微信号:HackerCoder

介绍:分享最前沿的黑客知识,了解黑客世界,学习黑客技术

我爸的电脑中了勒索病毒

2019-03-04 08:30 sherrywasp

作者:sherrywasp

链接:https://www.cnblogs.com/sherrywasp/p/10421177.html


上个月的一天,接到老爸消息:“家里电脑出了点问题,QQ打不开,还有好多文档也都打不开。”

一开始我没怎么在意,估计是些小问题。

紧接着老爸又补了一句:“这几天每次开机都会出现一个窗口,上面全是英文字母,你有空看看怎么回事吧。”

What??? 每次开机都会弹一个窗口 & 并且很多文件打不开…… 

吗撒卡!! 瞬间菊花一紧。

赶紧回复老爸:“把蓝色双箭头打开。”(说的是 TeamViewer )

当我看到电脑里很多文件后缀都变成了 " .rodgz " 时,五雷轰顶,内心万只草泥马奔腾——

老爸遇上了勒索病毒

病毒名叫 GANDCRAB,2018年年初出现的,老爸中招的是 V5.1 版变种,更新于2018年12月份。该病毒在每一个被感染的目录中都留了一个 RODGZ-DECRYPT.txt 文件。

大意就是你的电脑文件已经被加密了,按照他的要求去暗网支付赎金换取解密。它这比当年 WannaCry 的支付手段更加隐蔽。

一直以来,我都觉得这种事情只会出现在新闻中,从没想过会和自己的生活产生交集。没想到现在就这么来了,没有一点点防备。

迅速用 Everything 检索了一遍:C、D、E 盘全部阵亡,但奇怪的是,F 盘幸存,这个现象我到现在也没想明白。

老爸说“会不会做病毒的人的电脑只分了CDE三个区?” 

呃~ 姑且当作一个解释吧。

我问爸,1月20号那天有没有下载安装过东西?因为我发现所有被加密的文件,最后的修改时间都是1月20日。猜测是在那一天感染我爸电脑的。

老爸说,确实有下载安装一个软件。

稍微有点安慰的是,中招的文件绝大部分都不是重要文件。

除了我妈手机里上传到电脑的照片。

这个很悲惨。

可也没办法了,说什么也晚了,赶紧做了一个全盘查杀,果然有木马。

杀毒之后,开机就再没出现过那个勒索画面了。

第二天,爸说:“加密的文件我也不删了,就留着,说不定哪天就有工具可以解密了。”

我想了想,也好,人嘛,总要保持希望。

我问爸:“对了,我去看看赎金要求。”

爸:“别管了,老子不给。”

显然,我还是去看了。

赎金500美元,用达世币支付

达世币……什么鬼?我靠,这病毒该不是特么达世币的人搞出来的吧?

“爸,赎金是500美金。”

“叫你不管了,老子不给,一分钱都不给。你也不许给!”

“我没说要付钱,我就看看。”

“你跟绑匪说,3000多块钱老子拿去买新电脑都够了,给他个屁!”

“爸,我跟人家说不上话。”

“那更不用管了,这事就这么完了,我都能接受了,你还费什么劲。”

“那好吧。”

事情差不多就是这样。

因为这个事,我花了两天工夫,四处琢磨了一番,略有所获。

 

首先,就说说勒索病毒

严格来说,“勒索病毒”应该叫“勒索软件”(ransomeware),并非是一种病毒(virus),而是一种带有蠕虫(worm)特性的恶意软件(malware)。

我们日常统称的“电脑病毒”,在计算机安全专业领域准确的说法是“恶意软件”,进一步可划分为:病毒,蠕虫,木马。

病毒是可以自我复制、破坏计算机数据的程序,病毒需要有宿主程序才可以传播和破坏。这一点和生物学病毒很相似,在生物学上,单独的病毒不算是生命,只有当感染了宿主细胞之后,病毒才具有活性。同样,计算机病毒也需要有宿主环境才能发挥作用。比如一个携带有宏病毒的 Word 文档,只有当打开该文档时,宏病毒才能干坏事。如果文档一直静静地放着,那宏病毒也就静静地呆着。正是因为这一特性,人们才把计算机上的具有这样特性的恶意软件称作病毒。

蠕虫同样是一种可以自我复制的程序,但它的首要目的并非破坏,而是网络传播。蠕虫甚至可以是对计算机无害的,它的目标主要是通过尽可能广泛地感染网络中的设备,进而对网络传输造成破坏,瘫痪整个网络。相比病毒重点在于客户端,蠕虫则重点在于网络。

木马本身不会具有破坏性,因为木马的目标是为了获取对计算机的控制权。事实上,为了能更好的隐藏你的计算机已经成了肉鸡这一事实,木马原则上都是一副老实可信地模样,对于大多数用户而言,不用杀毒软件扫描,肉眼都看不出来木马。这点最不像病毒了,病毒基本上都是明目张胆地让你知道你被搞了。所以才会有木马专杀这种杀毒应用的存在,特地把杀木马和杀病毒区分开。

随着时代的发展,专业细分越来越多,又衍生出了间谍软件、广告软件、僵尸程序以及勒索软件等各种分类。

勒索软件,完全如同名字所言,就是勒索。前两年席卷全球的臭名昭著的 WannaCry 就是典型,通过加密被感染系统的文件,索要赎金。相当于入室不盗窃,而是对你家里的各种财产上锁,找你要钱,给了钱就把钥匙给你。(且慢,付了赎金到底还撕不撕票这个完全没谱!)除了加密文件之外,另一种勒索方式是直接给系统上锁,不让你登陆系统了,相当于直接给你家大门安了把锁,不让你进屋。

虽然用了这么多年计算机,但这些细节,还真初次明辨。

接下来说说传说中的暗网

暗网(Dark Web)的概念我很早就听说过,但一直以来都没去过,这次被迫按照绑匪指示通过暗网查看赎金要求,于是第一次接触了这个世界。

既来之、则逛逛之。

访问暗网,需要用专门的软件。

技术虽无罪,人心却险恶

和明网不同,暗网中的网址都是以 .onion 这个特殊的顶级域名结尾,站点 URL 基本上都是一串像乱码一样的字符。所以访问暗网网站需要有像 hao123 这样的导航,否则连门都找不到。不过这些资料以及关于访问暗网的相关指南,明网上一搜一大堆。

暗网里的世界确实如同一些明网上媒体资讯描述的那般黑暗,简而言之,基本上刑法里面不允许做的事情,那里面都有

我看了几张图片,然后就离开了暗网。

看了一些之后,我稍微有点纳闷,为什么约炮要到暗网里约?而且,照片都发出来了,也不存在隐私保护的需求,何必还要暗网呢。

我也懒得想了,退出来。

暗网,我不好这口。

顺便说一个关于暗网的讹传,有种说法:全球互联网(明网)数据规模只是冰山一角,暗网的规模则占了90%.

这个说法拿屁股也能否掉,甚至不需要你对暗网有多了解,从逻辑上就不符合统计抽样的规律。

很简单,你问问身边的人,上过互联网吗?人家白你一眼,然后你问他上过暗网吗?OK,轮到你白他一眼了,绝大多数的人甚至都不知道暗网的存在。

我们知道,网络的规模,尤其是站点规模,通常都是和用户量正相关的。既然暗网的用户数比明网少得多,怎么可能那么点人反而产生了90%的数据规模?!

再则,前面我也谈到了,暗网基本上就相当于是网络黑市,如果谣言成立的话,意味着我们身边每十个人中,有九个都在从事不法活动。要真这样,那你别在这看文章了,赶快去犯罪吧,这环境你还当良民,就是异端了。

所以说,这个谣言是确确实实的谣。 

该谣言的产生,大概是因为混淆了一个概念——深网(Deep Web)。

事实上,海平面以下那 90% 的冰山主体,说的不是暗网,而是深网

有个说法(不知真假)—— 只有 4% 的互联网对公众可见,其余的都在深网中。数据可能有些夸张吧,但意思是那个意思,就是说能被常规搜索引擎检索出来的数据量规模,肯定是远小于那些同样存在于网络中,但你不通过特殊途径就无法知道的数据量。比如一些更加真实的金融统计数据、人口统计数据等等。

深网就是指的网络中的这一部分。

换句话说,互联网可以分为明网和深网,而暗网是深网中的一个子集

所以上面那张图正确版本应该是这样的:

再说达世币(DASH)

因为这个事我又一次重新认识了电子货币。

原来这世上不是只有比特币的。

技术角度来说,比特币是开源的,“中本聪”的论文是公开的;经济学上来讲,早在上个世纪,哈耶克(Hayek)就提出过自由货币的理论。

既然理论上有经济学支撑,实践中有现代科技支持,自然就有了百花齐放的电子货币。

达世币就是基于比特币而来的一种更加隐蔽、更便于交易的电子货币,诞生于 2014 年,最开始叫做 XCoin,不久更名为“暗黑币 ( Darkcoin ) ”,本意是想表达自己相对比特币而言匿名性更高,但后来作者觉得这个名字误导了大众,阻碍了自身的发展,所以更名为现在的 DASH。

讽刺的是,勒索软件现在用上它了,暗网里也有它了。

这是必然的。

王尔德(Oscar Wilde)曾说:Give him a mask and he will tell you the truth. 

一旦匿名了,人性就暴露了

最后,说说备份

虽然勒索软件的后果很严重,但预防和应对勒索软件的措施其实并不难。保持良好的卫生习惯自不必说,另一个有效的手段就是——备份。

备份有三境界。(纯属虚构)

Lite

老爸这次中招之后,我给了老爸一个 U 盘,告诉他把电脑里的重要文件连同目录都复制粘贴到 U 盘中,然后把 U 盘找个柜子放好,隔段时间拿出来继续往里面复制点东西,就行了。本来打算搞个移动硬盘的,但考虑到便捷性,还是 U 盘更容易让老人家使用,毕竟现在 U 盘的容量早已不是问题了。

对于我爸来说,这样的备份措施基本上就够了。

对很多人的爸爸妈妈们,应该也够了。

Pro

在备份界(如果有这个界的话),有一个“ 3-2-1 原则 ”——

同一项数据,应该至少有 3 份,并且至少被存储于 2 个不同的介质中,并且至少其中 1 一个介质位于异地

这才叫做备份。

这样一来,意味着通常要有两份副本,这两个副本:一个本地,一个异地。

实际操作中,网盘是个不错的异地实施方案。

BTW,严格来说,单纯地把文件上传到网盘,这称不上专业,专业的做法是要有版本管理的,一般可按日期回溯。但个人觉得这条原则更多的应该是针对企业级用户的企业数据管理,对个人用户而言,尤其是家庭用户的私人数据,就不那么必要了。

网盘,涉及到环境比较恶劣的问题,如今好像就剩百度网盘一家了吧?所以,如果追求可靠性,国外的存储服务会更放心一些,比如著名的 Dropbox,另外还有专门的备份服务 BackBlaze.

网盘的另一个问题就是国内网络严重不对称,虽然下载速度越来越快,但上行带宽长期举步维艰,数据量大了,同步像便秘。

但除了砸钱,也没有很好的解决办法,除非控制备份数据量。

说到这,抛砖引玉的说一嘴,像个人用户的私人数据,很多其实真心没有备份的必要。怎么说呢,就好比你盘里的很多小电影,爱情的、动作的…… 类似这样不怕遗失的数据,就不需要花大代价去做备份。

所谓不怕遗失,意思是指你在网上总能再找到的,即便是付费的资料,你再付一次费也能买到,那就不怕遗失。

更何况,我们每个人电脑里或多或少都会保存很多我们以为很重要以后会再次需要但其实再也没打开过的文件。

就我个人而言,我仔细想了想,真正值得保存,丢失以后会给我带来痛苦的数据,就是我和我家人的照片、视频记录(这是无价的)。我其他的一切数据文件,废了就废了吧。

我硬盘中也保存了我喜欢看的电影,但我认真回忆了一番,真让我反复重看的电影,一只手能数过来,全部都能从网上找到。

所以个人备份的数据量,多半还是可控的。

Pro Plus

末了,说说实力用户的备份。

特别针对那些不能承受数据的丢失,同时更害怕自己电脑里的数据流到网上,尤其恐惧云盘数据泄露事件的用户(什么样的用户和数据会有这种需求?)

不能发到网上去,不相信服务商,那就只能自己动手了。

比方说你买两块移动硬盘,一个放家里,一个放你二套房里。这样一来,即便你家中遇到失窃,失火等等不幸,你数据还是能挽回的,同时两套房都被不幸了的几率可以忽略不计。

所以 Plus 玩家的备份,先要买两套房。

但这防不住地震,海啸。如果想抗住大自然不可抗力,你这两套房最好是北京一套、上海一套。两地同时地震的概率几乎为0.

但这防不住国家战争,一旦打起仗来,京沪异地一样存在风险,所以你最好在纽约曼哈顿再买一套房。当然,伦敦、东京等等也可以,你布局越广,抗世界大战风险的能力就越高。

但这防不住外星人入侵。

…… …… 

可我也不知道怎么防外星人。

所以…… 就这样吧。 

后记

过了几天和老爸通电话,聊完准备挂时,随口问了句:

“爸,妈存在电脑里的那些照片都被毁了,她知道了吗?

“还没敢说。”

“总不能一直不告诉吧,万一她哪天要看呢?”

“哎,她那些照片,说是宝贝,我就没看她回看过。”

“要不,我跟妈说?”

“老子打死你!”

“~#%@$*^……”

“嘟-嘟-嘟-嘟-…”(对方已挂断)


编号812,输入编号直达本文

●输入m获取文章目录

推荐↓↓↓
 

Linux学习

更多推荐25个技术类微信公众号

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。

 
黑客技术与网络安全 更多文章 5大开源的网络监控工具盘点 2019年最佳黑客书籍盘点 Web 应用常见安全漏洞一览 讲一个 UDP 的笑话 史上最污技术解读,我竟然秒懂了!
猜您喜欢 如何使用最好的开源安全工具为DevOps保驾护航 揭秘MIUI视频从0到千万用户的迭代 玩转CJ-参与Unity展位互动,丰富礼品等你拿 如何用正确的姿势打开 TDD? 人机围棋大战首局落定:李世石投子认输!