举报老板_我们被黑客勒索0.05个比特币

勒索软件猖獗的重要原因之一是系统经常利用比特币支付的“匿名”特性来逃避警方的追踪。

文/巴九龄

这发生在一个月前。

我公司被黑客攻击，黑客留下“勒索信”如下：

总结一下：我们遇到了勒索病毒，文件被锁定，对方要求支付0.05比特币才能解密。

01.事件过程及直接影响

2021年12月13日星期一，“网管”老沈照例10点左右来到公司。 上午，公司的员工比较少，老沈的工作压力也比较轻。 此类事件还是第一次发生！ 起初，老沈只是以为是某个程序出错了，但当他看到勒索信时，才知道自己中了勒索病毒。 此时，距离袭击事件已经过去了12个多小时。

12月11日星期六晚上8点左右，黑客开始入侵我们的服务器，服务器开始报错，频繁登录，未知访问……这些都是痕迹。

当时是周末，又是双12购物节，我们这边几乎没有人值班。 7 小时后，即 12 月 12 日凌晨 3 点，服务器遭到入侵。 我们的数据库已加密。 不管是Word还是Txt，都改了后缀比特币会被黑客盗走吗，打不开。

很快，这件事开始直接影响到我们的办公效率。 10点35分，曹姓同事在公司大群里发了一条消息：“OA要多久才能恢复……”我们要把报销、付款、审批等事项放到OA上（办公系统）。

这句话虽然没有点名，但谁都知道，是行政部的老沈说的。 不管是网页崩溃，忘记密码，电脑坏了，还是打印机坏了……都在找老沈。

老沈经常关心这个，关心那个，反应不快。 但这一次的反应明显快了很多，简直就是个坏消息。 十分钟后，一条来自行政部的消息在公司群里炸开了：

OA服务器今天无法正常使用。 具体原因老沈还在调查中。 请耐心等待。 如有恢复，我们会及时在群里通知大家。

“今天不是要恢复吗？我有急件，今天需要盖章。” 一位女同事带着哭泣的表情问道。 一瞬间，满屏都是“恨铁不成钢”。

02.初始响应失败及原因

当了16年“网管”的老沈对此束手无策。 我们的应对策略都失败了。

① 网络断开，但黑客加密已经完成。

②尽量备份，但财务等核心数据已加密。

③ 找网上报警的案子虽然立案了，但破案时间不确定，实在是负担不起。

④ 借助现有的安全软件工具，查找是否有公开的解密工具，无果。

我们也想实现黑客的愿望。 0.05比特币，按照12月13日比特币5万美元的价格，我们需要花费2500美元（约合人民币1.5万元）。 与OA系统无法正常工作可能造成的损失相比，这笔钱并不算多。

但老沈觉得对方可能会反悔，甚至大做文章破译感谢原作者分享。

最近还有一则类似的新闻：去年12月下旬，温州某超市的储值卡系统瘫痪，数据库信息被加密。 黑客在 24 小时内留言并支付了 0.042 比特币（当时相当于 1789.2 美元）以提供解密工具。 超市老板照办了，但黑客没有。

这样的话，就意味着这件事很可能无解了。 早在2017年，俄罗斯知名杀毒软件供应商卡巴斯基实验室就表示，该勒索病毒使用的加密算法无解，只能重装系统后才能使用（被勒索病毒攻击后）病毒），但加密的文件将丢失。 .

现在呢？ 值得一提的是，在“净网年”专项行动中，查获国内首例比特币勒索病毒，并抓获谢分享菊（涉案金额500余万元）。 引用专案组成员、启东市公安局网安支队民警黄晓婷的话：

一般来说，如果没有病毒系统，感谢分享解密工具，其他人是无法完成解密的。 勒索病毒入侵计算机并对文件或系统进行加密，每个解密器都是根据被加密计算机的特点重新生成的。

根据360安全大脑去年的相关报道，3700余起案件被确认遭受勒索病毒攻击，最终帮助260余起案件完成了文件解密工作。 也就是说，只有7%的成功率。

情况变得更加严重。 12月13日下午2时50分，行政部再次发布公告：本周OA服务器不可用。

03.问题出在哪里？ 勒索软件卷土重来！

回顾勒索病毒的发展历程，2017年，“想哭”勒索病毒横扫全球150个国家的30万台电脑比特币会被黑客盗走吗，通常需要支付价值300-600美元的比特币才能解密。

从那时起，勒索软件不断演变为各种版本和类型。 例如：加密文档、锁屏、锁定硬盘、加密数据库等。

国内企业的高峰期在前一年。 据亚信安全《前年威胁态势分析》显示，华夏勒索软件前年感染数量居全球第一，占比达20%。

老沈记得当时所有的（保护）措施都做了，所以没有中招。 但在 2021 年 12 月，当勒索病毒的影响似乎正在减弱时，我们中招了。

据他猜测，这次出现问题的原因可能是安全服务软件过期了。 12月上旬，我们的安全服务软件服务到期，我们计划1月份进行服务器迁移，再续费。 然而没过半个月，由于防火墙签名库过期，给了黑客可乘之机。

这是什么意思？ 比如黑客就是来我们公司偷东西的小偷。 我们以前对大门的管理很谨慎，经常换锁。 小偷会到我们公司门口找机会下手，但锁往往两天就换了，很难快速匹配到合适的钥匙。 渐渐地，小偷失去了兴趣。 但是等到十多天、二十多天没有换过锁，小偷才有足够的时间来分发钥匙。

那么，勒索软件是如何碰巧以我们为目标的呢？ 老沈怀疑是有人利用公司网络挖矿，还是有人不小心从外面带了病毒到公司，又或者是黑客“撒网”的结果……总之，各种可能性都存在，而且很难确定。

——一般来说，远程桌面、网页刷机、激活/破解、僵尸网络、弱数据库密码、漏洞、钓鱼感谢原作者分享等都是常见的勒索攻击方式。

不得不提的是，多个信号提醒我们，勒索病毒正在卷土重来。 在过去的一年里，巨头公司和中国重要机构发生了多起勒索事件，非常轰动。

例如，2021年5月，美国最大的成品油管道运营商Colonial Pipeline遭到勒索病毒攻击，其向美国东海岸主要城市输送油气的管道系统下线. 这件事甚至让美国感谢主创们的支持。

此外，2021年，华盛顿特区大都会警察局、石油巨头皇家壳牌、全球IT巨头埃森哲、台湾存储组件制造商ADATA、厄瓜多尔国营电信运营商CNT也遭遇了勒索软件攻击。 并被盗。

根据360安全大脑《2021年勒索病毒疫情分析报告》显示，2021年将有超过4000名用户受到勒索病毒攻击，高于上年的3700多人，10-12月为高峰期。

其中，值得注意的是，根据美国国土安全部部长去年5月的讲话，勒索软件攻击的目标中有50-70%是中小企业，共造成350%的损失。去年 1 亿美元。 思科去年10月发布的一项调查显示，中国有42%的中小企业在过去一年遭受过网络攻击，41%的企业相关损失超过50万美元。

0450万节课和经验

12月15日，我们被迫在杭州找了一家安全服务商，对方全权解决此事，费用为5万元。

这5万元可以支付三个以上的勒索软件攻击，相当于一套安全软件的成本，一个能用三五年的防火墙签名库也是这个价钱。

3天后，问题基本解决。 12月20日上午10点，OA恢复使用。

具体的，老沈不知道这家公司是怎么解决问题的。 “也许我付了赎金，也许我没有，也许我弄清楚了勒索软件的版本并找到了解密工具，”老沈说。

关键在于未来的保障。 除了保证安全服务软件全天候运行外，老沈强调，自己也会“加强备份”。 例如，过去财务数据由财务部门统一管理，只做本地备份。 现在由老沈亲自管理，做了好几个备份。

值得一提的是，据彭博社报道，上述Colonial Pipeline虽然支付了赎金，但黑客解密速度太慢，最终还是依靠备份数据恢复了系统。

此外，8月，埃森哲遭遇勒索软件病毒后，黑客声称“从埃森哲窃取了6TB数据并索要5000万美元赎金”，但埃森哲回应称：“事发后立即控制了受影响的服务器并隔离。，并从备份中完全恢复受影响的系统。” 也就是说，备份数据可以在很大程度上避免丢失。

综上所述，勒索病毒泛滥的重要原因之一是：系统感谢分享往往利用比特币支付的“匿名”特性来逃避警方追踪。

但开门见山的是：现在国内有很多数据解密和恢复公司与病毒制造商勾结，充当渠道商的角色，比如感谢病毒控制，分享和分发病毒，利用病毒制造商等。国内企业购买比特币代替交易的不便等。

参与的人越多，犯错的机会就越多。 在上述“净网年”专项行动中，警方破案的关键是利用与病毒系统有直接合作关系的数据恢复公司的线索，将病毒系统抓获在它后面。

过去一个月，比特币经历了闪崩，一度跌至3.3万美元，创下近半年以来的最低价。 这对于“勒索软件产业链”的受益者来说，也是一个打击。

最后强调，我们不建议支付赎金。 如果不得已，可以尝试“讨价还价”。

至少有一个例子可以说明这种可能性：据最新报道，2017 年 5 月 14 日，台湾网友陈子聪中了勒索病毒，为此他感谢原作者分享他对黑客的“恳求” ：“我的月收入是400美元，你要这样对我吗？” 对方回应：“我们显然高估了你的收入。所以你不用支付任何费用。稍后系统会解锁你的电脑。”

感谢分享 | 林波 | 感谢执勤 | 李梦清

感谢对创作者的支持 | 何梦飞 | 主编 | 郑元美 | 来源 | VCG

-吴晓波领衔讲授50本商业书籍，一起敲开商业之门，欢迎选购-