0x00

在近些年来，我们可能很少看到破坏类病毒之类的攻击了， 相对来说勒索软件的攻击案例不断增加。主要原因还是利益的驱使，因为相比于搞个病毒对你的电脑搞搞破坏这种没什么收益的操作，勒索软件能让黑客们通过收取赎金来大把的捞钱，这种方式直接、高效，而且相对难以追踪。

勒索病毒软件，一般感染了这类病毒后，你计算机上的所有重要文件全部被加密，无法访问，除非你在指定时间内给攻击者打钱，否则到点直接删除所有文件。

比如2017年的WannaCry全球性勒索软件攻击，影响了全球150多个国家的30多万台计算机，大量的政府或公共机构的计算机的数据被加密，总损失高达数十亿美元。

不幸的是，传言即使受害者给了钱，攻击者也没有将加密的数据恢复。

因此专家建议大家都不要给赎金，最终攻击结束后，总交付的赎金只有51比特币。

不给赎金是对的，不要和犯罪分子谈判。如果攻击者尝到了甜头，以后这类攻击只会越来越频繁。

0x01

所以为什么会造成这么大的损失？只是加密了数据而已，这么多的政府机构和大企业，都没办法破解吗？没办法自己将攻击者加密的数据进行解密吗？

答案是还真不能，对于勒索软件，只能以提前预防为主，因为一旦被感染，神仙难救，基本上就可以和被加密的数据说再见了，哦，不对，是再也不见~

以WannaCry为例，它的攻击主要分为两个部分：扩散和加密。

扩散

在现在这个互联网时代，已经不是10几年前了。一个蠕虫病毒想要完成大规模的自我复制，那必然要依赖某些在大部分计算机上都存在的漏洞，可能是0day漏洞，或者是新鲜出炉的nday漏洞。

而WannaCry也不例外，它能如此迅速地扩散，主要是利用了永恒之蓝（EternalBlue）进行传播，一天内就感染了150多个国家的20多万台计算机。

永恒之蓝是NSA开发的漏洞利用软件，它基于Windows的一个0day漏洞，传言NSA早2年就发现了这个漏洞，但是一直没有披露给微软，直到这个漏洞被某黑客出售，微软才发现了这个漏洞，并在17年3月份发布了安全补丁。而WannaCry在17年5月份开始扩散，这时候还有大量的计算机并没有更新对应的安全补丁。

加密

在计算机感染了WannaCry之后，它就开始对硬盘中的重要数据进行加密处理了，它的加密模块会扫描Windows上的所有可用的磁盘，比如本地磁盘、可移动磁盘（USB、移动硬盘等）、网络驱动器等等，然后开始对所有重要文件进行加密（主要是文档、多媒体文件这些）。

加密算法主要使用RSA-2048 + AES 128，整个逻辑也不复杂，简单描述一下：

1. 1. 攻击者持有一个RSA的私钥，公钥则被硬编码到了勒索软件里面。
2. 2. 每次感染一台电脑，都生成一个AES-128密钥，用来加密对应的文件。
3. 3. 同时，还会生成一对RSA-2048密钥，使用他们来加密这个AES-128迷药。
4. 4. 最后，再使用硬编码到了勒索软件公钥加密这对生成的RSA密钥。

看不懂没关系，我们只需要知道，如果拿不到密钥，在现在已有的计算机算力基础上，想解密这些数据几乎是不可能的。

文件删除

最后，如果在一定的时间内，被害者没有将赎金转到对应的比特币账户上，那么它会自动删除所有的文件，一了百了。

所以基于如此有限的时间，加上极度复杂的加密算法，一旦我们的计算机被感染，那么唯一的选择就是放弃上面的数据了，听天由命，祈祷我们的数据有额外的备份咯。

冷知识，WannaCry仅一天就被安全人员找到弱点关闭它的传播链了。原因是它在运行前，会先请求一个随机的未注册的域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果有响应，则认为自己在沙箱里面，则停止运行。如果没有响应，才进行后续的感染行为。安全人员花费几十刀把这个域名给它注册了，直接断掉了它的传播链。

0x02

对于勒索软件，一旦感染，几乎无药可救。所以，我们只能尽量的预防，及时升级各种系统及应用软件的安全补丁，加强一下安全意识咯，不要随随便便就被人社工了啊，特别是钓鱼邮件？真的是攻击者百试不爽的手段，不要随便乱点乱下载附件啊！！

---

原文始发于微信公众号（混入安全圈的程序猿）：为什么一旦感染勒索软件，神仙也难救?