中了敲诈者病毒，文件恢复有可能吗？你长着一张被勒索木马敲诈的脸？| 硬创公开课

很多时候这个损失已经无法用钱来衡量了，我们之前接到一位用户，敲诈者将其计算机中大量照片加密，用户不愿意给攻击者支付赎金，不愿意助长这类行为，但自己多年来拍摄的照片全部损坏，甚是心痛。

王亮：中招之后，可以先使用杀毒软件对木马灭活，防止其继续感染其它文件或系统。对于部分敲诈木马，目前有解密工具，比如 TeslaCrypt 和一些国产家族，我们网站上有相应的工具和介绍，可以关注我们的网站。

对于大多数主流敲诈者木马，目前都采用了比较规范的非对称结合对称的加密手段，这直接导致了在没有拿到黑客手中的私钥的前提下，解密文件几乎不可能。只能支付赎金或者等待黑客放出手中私钥，而支付赎金操作本身也比较复杂，同时也带有一定风险。所以此类木马我们更推荐对重要文档事前做好备份工作，以减少损失。

王亮：目前国内的黑产，已经形成了一些分工明确的产业化形态。有专门负责制作木马的，有负责免杀的，有进行传播的，还有负责赃款转移洗钱的。这些可能是多个成员组成的一个团伙，也可能是互不相识单独行动的几伙人共同完成。

从之前破获的案件中看，很大一部分木马开发者是一些IT人员兼职或者在校学生所为，他们利用手上掌握的技术，帮助黑产，赚外快。很多这样的人觉得，在自己电脑上写写程序，也没传播，也没骗人，自认这样并不违法，在被警察抓获时才后悔惋惜。

木马的传播者，很多是利用渠道商，平台商管理不严，甚至有很多根本没有审核管理（只是条文中写了一条，本平台禁止传播木马病毒）的漏洞，利用一些平台传播。比如最近多次爆发的广告位挂马攻击，就是利用广告联盟审核不严的漏洞（也有一些根本没能力审核，我们之前通报过几家广告商，结果对方查了一圈之后没找到哪里出问题），在广告资源中插入带挂马攻击的内容，当客户端访问这些资源时，如果所使用的软件存在漏洞那么就会造成产品被挂马攻击。而广告展示平台根本没有审核广告联盟的广告，直接插入页面播放。结果经常会出现多家大站被挂马，动辄每天几十万上百万的木马传播量。

木马传播中，还有一些属于“代理木马”，从别人手里购买现有的成品木马，并自行传播获利，这里面经常能看到黑吃黑的现象存在。就比如之前 TeslaCrypt ，内部就有多级密钥。作者将这个木马在黑市出售，除了给购买者的一套公私钥体系之外，作者手里还掌握一套密钥，可以解开他出售木马加密的文件。其内部还有分成，所有购买木马传播收到的赃款也要分成给作者。

王亮：勒索软件的惯用伎俩是破坏信息系统，根本目的是敲诈财物。实际上，无论是加密文件、加密磁盘、还是阻止系统正常运行，都是不法分子的手段，拿到钱才是王道。从目前的情况来看，勒索软件破坏信息系统的手段可能会越来越暴力直接，攻击的设备也不局限于个人电脑，各类移动设备，公司的服务器目前都已经成为了此类木马攻击的目标，未来联网的设备越来越丰富，各类物联网设备也很有可能成为此类木马的下一个目标。但不论形式方法如何变，其目的是不变的，勒索财物获取利益。

王亮：木马攻防是一个对抗的过程，木马的防御手段和攻击手法在对抗过程中是不断更新的，不存在一劳永逸的完美策略。但有一些安全建议，可以大大提高攻击的门槛，减小被木马攻击的损失：

其一，及时更新系统和软件，各类安全补丁需要及时打上，提升漏洞的防护能力。

其二，提升安全意识，不轻易打开陌生人发来的邮件附件，聊天软件传过来的各类文件。

其三，安装安全防护软件并及时更新，不随意退出安全软件、关闭防护功能，对安全软件提升的各类风险行为不要轻易放行。

其四，也是最主要的——重要文档数据要多做备份，存放在不同设备中。一旦文件损坏或丢失，也不至于有太大的损失。

王亮：对于如何获取样本，我们主要有下面几个途径：

一是引擎获取，主要还是依靠我们自身的云体系，通过我们全网的客户端来收集样本。

二是交换样本，这个和其他安全厂商一样，我们互通有无，丰富我们自己的样本库。

三是用户举报，这类样本虽然少，但精确度往往会比较高，也能联系到用户进行进一步的了解。对我们了解木马入侵用户机器的方法有很大的帮助。

还有一些沙箱类的自动分析平台，也会帮我们产出大量样本。对于木马代码的定位，主要有以下几种： QVM 自动学习机制，由机器深度学习自动提取恶意代码，对样本做分类检出；通过 AVE 引擎，增加一些启发特征抓取一些特定样本；依靠我们的主防体系，提取木马行为，不单独针对代码，对抗免杀。

小编原创文章，转载请注明来源出处

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!