举报老板：我们被黑客勒索了0.05个比特币！

勒索软件猖獗的一个重要原因是创作者经常利用比特币支付的“匿名”特性来逃避警方的追踪。

文/巴九龄

这发生在一个月前。

我公司被黑客攻击，黑客留下“勒索信”如下：

总结一下：我们遇到了勒索病毒，文件被锁定，对方要求支付0.05比特币才能解密。

01.事件过程及直接影响

2021年12月13日星期一，“网管”老沈照例10点左右来到公司。 上午，公司员工较少，老沈的工作压力也比较轻。 此类事件还是第一次发生！ 起初，老沈只是以为是某个程序出错了，但当他看到勒索信息时，才意识到自己中了勒索病毒。 此时，距离袭击事件已经过去了12个多小时。

12月11日星期六晚上8点左右，黑客开始入侵我们的服务器，服务器开始报错，频繁登录，未知访问……这些都留下了痕迹。

当时是周末，又是双12购物节，我们这边几乎没有人值班。 7 小时后黑客发邮件索要比特币，即 12 月 12 日凌晨 3 点，服务器遭到入侵。 我们的数据库已加密。 不管是Word还是Txt，都改了后缀，打不开。

很快，这件事开始直接影响到我们的办公效率。 10点35分，一位曹姓同事在公司群里发了一条信息：“OA要多久才能恢复……”我们的报销、付款、审批等事宜都在OA（办公系统）上进行.

这句话虽然没有点名，但谁都知道，是行政部的老沈说的。 不管是网页崩溃，忘记密码，电脑坏了，还是打印机坏了……都在找老沈。

老沈经常关心这个，关心那个，反应不快。 但这一次的反应明显快了很多，简直就是个坏消息。 十分钟后，一条来自行政部的消息在公司群里炸开了：

OA服务器今天无法正常使用。 具体原因老沈还在调查中。 请耐心等待。 如有恢复，我们会及时在群里通知大家。

“今天不是恢复了吗？今天有急件需要盖章。” 一位女同事带着泪流满面的表情问道。 一瞬间，满屏都是“恨铁不成钢”。

02.初始响应失败及原因

当了16年“网管”的老沈对此束手无策。 我们的应对策略都失败了。

① 网络断开，但黑客加密已经完成。

②尽量备份，但财务等核心数据已加密。

③ 找网上报警的案子虽然立案了，但破案时间不确定，实在是负担不起。

④ 借助现有的安全软件工具，查找是否有公开的解密工具，无果。

我们也想实现黑客的愿望。 0.05比特币，按照12月13日比特币5万美元的价格，我们需要花费2500美元（约合人民币1.5万元）。 与OA系统故障可能造成的损失相比，这笔钱并不算多。

但是老沈觉得对方可能会反悔，甚至会在解密邮件的事情上大做文章。

最近还有一则类似的新闻：去年12月下旬，温州某超市的储值卡系统瘫痪，数据库信息被加密。 黑客在 24 小时内留言并支付了 0.042 比特币（当时相当于 1789.2 美元）以提供解密工具。 超市老板照办了，但黑客没有。

这样的话，就意味着这件事很可能无解了。 早在2017年，俄罗斯知名杀毒软件供应商卡巴斯基实验室就表示，该勒索病毒使用的加密算法无解。 （被勒索病毒攻击后），系统需要重装才能使用，但加密文件会丢失。 .

现在呢？ 值得一提的是，在“清网2020”专项行动中，中国比特币勒索软件第一制作人（涉案金额超过500万元）居某被抓获。 引用专案组成员、启东市公安局网安支队民警黄晓婷的话：

一般来说，没有病毒制造者的解密工具，其他人是无法完成解密的。 勒索病毒侵入计算机对文件或系统进行加密，根据被加密计算机的特征重新生成各个解密器。

据360安全大脑2020年相关报告显示，已确认3700余例被勒索病毒攻击，最终帮助260余例完成文件解密工作。 也就是说，只有7%的成功率。

情况变得更加严重。 12月13日下午2时50分，行政部再次发布公告：本周OA服务器不可用。

03.问题出在哪里？ 勒索软件卷土重来！

回顾勒索病毒的发展历程，2017年，“想哭”勒索病毒横扫全球150个国家30万台电脑。 一般需要支付价值300-600美元的比特币才能解密。

从那时起，勒索软件不断演变为各种版本和类型。 例如：加密文档、锁屏、锁定硬盘、加密数据库等。

国内企业遭遇的高峰期是在2019年。据亚信安全《2019年威胁态势分析》显示，2019年中国勒索软件感染数量位居全球第一，占比达20%。

老沈记得当时所有的（保护）措施都做了，所以没有中招。 但在 2021 年 12 月黑客发邮件索要比特币，当勒索病毒的影响似乎正在减弱时，我们被招募了。

据他猜测，这次出现问题的原因可能是安全服务软件过期了。 12月上旬，我们的安全服务软件服务到期，我们计划1月份进行服务器迁移，再续约。 然而没过半个月，由于防火墙签名库过期，给了黑客可乘之机。

这是什么意思？ 比如黑客就是来我们公司偷东西的小偷。 以前我们大门的管理比较谨慎，经常换锁，小偷会到我们公司门口找机会下手，但是锁经常两天就换了，很难快速匹配到合适的键。 渐渐地，小偷失去了兴趣。 但是直接盗锁已经十几二十天没有换过，所以小偷有足够的时间来分发钥匙。

那么，勒索软件是如何以我们为目标的呢？ 老沈怀疑是有人利用公司网络挖矿，还是有人不小心给公司带来了外部病毒，又或者是黑客“撒网”的结果……总之，各种可能性都存在，而且是很难确定。

——一般而言，远程桌面、网页木马、激活/破解、僵尸网络、弱数据库密码、漏洞、钓鱼邮件等都是常见的勒索攻击方式。

不得不提的是，多个信号提醒我们，勒索病毒卷土重来。 在过去的一年里，巨头公司和国家重要机构发生了多起勒索事件，非常轰动。

例如，2021年5月，美国最大的成品油管道运营商Colonial Pipeline遭到勒索病毒攻击，其向美国东海岸主要城市输送油气的管道系统下线. 这件事甚至引起了美国总统的注意。

此外，2021年，华盛顿特区大都会警察局、石油巨头皇家壳牌、全球IT咨询巨头埃森哲、台湾存储元件制造商ADATA、厄瓜多尔国有电信运营商CNT等也将遭遇勒索软件攻击，大量文件将被泄露和窃取。 偷。

根据360安全大脑《2021年勒索病毒疫情分析报告》显示，2021年将有超过4000名用户遭受勒索病毒攻击，高于2020年的3700名用户，且10-12月为高峰期。

其中，值得注意的是，根据美国国土安全部部长去年5月的讲话，勒索软件攻击的目标中有50-70%是中小企业，这将造成50%的损失。 2020年3.5亿美元。思科去年10月发布的一项调查显示，中国42%的中小企业在过去一年遭遇过网络攻击，41%的企业相关损失超过超过 500,000 美元。

经验教训04.5万元

12月15日，我们被迫在杭州找了一家安全服务商，对方全权解决此事，费用为5万元。

这5万元可以支付三个以上的勒索软件攻击，相当于一套安全软件的成本，一个能用三五年的防火墙签名库也是这个价钱。

3天后，问题基本解决。 12月20日上午10点，OA恢复使用。

至于这家公司是怎么解决的，老沈就不知道了。 “也许我付了赎金，也许我没有，也许我弄清楚了勒索软件的版本并找到了解密工具，”老沈说。

关键在于未来的保障。 除了保证安全服务软件全天候运行外，老沈强调，自己也会“加强备份”。 例如，过去财务数据由财务部门统一管理，只做本地备份。 现在由老沈亲自管理，做了好几个备份。

值得一提的是，据彭博社报道，上述Colonial Pipeline虽然支付了赎金，但黑客解密速度太慢，最终还是依靠备份数据恢复了系统。

此外，8月，埃森哲遭遇勒索软件病毒后，黑客声称“从埃森哲窃取了6TB的数据，并索要5000万美元的赎金”，但埃森哲回应称：“事件发生后，受影响的服务器立即得到控制和隔离。 ，并从备份中完全恢复受影响的系统。” 也就是说，备份数据可以在很大程度上避免丢失。

综上所述，勒索软件泛滥的一个重要原因是创作者经常利用比特币支付的“匿名”特性来逃避警方的追踪。

但一个好的开始是：中国有许多数据解密和恢复公司正在与病毒制造商合作。 他们扮演着渠道商的角色，比如为病毒制造者分发病毒，利用国内企业不便购买比特币代替交易等。

参与的人越多，犯错的机会就越多。 在上述“净网2020”专项行动中，警方破案的关键在于利用与病毒制作者有直接合作关系的数据恢复公司的线索，抓获背后的病毒制作者它。

过去一个月，比特币经历了闪崩，一度跌至33000美元，创下近半年以来的最低价。 这对于“勒索软件产业链”的受益者来说，也是一个打击。

最后强调，我们不建议支付赎金。 如果不得已，可以尝试“讨价还价”。

至少有一个例子可以说明这种可能性：据媒体报道，2017 年 5 月 14 日，台湾网友陈子聪遭到勒索病毒攻击。 为此，他发邮件给黑客“求情”：“我的月收入是400美元，给我？” 结果对方回应：“我们明显高估了你的收入，所以你不用交任何费用，稍后系统会解锁你的电脑。”

作者| 林波 | 值班编辑 | 李梦清