普通人的勒索病毒緊急自救偏方

大家好，我是謝么。前幾天逛知乎，看見一個說法：普通人的電腦幾乎不會被黑，因為沒有入侵價值。

對於這個說法，么哥表示部分讚同。

跟企業的伺服器相比，個人電腦的攻擊價值確實不值一提，但，蚊子雖小也是肉啊！

早些時候，網絡攻擊者拿下一台普通人的電腦，確實搞不來幾個錢，常見的做法是在裡頭安裝各種第三方的軟體全家桶，或是劫持瀏覽器點擊小廣告掙點廣告費，要麽是拿來當飼料雞。

比特幣帶火了數字貨幣以後，黑客也開始“借用”受害者的電腦算力來挖幣，這種在網咖比較常見，因為網咖電腦常年開著機，顯卡又好，網管說話又好聽，個個都是人才。

但總體來說，單台飼料雞收益不高，得靠數量取勝。

然鵝，勒索病毒的出現讓蚊子肉有了新的烹飪方法，普通人的攻擊價值陡然提升。

黑客從此不需要提前知道受害者的身份，或是電腦裡有沒有高價值的東西，直接黑進去，文件全鎖上，然後坐等收贖金就完事兒了。

受害者也許是個HR，大量公司簡歷被加密；也許是個設計師，剛改完的最後一版沒了；也是個律師，幾份緊急的案子文件被鎖；也許是個學生，畢業論文剛寫完；或者，也許就只是個普通宅男，硬碟裡幾個T的小姐姐揮一揮衣袖，不帶走一篇雲彩 … … 幸福千篇一律，一千個人卻有一千種悲劇。

可以說，勒索病毒以一己之力拉高了普通老百姓電腦被黑的概率。

這不，前陣子我剛寫了一篇講勒索病毒團夥的文章，沒過多久就有人表示身邊有朋友中了勒索。（看來我的烏鴉嘴非常奏效，正在看文的你要小心了）。

在這位淺友默哀的同時，我也想到了自己，以及千千萬萬個吃瓜淺友們。作為普通人，我們在遇到勒索病毒之後，第一時間做什麽才能控制損失甚至自救？

我翻了翻資料，請教了幾個身邊有經驗的老司機，再結合自身生活經驗，總結出這套勒索病毒自救偏方，在此分享給大家。

Let's Rock !

《普通人的網絡勒索自救偏方》

文|謝么

首先，現在讓我們一起代入場景。

某天，你正開開心心地玩電腦，螢幕上忽然彈出一個奇怪的窗口，上面顯示一堆看不太懂的英文，以及一個詭異的小鎖或者倒計時。

恭喜你，中招了。

一般情況，桌面還會彈出一個txt 文本。

來自遠方的勒索者送來一封親切的問候信，給了你狠狠一巴掌。

請問，此時你該如何應對？

A.蒙上自己雙眼假裝看不見，或者捂住耳朵大喊我不聽我不聽

B.吃包辣條冷靜一下，仔細閱讀勒索信並靜靜欣賞信裡的文采

C.斷網

讀書時的經驗告訴我們，兩長一短選最短，所以答案是C。

有網線就直接拔網線，沒網線則斷開WiFi，保持冷靜，如果此時你周圍還有同事或者朋友正在上網，悄咪咪看一下他們的電腦是否也出了問題。

許多勒索病毒具有橫向傳播功能，就像是感冒病毒一樣傳染給局域網裡的其他電腦，早斷網一秒，親人少流一行淚，如果整個辦公室都因為你而中招，那麽勒索你的就不再只有黑客，還有你的同事和老闆。

保留犯罪現場

如果還想找回被加密的文件，盡量讓現場保持原樣。

不要指望重裝系統就能好，有些勒索病毒的解密需要根據你電腦的一些軟硬體信息（比如注冊表信息）來生成密鑰，一旦這些信息被破壞，很可能永遠都無法解密，交了錢也沒轍。

最好也不要重啟電腦或關機。這是網絡勒索，網管的那套“萬能重啟大法”在此並不好使，還可能弄巧成拙，因為電腦記憶體裡很可能留有用來解密的線索，專業人士可以拿來破案，一旦關機斷電就會被清空。

在這方面警察蜀黍辦案的流程就值得學習，在第一時間保留線索和作案現場，方便日後回溯線索和破案。

保留好現場，下面我們就可以進入自救環節。

到這一步，重要文件應該已經變成了加密狀態，就像這個亞子。

勒索病毒千千萬，你得知道自己中了哪一卦。怎麽辦？

收集病毒特徵

仔細回想一下，在中毒的前一刻，自己是不是上了什麽不該上的網站，打開了什麽不該打開的文件？看了什麽不該看的東西？是不是有FBI warning過你？

如果你真的什麽也沒做，那也有可能是跟你同在一個局域網裡的同事乾的，當然，他有可能並不會承認，你不妨抽出皮帶拷問他一下。

總之，能直接找到病毒樣本是最好。

觀察被加密的文件的後綴名，不同勒索病毒的後綴不一樣，一般通過後綴名就能大致判斷種類。比如GlobeImposter 勒索病毒的常用後綴是：auchentoshan、動物名+4444，而 WannaCry 勒索病毒的後綴名是 wncry。

怎麽判斷呢？上網搜唄，度娘谷歌都行，就像這樣：

也有些自信心爆棚的病毒會在勒索信自報家門，比如下面這個。

總之，觀察勒索信裡信外，看有沒有透露能判斷勒索軟體的標誌。

如果以上都沒法確定病毒種類，記下勒索信的文件路徑、具體內容、信裡提及的所有網址、郵箱地址等等，這些都可以留作判斷依據，具體怎麽用後面會講。

自助解密

正所謂求人不如求己，即便你是個電腦小白，也有一定概率直接找到解密工具。

全世界的安全公司都在努力對抗勒索病毒，其中很多公司都推出了的勒索病毒免費解密工具聚合網站。

比如卡巴斯基的：

https://noransom.kaspersky.com/

奧地利知名殺軟 Emsisoft 的：

https://www.emsisoft.com/decrypter/

知名安全研究團隊 malwareteam 的：

https://id-ransomware.malwarehunterteam.com/

360的：

https://lesuobingdu.360.cn/

Avast 的：

https://www.avast.com/zh-cn/ransomware-decryption-tools

也有一些非商業公司成立的勒索解密網站，比如著名的 Nomoreransom 勒索軟體解密工具集，這是由各國警方和幾家著名的網絡公司聯合發布的“公益救助”網站：

https://www.nomoreransom.org/zh/decryption-tools.html

這些網站的基本流程都差不多：上傳病毒樣本、被加密的文件、勒索信全文或是信裡的郵件地址等信息，它就能自動幫你分辨是哪一款勒索軟體。

如果是目前已經被攻破的勒索軟體，恭喜你，網站會提供對應的解密工具和詳細的使用說明。（很多外國網站和說明書都是純英文的，這裡推薦英文不太好的朋友用“彩雲小譯”，上面那幾張截圖就是用它翻譯的，炒雞好用，這是么哥的良心推薦）

如果通過這些方法依然沒找到解密工具，甚至都沒法分辨出勒索軟體的種類，下一步就該撥打場外求助熱線了。

場外求助

你可以去一些技術研究或者安全論壇叫銀。

像“吾愛破解論壇”、“卡飯論壇”之類的，以及各大網絡安全公司的官方論壇，比如“卡卡安全論壇”、“火絨論壇”、360社區等等（這裡只是說幾個例子，還有別的好去處可以在留言區推薦），找到相應版塊，招呼網友和管理員。

遇到危險大喊救命並不丟人，也不要覺得這是無謂的求助，正所謂“大隱隱於市，高手在民間”，技術大神經常隱藏在群眾灌水的隊伍裡。

網上有過不少通過論壇求助成功解密的案例。據么哥了解，只要你會用小學生文明禮貌用語，很多論壇管理員還是會回應的。

火絨論壇的管理員回復

瑞星卡卡安全論壇的管理員回復

通過場外求助最終解密的例子也不少。比如前陣子吾愛破解論壇的用戶在四處求助無門後，順手去瑞星的“卡卡安全論壇”發了個求助帖，沒想到管理員很快就過來幫忙，最終成功解密，省下價值幾台iPhone的贖金。（就是上圖的那個案例）

如果實在沒辦法，你也可以在網上找到一些安全研究員的私人公眾號，或是安全公司的公眾號求助。比如我上篇講勒索的文章裡提到的深信服千里目實驗室朋友王正，就開了個公眾號：安全分析與研究，遇到勒索病毒實在沒辦法可以去找這位老司機帶路。（上面那些自助解密工具鏈接其實也是他幫忙整理的）

萬不得已，你還可以求助萬能的淘寶。在淘寶上搜索“勒索病毒解密”，你會發現上面有一大票店家。

這算是個求助途徑，但么哥並不是很推薦，畢竟是收費的。

而且，淘寶上幫人解密的店鋪，其實大部分用的也是網上公開的解密工具。

從邏輯上來講，正牌安全公司代表著這顆星球最強的反勒索實力，但凡某款勒索病毒被安全公司攻破，通常會昭告天下：“XXXX公司率先攻破XXXX”，就像這樣：

然後相應的解密工具就會同步到各大反勒索網站。淘寶店主不是太可能掌握某種特殊的解密技巧。

不過，如果你覺得自己上網求助、找工具麻煩，或者擔心自己手抖誤操作，也不妨出點小錢讓他們代勞，前提是價格厚道。

同時么哥也要提醒一句說，最好找信譽較高的店，否則先被勒索再被騙，可能會懷疑人生。

找勒索者嘮嗑

除了求助第三方，你其實也可以直接聯繫一下勒索者，勒索信裡通常有聯繫方式。

編一段聲淚俱下的故事，砍砍價，或是告訴對方自己正在想辦法準備贖金，但是沒有購買虛擬幣的經驗，需要一些時間學習和開戶，試試看能不能延期付款。

網友clg808發郵件吐槽贖金太貴

萬一勒索者心情好，給你個折扣什麽或者延期，甚至被你的真誠和人生哲學所打動，改邪歸正，也不是沒可能，雖然概率有點小。

順道說一個小操作：通常情況，勒索病毒作者為了證明自己有能力解密，會給一次測試解密的機會，比如允許你發給他三個文件，免費幫你解密。

如果你被加密的文件裡，有一些需要緊急使用的非機密文件（比如剛寫完的稿子），不妨直接發給勒索者讓他解密。

交錢還是死磕

勒索者不會留給你太多時間，大部分勒索病毒都會帶一個倒計時，比如超過24小時贖金翻倍，超過三天就撕票，永遠無法解密。

所以其實最重要的是，你必須做好自救失敗的打算。

如果被勒索的文件真的非常重要，請提前準備好一筆贖金，最後關頭也許用得上。雖然交贖金意味著助長勒索之風，但也是無奈之舉。

前幾天《紐約時報》有則新聞，講美國有225位市長聯名支持一項不給黑客支付贖金的決議，表面聽起來非常振奮人心，可問題來了，等到黑客真的鎖死醫院、發電廠、政府，整個城市陷入癱瘓，這些市長真的能頂住不支付贖金？

么哥的個人觀點是，支付贖金這件事沒有絕對，如果被鎖住的文件關係重大，還是得做好兩手準，與其中了勒索病毒再死撐著不交贖金然後自己吃虧，倒不如吃一塹長一智，做好防備，爭取以後不被勒索。

如果你被勒索的文件既不重要也不緊急，倒也不妨下定決心死磕，興許過一段時間安全公司就會找出解密方法。不過，這個期限可能是一個月，也可能是一年，甚至十年，就跟中彩票似的。

研究員王正告訴我，就像 Globelmposter、CrySiS 兩款勒索新的變種，已經有一年多了，至今還沒有發布相關解密工具。

總之，看命。

其實最穩妥的方法還是第一時間聯繫專業的安全公司，不過，我問了幾個朋友，他們說安全公司通常隻對公司，對個人的話，難說。當然，如果你不缺錢，就不難說了。

總結

說了這麽多，么哥還是希望大家運氣好點，別中勒索。

之前看到一則新聞，講國外有安全公司專門收錢擺平勒索，收費很高，每次都能解開，後來被發現居然是收了客戶的錢之後，暗地裡去給勒索團夥交贖金拿密鑰，自己坐當中間商賺差價。

說實話，這也不能全怪安全公司，畢竟反網絡勒索最好的方法還是防患於未然，而不是亡羊補牢，掏錢找安全公司，除了擺平當下遇到的事，更大的意義在於防止未來再踩同樣的坑。

勒索病毒這事兒未來一定會越來越多，一個很重要的原因是肉身太難抓。

這個邏輯和電信詐騙難打擊一樣，犯罪分子肉身藏在國外，存在跨境執法困難的問題。有時候我就心想，這樣下去會不會產生一個奇特的現象：

A國的團夥勒索B國的人民，B國的團夥勒索A國的人民，兩邊罪犯都難抓，但兩邊的人民都遭罪。

我把這種現象稱之為“共軛勒索”。

在這種情況下，作為普通吃瓜群眾，除了自保，也沒有什麽辦法。

最後，希望大家平時不亂點文件，不亂看不該看的東西，上正規的網站，養成備份重要文件的習慣，或者乾脆用同步雲盤，實時同步重要文件。

祝各位淺友網上衝浪愉快。

如果大家還有什麽防身小妙招、偏方，歡迎給淺黑科技留言，回頭一並整理更新。拜拜~

---

參考資料：

熊貓正正.安全分析與研究.《企業中了勒索病毒該怎麽辦？可以解密嗎？》

360企業安全服務團隊.安全客.《勒索病毒應急響應 自救手冊（第二版）》

題圖截取自電影《功夫》

再介紹一下我自己吧，我是謝么，科技科普作者一枚，日常是把各路技術講得通俗有趣。想跟我做朋友，可以加我的個人微信：xieyaopro。不想走丟的話，請關注【淺黑科技】！（別忘了加星標哦）

在這裡讀懂科技