勒索病毒的前世今生

其實最近的wncry病毒已經不是勒索軟件第一次發威了。前不久，安卓系統也出現了一款勒索軟件，將手機加密后索要贖金。而這款軟件被查殺后，很快又帶著升級版卷土重來——這波新版的勒索軟件是用隨機密鑰感染文件的，連攻擊者都不知道如何解鎖，用戶即使交付贖金也是徒勞。

我們看到隨著IT技術的不斷發展，IT從業人員雖多，但是主要的就業人員基本都集中在移動平臺、云端以及人工智能等領域，最流行的編程語言也由面向底層操作的C和C++逐漸演變到托管型的JAVA甚至是面向建模的GO語言。而信息安全領域是個直接面向底層的技術，從事底層編程的人員越來越少，也就代表著信息安全的從業者基數是越來越小，這個現象的直接后果就是，網絡世界出現了落后的技術可以攻擊先進技術的情況，這點與人類社會中落后蠻族對高級文明的侵略非常相像。最近爆出wncry病毒很可能源自朝鮮，這也從側面印證了這種趨勢，某些組織甚至是國家是沒條件搞高端技術的，但是他們寫的病毒卻能橫行全世界。勒索軟件的黑手進一步擴展了可攻擊的范圍，如網游、智能汽車和可穿戴設備紛紛大量爆出漏洞。回顧此類軟件的歷史大致分為以下幾個階段。

1.原始階段：

最早的勒索軟件出現于1989年，名為“艾滋病信息木馬”。該木馬通過替換系統文件，在開機時計數，一旦系統啟動達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密，從而導致系統無法啟動。此時，屏幕顯示信息聲稱用戶的軟件許可已過期，要求郵寄189美元以解鎖系統。

2006年出現的Redplus勒索木馬是國內首款勒索軟件。該木馬會隱藏用戶文檔，然后彈出配坦窗口勒索贖金，金額從70元至200元不等。據我國計算機病毒應急處理中心統計，全國各地的該病毒及其變種的感染報告有580多例。而實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

2.新發展期，比特幣贖金階段：

從2013年的CryptoLocker開始，勒索軟件進入了新的發展期，比特幣進入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統，通常通過郵件附件傳播，附件執行后會對特定類型的文件進行加密，之后彈出付款窗口，也就是從這散賣喊款軟件開始，黑客開始要求機構使用比特幣的支付贖金，而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入，按照比特幣最新的市價這些比特幣的價值有近10億美元之巨。

3.勒索軟件平臺化及開源化趨勢：

同為2015年一款名為Tox的勒索軟件開發包在年中發布，通過注冊服務，任何人都可創建勒索軟件，管理面板會顯示感染數量、支付贖金人數以及總體收益，Tox的創始人收取贖金的20%。

2015年下半年，土耳其安全專家發布沖野了一款名為Hidden Tear的開源勒索軟件。它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊，破壞模塊等方面的設計都非常出色。盡管來自土耳其的黑客一再強調此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為勒索軟件的開源化，還是引發了諸多爭議，在閱讀了這款勒索軟件的源代碼后，筆者也是突然醒悟原來編程的思路與方法真的是別有洞天，破壞性思維和建設性思維的確是完全不同的風格。

4.與竊取大眾隱私信息結合的趨勢

近年來，針對某些快捷酒店住宿系統及私營醫院HIS系統的入侵、脫庫（脫庫指黑客入侵到系統后進行信息竊取行為）事件頻發，而16年之前黑客一般只會將信息悄然盜出后在黑市上待價而沽，但目前黑客更是要在出售掉隱私信息之前還要對醫院及酒店進行勒索。去年底美國好萊塢某醫療中心就被黑客攻陷，并勒索340萬美元的贖金，雖然經過一番討價還價醫院最終支付了1.7萬美元后運營恢復，但是該院的就診記錄不久就出現在了的數據黑市上。

而且最近的勒索病毒明顯加強了“用戶體驗”的建設，會給用戶很強的心理暗示，比如某些最新的勒索軟件將UI設計成無法退出的界面，而且贖金隨時間漲價，還會以倒計時強化緊迫感。

為什么會是比特幣

看到網上大量的文章都在說這次創造wncry病毒的黑客之所以選擇比特幣是因為比特幣的交易無法追蹤，其實這個說法是不嚴謹的，比特幣本質是分布式帳本，每筆交易均需要向整個區塊鏈網絡廣播，否則就不是合法交易，總結其流通的特點是匿名開戶，交易透明。反觀現金交易則是實名開戶，但是客戶取出現金后的用途就不再透明了。

比特幣的出現也為監管提出了新的課題，針對現有貨幣的監管方式肯定不適用于比特幣。而監管手段的缺失也是造成黑客目前首選比特幣作為贖金的最主要原因之一。

這里再次簡短回顧一下比特幣的分叉之爭，我們知道比特幣的交易都要向整個區塊鏈網絡進行一次廣播，可以想象一下如果大家一塊拿個喇叭狂喊那系統一定是要崩潰了，所比特幣的創始人中本聰在建立比特幣之初就限制了比特幣網絡每秒鐘處理7筆交易，如果按照這個交易速度來處理去年支付寶雙11那一天的交易量（大約10.5億筆），大概要近5年的時間才能全部完成。

目前比特幣的玩家大概分為兩派，一派認為比特幣7筆/秒的交易速度已經成為比特幣的核心特性之一，不應該升級。另一派認為比特幣網絡的處理速度太慢已經嚴重影響了比特幣的推廣，應該當升級。那么如果一派強行升級，而另一派不跟進的話，那么比特幣就極有可能分裂成兩個分支，這也是年初比特幣價格大幅回調的最重要原因。

從目前的情況看比特幣的分叉之爭并沒有緩和的跡象，但是比特幣ETF以及wncry病毒的出現迅速將比特幣的價格不斷推出新高。個人覺得比特幣短期大概率要突破2萬RMB，但是考慮目前萊特幣等變種沒有所有分叉之爭，所以從投資的角度來說呢，如果比特幣再次受分叉之爭而下跌，那么這其實是對萊特幣的利好，所以如果有讀者大量持有比特幣又不想賣出的話，可以考慮做多萊特幣來進行對沖。

如果從信息安全角度來說，分叉問題很可能會影響比特幣繼續做為勒索病毒贖金的地位。筆者認為接受萊特幣、以太幣為贖金的病毒即將誕生。

但是區塊鏈貨幣都或多或少會有處理速度的困擾而且加密算法升級不容易，長期來看風險比較高，短期價格被操縱的跡象也比較明顯。心理承受能力不強的話，靜看他們的運行軌跡就好了。