媒体调查勒索病毒：已成完整地下产业，专挑医院、大学下手

新工具

加密技术的新工具、比特币的出现……网络盗窃变得容易。

新手法

这些勒索的人甚至还有客服热线，让受害者可以打电话进去，“协助”他们付款。

新态势

据估计，2012年，只有3%的受害者会交钱。但现在，交赎金的比例已经上升到了50%。

日前，一种名为“想哭（WannaCry）”的勒索病毒袭击全球，从美国快递巨头FedEx、英国医疗系统，到中国的大学，甚至俄罗斯的内务部都遭到攻击。

截至目前，全球网络安全专家还在通力协作，试图找出背后黑手。

而据外媒报道，勒索软件已经成为一个完整的地下产业，任何人都能轻易利用软件敲诈别人。

红星新闻梳理了这些勒索软件的“黑”历史、“市场”情况、赎金额度，还有最喜欢的攻击目标。

技术门槛降低

甚至不需要专业技术 勒索软件已有20多种

过去的假杀毒骗局，或用特洛伊木马病毒盗取信用卡，至少还需要黑客们利用技术手段甚至创意来盗取钱财。“现在，甚至根本不需要有任何专业技术。”帮助了几十个网络勒索受害者的Crypsis集团高级总监杰森•瑞布赫斯说。

随着加密技术的新工具、像比特币一样难以被追踪的货币出现，甚至还有网站提供勒索软件……网络盗窃变得非常容易。现在，任何人都可能简单点下鼠标，生成一个勒索软件。

一旦受害者付款，勒索软件提供者就从中抽取一定比例的提成。这些勒索的人甚至还有客服热线，让受害者可以打电话进去，“协助”他们付款。除了电话，受害者还能选择在线聊天跟勒索者沟通。

四年前，只有大概16种勒索软件，主要在东欧地区活动。那时候，锁住受害者电脑，通常只要求100美元~400美元赎金。随着电脑数据文件成为人们的“生命线”，网络罪犯也开始升级他们的敲诈游戏。现在，市场上已经有二十多种勒索软件，形成了一个完整的地下产业，而想抓住他们甚至给这些幕后黑手定罪则非常困难。

过去，技术人员和网络安全专家一般都能找到解锁方法，给勒索黑客交赎金的人并不多。根据网络安全专家估计，2012年，只有3%的受害者会交钱。但现在，交赎金的比例已经上升到了50%。而不交的那一半人，通常是因为自己有足够备份，或者心理抵触拒绝，还有人是付不起赎金，宁愿放弃电脑文件。

赎金更好隐藏

比特币很难追踪

让罪犯更易藏匿

根据Crypsis集团的数据，赎金现在水涨船高，从低至1个比特币（约1700美元）到高至30个比特币（约5.1万美元），平均赎金为4个比特币（约7000美元）。比起信用卡或者电汇，比特币很难追踪，因此给网络罪犯提供了一种更容易藏匿身份的收钱方式。所以，勒索软件都以比特币来计量赎金。

杰森•瑞布赫斯说，那些业余的勒索者很可能在收钱之后也不解锁，但职业勒索黑客怕坏了“名声”，影响“生意”，通常都会收钱之后解锁。

犯罪目标明确

勒索组织寻找“软柿子”

发现医疗系统尤其怕捏

这些勒索组织已经找到了各种“软柿子”。像大学这种需要共享大量信息而有开放网络系统的组织就比较容易受到攻击。最近，他们还发现医疗系统是一个尤其怕捏的“软柿子”。

医生和急诊室的电脑系统一旦被黑，紧急程度超过其他各种组织。上周五，英国医疗系统被攻击的时候，医生没法查阅病例，不得不让病人回家。伦敦的帝国理工医疗在过去12个月里就被勒索软件攻击了19次之多。

像这样的勒索，暂时没人能免疫。

今年1月，黑客攻击了美国印第安纳州一个小型癌症慈善组织，攻陷了其主服务器和备份服务器，要求高达50个比特币的赎金（约8.7万美元）。

根据FBI的数据，2015年到2016年间，美国遭到勒索软件攻击的数量翻了4倍，赎金高达10亿美元。2016年，加州、印第安纳、肯塔基、马里兰以及得德克萨斯州的医院都曾被勒索软件攻击。2月，洛杉矶医院就支付了1.7万美元赎金，才得以解锁电脑。

手段变得多样

约有一半勒索袭击

通过点开邮件实现

除此之外，大多数小到中型企业通常都会交纳赎金。这些企业没有做足备份工作，别无选择。“大多数情况下，那些数据是他们生意的命脉。”杰森•瑞布赫斯说：“他们要么交钱，要么就经营不下去。”

差不多有一半的勒索袭击都是通过点开邮件实现的，有时候也有更为复杂的方式。像“注水洞袭击”，就是用勒索码先感染一个网站。当用户上这个网站的时候，勒索软件就被下载到用户的电脑。

杰森•瑞布赫斯说，还有一半袭击是用更直接粗暴的方法瞄准受害者。他们扫描一个组织机构的所有软件，找到容易攻击的漏洞、容易破译的密码或其他没有加锁的数据入口，之后就加密受害者的各种文件。

现在，勒索黑客们甚至还玩弄起了人们的善心，给他们的犯罪行为戴上美丽面具。杰森•瑞布赫斯最近就追踪到一起攻击，勒索者假装是做慈善，要求受害者“献爱心”（支付赎金），称是在给全世界的患病儿童谋福利。 

同步播报

比特币勒索病毒肆虐全球，国内多所高校中招，有毕业生称毕业论文被锁定无法取回。病毒几乎无法破解，不过身处成都环球中心的数据恢复四川省重点实验室奋战两天后，于14日晚间10点发布了一款免费小工具，“专门针对office文档，可以恢复因中病毒而损失的文件。”

昨日，一条“重磅！四川网络公司攻克勒索病毒，独家发布免费恢复工具”的文章热传，对此公司方面称“发布的工具可以恢复数据，不是破解病毒”。

四川公司发布免费工具恢复文档

现场实测：未加密数据 恢复内容超8成

用来恢复数据 不是破解病毒

“对，可以恢复数据。”“要看文件大小，1.5M以上的可以尝试使用。”15日下午，环球中心的7楼，赵飞手机响个不停，接电话的间隙，他还要敲打键盘回答好友、同事的咨询。

赵飞是数据恢复四川省重点实验室研究员，实验室依托四川效率源信息安全技术股份有限公司与内江师范学院共同组建。15日当天，他们前一日发布的一款免费小工具在网络上引起围观，据称对于感染了“比特币勒索病毒”的电脑，这款工具可以针对性恢复电脑中office文档的部分数据。

“我们发布的工具可以用来恢复数据，不是破解病毒。”对于有网传“攻克病毒”的传言，赵飞向记者解释，病毒大规模感染的事件出现后，他们注意到国内不少高校的毕业生反映论文被病毒破坏而无法取回，便首先发布了这款针对office文档的数据恢复工具。

截至15日晚上7:45，他们发布的小工具下载量已经达到3448，并获得一些反馈，“主要是工具系在win10系统的环境下开发，在xp、win7等环境下可能存在一些不兼容的现象。”赵飞告诉成都商报记者。

5.5M的Word文档 找回4.5M

赵飞从办公室找来一台电脑，“我们在这台电脑中创设一台虚拟机，然后让病毒感染虚拟机。”

然后，他通过快捷键进入桌面，将实验Word文档（5.5M）复制到U盘，接着拷贝到另一台安全电脑。赵飞打开他们发布的小工具，将实验文档选作恢复目标，选择保存路径后再点击“数据分析”。很快，我们在指定的文件夹中找到了多张图片，共计4.5M。“这些是刚刚Word文档中的图片。”赵飞表示，这个文档中的文字可能被加密无法恢复。

赵飞告诉记者，上周五晚间病毒大规模感染出现后，他们集合了七八个人的团队，寻找恢复数据的可能性。此前，他们公司曾接触过类似病毒，“省内一城市燃气公司燃气系统服务器被勒索软件病毒感染，所有关键数据和信息都被锁定，我们帮助对方恢复了93%的数据。”

赵飞告诉记者，他们发布的工具就是尝试恢复文件中未被加密的内容。“一般恢复到70%以上。”

“不是病毒作者的话，想要破解病毒几乎不可能。”赵飞表示，即使用超算中心的大型机来运算，也可能要花上几十年。“所以近期如果有人宣称破解了病毒，可以帮你完全恢复文件，那一定是骗人的。”

昨日傍晚时分，记者了解到，工具的1.1版本也已经发布，赵飞表示，用户可以关注“效率源科技”微信公众号下载小工具。

（原题为《捏“软柿子” 勒索组织爱挑医院大学》）