勒索病毒来查水表？你的数据可能要凉凉！

还记得小时候童谣里唱的“小兔子乖乖，把门开开”吗？Too young too simple！现在网络世界里的“大灰狼”可没那么客气，他们的方式简单粗暴，直接上“家伙”！

想象一下，当你兴高采烈地打开电脑，准备开始一天的工作（摸鱼）时，Duang~所有文件都被加密了，或者更狠，直接给你来个“开机蓝屏”，让你怀疑人生。稍微“温柔”点的，你的IT主管可能会收到一封“热情洋溢”的勒索邮件，告诉你公司数据库已经被“安排”了，想要赎回？先交一笔巨款再说！这可不是闹着玩的！当勒索攻击找上门，就说明勒索病毒已经像“老鼠”一样潜伏在你家（企业网络）里，而且用的还是传说中的APT攻击手法。

啥是APT？简单说就是“高级持续性威胁”，特点是隐蔽性强，目标明确。勒索团伙一旦学会了APT这招，威胁程度简直是指数级增长！根据RiskIQ的数据显示，平均每分钟就有6家公司或机构惨遭勒索，一年下来超过315万家！全球因网络安全问题造成的损失，每分钟高达180万美元，算下来一年得损失6万亿人民币，够绕地球好几圈了！

最近这10年，全球每秒钟冒出21个新病毒，恶意软件的数量更是增长了23倍！勒索病毒已经成了网络安全领域的头号公敌。面对如此猖獗的攻势，我们该如何应对？

病毒也疯狂进化？回顾勒索病毒“黑历史”

话说1977年，当年的有志青年们正摩拳擦掌准备迎接高考，同一时间，大洋彼岸的美国作家Thomas J. Ryan脑洞大开，在他的科幻小说《P-1的青春》里，构思了一种能够自我复制的计算机程序，并给它取了个响亮的名字——Computer Virus（计算机病毒）。

5年后，也就是1983年，一位名叫Fred Cohen的美国黑客，在UNIX系统下搞了个大新闻，他编写了第一个能够自动复制并在计算机间传播，最终导致系统崩溃的病毒。第二年，他在博士论文里正式给“电脑病毒”下了定义，这个定义沿用至今。

其实早在1946年，计算机界的“祖师爷”冯·诺依曼就提出了计算机程序能够在内存中自我复制的理论，不得不佩服大佬的远见！

从Apple II病毒到特洛伊木马，再到IBM PC病毒，各种“第一例”在上世纪80年代末扎堆出现，就像打开了潘多拉的魔盒，一发不可收拾。

1989年，Joseph Popp创造了第一个勒索软件AIDS木马，通过软盘传播，勒索189美元。32年后的2021年，美国最大的燃油管道运营商Colonial Pipeline被勒索软件DarkSide攻击，乖乖支付了价值440万美元的比特币赎金，结果还是被搞得焦头烂额，被迫关闭管道6天。

现在勒索的目标也变了，不再是广撒网式的攻击，而是专门盯着那些有钱的主儿下手，尤其是大型企业和政府机构。而且，就算你老老实实交了赎金，也别想轻易脱身，双重勒索、三重勒索等着你！

随着技术的发展，勒索手段也在不断升级。亚信安全发现，从去年下半年开始，越来越多的勒索病毒开始使用跨平台语言编写，目标也从Windows转向Linux和ESXi虚拟机平台。要知道，大型数据中心大多基于Linux系统，一旦数据中心被勒索，那损失可就大了！

亡羊补牢，为时未晚？

今年，美国政府悬赏1000万美元，追捕勒索软件组织Conti的5名主要成员。Conti这个组织，已经对美国和国际关键基础设施发动了1000多次勒索软件攻击，包括执法机构、紧急医疗服务和911调度中心。2021年，美国就有1000家企业向Conti支付了超过1.7亿美元的赎金！据Cyberint估算，Conti在短短两年内赚取了约27亿美元的加密货币，这个黑客组织在全球拥有大约350名成员，分工明确，组织严密，简直就是一家“正规公司”！

亚信安全专家表示，现在的勒索病毒攻击，早已不是单打独斗，而是变成了RaaS（Ransomware-as-a-Service）模式，有明确的分工和流程。

Conti之所以能像印钞机一样赚钱，关键在于他们采取了双重勒索攻击。和传统的加密数据再勒索赎金不同，双重勒索会先将你的机密数据下载下来，然后再加密。也就是说，如果你不交赎金，他们就把你的数据公之于众，让你颜面扫地！

很多企业都有数据备份的习惯，所以被勒索软件加密后，只要杀毒并恢复备份，就能把损失降到最低。但是，面对双重勒索，光靠恢复备份可不行！攻击者很可能会发起二次勒索，甚至三次勒索，而且每次的价码都会水涨船高。

所以，恢复数据固然重要，但更重要的是如何保护数据不被外泄，从源头上解决问题。

亚信安全上个月处理过一起勒索事件，通过溯源发现，勒索病毒是在勒索发生前的12小时才被制造出来的，但早在6个月前，这家企业的账号就已经被盗了。这说明，勒索攻击并不是突然发生的，而是有一个演变的过程，只要足够警惕，就能发现其中的蛛丝马迹。亚信安全专家建议，一旦发生勒索事件，应该第一时间启动溯源，尽快找到被攻破的漏洞。