安全专家深度解析，一觉醒来文件加密被逼万元赎金，怎么破？

你有没有体验过一觉醒来，电脑里的所有重要数据全变成加密文件，必须要交一万多块的赎金才能解密这些文档？

嗯，如果你不看这篇文章，可能就就机会体验了。

一觉醒来损失一万块

就在最近几天，一直在国外猖獗的勒索木马在中国突然大规模爆发。

很多普通人早晨打开电脑，发现所有的文件都被黑客加密，而且明目张胆得索要比特币赎金，折合人民币一万多元。

根据受害者向爆料，本来一路心情愉快地去上班，开机却遭遇突发异常状况：

昨天下班前电脑还好好的，今天突然开机之后电脑突然很卡，我并没有在意。结果等了一会，突然浏览器自动打开，弹出了一个勒索界面，告诉我所有的文件都已经被加密了，只有点击链接用比特币交付赎金之后才能拿到解密的密钥。

【文件被加密之后的情形】

如图所示，文件均被加密成以“.ODIN”扩展名结尾的文件，每个文件夹都内附一个 html 网页，打开之后，同样出现勒索网页：

【弹出的勒索网页，要求受害者支付2.5个比特币】

据受害者称，要想解密文档，被勒索的金额是2.5个比特币，今日1比特币的汇率是604.41美元，折合人民币4060.2451元，也就是说，勒索金额上万人民币。

据宅客频道（公众号 ID：letshome）了解到，多个受害者均在公司就任与财务相关职位，或者是人事岗位，电脑中均保存了大量公司机密及重要信息，这些信息遭受攻击加密后，如果不解密将损失惨重。

某个受害人表示，老板认为是他的原因才导致了这些重要资料被加密，所以让他自己来解决这些问题。

赎金要一万多，如果老板逼我，我就准备辞职了。

他无奈地表示。

宅客频道第一时间联系了 360 和腾讯的安全专家，挖出了这个勒索木马和这个木马家族的诸多信息。

【网络上还流传一些中文版本的勒索信】

勒索人到底是何方神圣？

360反病毒工程师王亮告诉，这个“ODIN”木马是最近非常流行的密锁敲诈木马，它属于著名的“Locky”木马家族的分支变种。

我们已经捕获了这个木马的80几个变种了。这个家族的敲诈木马从15年中期就有了，最近从国庆之前又开始泛滥。

那么这个木马的背后究竟是谁呢？

王亮说：

在我们收集到的木马变种里，收款的比特币账户各不相同，勒索的金额也不同，大概是1-3个比特币左右，换算为人民币的话，平均在7000-8000元左右。

但是由于勒索团伙要求用比特币通过暗网支付，所以很难查到背后的团伙究竟是谁，来自哪个国家。就连这些收款比特币账户之间有怎样的联系，都很难调查。

不过，根据勒索信的内容来看，由于是纯英文，所以王亮基本可以判定这些木马的作者和敲诈团伙来自国外。

我中招之后还有救吗？

王亮告诉一个悲伤的消息：到目前为止，这个家族的加密手段还没有人能够破解。

他详述了这个家族勒索木马的加密方法：

先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；

再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。

这里的“128”和“2048”的数字是什么意思呢？

这代表了密钥长度，128 就意味着密钥长度是128个字节，所以这个密钥的可能性有“2的128次方”之多。这样的加密有多强呢？王亮说：

如果想使用计算机暴力破解，根据现在的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。

当然，从理论上来说，你也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间嘛。。。希望破解成功的时候太阳系还存在。

那么，所有的勒索软件都无解吗？也并不是这样。

王亮告诉：

在2014年勒索软件刚刚兴起的时候，有些勒索木马的加密方法不够规范，被安全人员找到了漏洞，可以绕过前面的防护手段，拿到密钥。还有一些团伙被追踪到了，主动在自己的网站上把私钥公开了，这时安全人员也可以根据私钥制作出解密工具。

对于这类最新的勒索木马，虽然很残酷，但是安全专家承认，一旦中招（加密已经完成）之后，最经济的方法其实就是支付赎金。

上图就是某受害者缴纳一万多元赎金之后，勒索者提供的密钥下载网址，其中用红色的字提醒：从今以后记得备份你的数据。被勒索者提醒要备份数据，就是这样的体验。

在下载密钥之后，就到了让人“欣喜”的恢复数据过程：

【电脑在解密本来就属于机主的数据】

这类勒索木马会选择什么文件进行加密呢？王亮告诉：

一般黑客会对“有价值的文件”进行加密，包括 Word、Excel、PPT、文档、图片、压缩包、数据库、源码等等。

有些勒索木马还会删除系统自带的备份，就是为了防止用户通过系统恢复的方式找回珍贵的文档。

根据受害人的描述，他们被加密的文档正是这些客户资料和合同文档之类的珍贵数据。

【用暗网支付比特币流程复杂，在淘宝上有人专门帮助受害者支付赎金】

下一个中招的会是我吗？

病毒木马不可怕，但可怕的是，我们根本不知道为什么被感染。

对于这几位受害者来说，他们根本没有感觉到自己做了不恰当的操作，就直接被木马加密。这些木马就像幽灵一样突然降临，确实让人后背发凉。

如此说来，看这篇文章的所有人，都有可能 突然成为下一个受害者。

腾讯电脑管家高级工程师徐超告诉，其实这类文件并不是凭空降临，而是有一些特定的传播方式：

1、通过邮件传播。这些木马病毒被隐藏在邮件里，需要受害者打开附件里的文件并执行才能触发。这类文件往往看上去是图片或者表格，但实际是wsf或js格式的脚本。点击之后并没有反应，实际上后台已经开始默默下载勒索木马。

2、漏洞挂马。分为两种情况

a、网页挂马：木马传播者会把脚本挂在网页上，用户一旦访问这个网页，就会中招。这类网站一般都是人们“喜闻乐见”的网站，例如羞羞的网站。

b、软件挂马：用户在非官方渠道下载了带有木马的软件，在开机后，不做任何操作，都有可能中毒。

3、通过U盘传播。这种类型已经不常见了。

【受害者访问的挂马网站：51credit.com】

通过一下午的排查，360反病毒工程师王亮已经确定了一位受害者的感染途径，他访问了一个信用卡交流网站：我爱卡，这个小有名气的网站论坛的某个广告位被黑客挂了木马，而受害者加载页面之后，整个木马的下载过程都是静默的。

显然，勒索者的触角已经非常深入了。

【打开挂马的页面之后，木马自动下载执行/图片由 360 提供】

王亮说，这类木马一开始国外传播，后来才渗透进中国。所以最先中招的使一些有国际业务的中国公司，例如外贸企业。

显然，黑客尝到了甜头，因为有中国人愿意为这些资料支付赎金。所以在此之后就有一些专门针对中国企业和组织进行攻击，后来感染的对象扩大到了教育机构或其他大型组织。

所以，怎样躲开敲诈？

腾讯电脑管家高级工程徐超告诉，这种木马的危害是一次性的。一旦病毒发作，只会对全盘进行一次加密动作，之后再新建文件，都不会被加密。而且这种木马一般是没有传染性的。

然而说了这么多，一旦加密完成，即使是顶级安全专家也回天乏术。所以所有的“逃生机会”都在防患上。

除了不点击可疑网页和邮件、不下载不明软件以外，还有一个非常重要的就是，安装防护软件。

虽然很多童鞋可以细数“鹅厂”和“数字厂”管家卫士的种种不尽如人意的地方。但是关键时刻，他们还是会保护你的安全，顺便给你省3个比特币之类的。

徐超告诉，腾讯电脑管家针对这些勒索木马进行了防御。可以监控邮箱和网页，对软件挂马也有监控感知能力。目前掌握了60多个存在漏洞的软件，并针对性的做了云防御加固。

而王亮告诉，360安全卫士对勒索木马也有针对性的防御策略，不仅对于流行的木马实现查杀，还可以对非法的大规模文件改动进行拦截。另外，王亮还表示，360有先行赔付的业务。通俗地来说，如果你使用了最新的360安全卫士，但依然中招，他们会对受害者进行最高3个比特币的赔付。

所以，你问我怎样才能防止一觉醒来就损失一万块钱这样的悲剧发生？

的建议是：

1、备份你的数据。

2、不要裸奔。

3、把你的防护软件和系统都升到最高级。

附注来自51信用卡的声明：

51信用卡官网是 https://www.u51.com，文中 http://www.51credit.com并非51信用卡官网。

特此更正。