出現(xiàn)了一款新的勒索軟件Snake(也被稱為EKANS，是“snake單詞”從后往前的字母組成)。EKANS的主要目標(biāo)是工業(yè)控制系統(tǒng)(ICS)環(huán)境，針對(duì)的不是單個(gè)設(shè)備，而是整個(gè)網(wǎng)絡(luò)，它能夠終止與工業(yè)控制系統(tǒng)(ICS)操作相關(guān)的許多流程應(yīng)用程序。EKANS是一種用Go編程語(yǔ)言編寫的混淆勒索軟件變體，于2019年12月下旬首次在商業(yè)惡意軟件存儲(chǔ)庫(kù)中觀察到。它旨在終止受影響計(jì)算機(jī)上的特定進(jìn)程，包括與ICS操作相關(guān)的多個(gè)項(xiàng)，以及刪除卷影副本以消除Windows備份。

值得注意的是，攻擊者的贖金手段已經(jīng)從原來的暴力恐嚇轉(zhuǎn)向了更為“人性”的同理心策略，比如“如果你有興趣購(gòu)買……”。

流氓手段

在2013年或2014年前后的某個(gè)時(shí)候，一些更有組織的攻擊者開始在加密之前悄悄竊取受害者的數(shù)據(jù)。Cerber勒索軟件可能就是其中之一，但最近，我們發(fā)現(xiàn)直接使用被竊取的數(shù)據(jù)作為強(qiáng)制支付贖金的手段的趨勢(shì)越來越明顯。這項(xiàng)技術(shù)最初可能被Maze勒索軟件使用，現(xiàn)在也被DoppelPaymer(BitPaymer勒索軟件的一類新變種，自2019年6月以來，DoppelPaymer涉及了一系列惡意勒索活動(dòng)，其中就包括美國(guó)德克薩斯州埃德庫(kù)奇市和智利的農(nóng)業(yè)部的襲擊事件。)、Sodinokibi(自2019年4月被發(fā)現(xiàn)以來，Sodinokibi開始被大量使用，并迅速出現(xiàn)許多變體。)和Nemty(NEMTY勒索病毒是一款新型流行勒索病毒，首次發(fā)現(xiàn)于2019年8月21號(hào))利用。這一新的轉(zhuǎn)變包括建立一個(gè)可公開訪問的網(wǎng)站，暴露不合作的受害者的數(shù)據(jù)。

如果受害者不支付贖金，攻擊者就威脅公布他們的敏感數(shù)據(jù)，這種技術(shù)其實(shí)會(huì)打擊受害者支付贖金的積極性，從而使情況變得更加糟糕。因?yàn)槭芎φ哒J(rèn)為，即使支付了贖金，他們的數(shù)據(jù)也會(huì)被暴露。

人身威脅：不要贖金只要裸照

最后但并非最不重要的一點(diǎn)是，在某些情況下可能是最危險(xiǎn)的，最近的一個(gè)變體將勒索軟件與色情行為結(jié)合在一起，并要求使用裸照而不是比特幣來支付贖金。該惡意軟件顯示一條消息，要求受害者將裸照發(fā)送到特定的電子郵件地址以恢復(fù)其文件。比如2017年出現(xiàn)的“nRansomware”勒索軟件需發(fā)送最少10張裸照給他們，而黑客還會(huì)核查裸照是否屬于受害者本人，只有審核通過后黑客才會(huì)給受害者解鎖密碼。而受害者發(fā)送給黑客的裸照，則會(huì)在Deep Web深網(wǎng)上出售。

總結(jié)

網(wǎng)絡(luò)攻擊，特別是以勒索軟件為代表，已經(jīng)由原來的單純物理攻擊轉(zhuǎn)向了心理攻擊，這種攻擊影響是深遠(yuǎn)的，已經(jīng)等同于犯罪。對(duì)于許多受害者而言，這會(huì)導(dǎo)致憂慮、痛苦、難以置信和無助感。通常，那些經(jīng)歷過此類網(wǎng)絡(luò)攻擊的受害者說，這種影響會(huì)持續(xù)好幾個(gè)月。不幸的是，運(yùn)用心理攻擊展開攻擊將是勒索軟件未來繼續(xù)使用的手段。