freelee

“艾滋病木马”（AIDS Trojan）

以“艾滋病木马”（AIDS Trojan）的出现为起点，勒索软件在网络世界肆虐了超过30年。随着人类社会逐渐进入“万物互联”时代，勒索软件越来越无孔不入、危害范围也越来越大。

2021年5月7日发生的科洛尼尔管道运输公司被勒索事件，酿成了软件勒索史上前所未有的社会负面影响。因受到勒索软件攻击，科洛尼尔将关键系统下线，输油管道不得不暂停工作。

美国政府随即宣布17个州和华盛顿特区进入紧急状态。当地一度出现民众抢购燃油的情况，造成局部地区出现燃油供应短缺。

科洛尼尔已于当地时间5月12日重启管道，但似乎勒索始作俑者组织Dark Side才是胜利者。网络安全公司LIFARS的首席执行官翁德雷·克热赫尔声称，科洛尼尔向勒索方支付了当时价值500万美元的比特币赎金。

资料价更高

约瑟夫·波普32年前编写了“艾滋病木马”，被视为勒索软件的开端。“艾滋病木马”会隐藏受感染机器的文件，要求用户向个人计算机电子人公司（PC Cyborg）支付189美元，才能获得恢复显示文件的软件。

在电子货币尚未诞生的年代，波普等勒索者只能通过传统的银行账户收取赎金。执法部门加以追查，就能揪出幕后黑手。但电子货币诞生后，情况有了变化。尤其是加密货币，拥有不记名、难溯源的特点，被21世纪的勒索者青睐。常见的勒索场景，大概是黑客要求用户支付和比特币价值相等的美元，或指定数量的比特币。

除了支付手段“升级”，黑客的勒索方案也在升级。数年前的案例中，一般勒索软件锁定用户设备后，会弹窗提示“文件已被加密”。支付赎金后，用户将获得解锁工具。

美国最大的燃油管道运营商科洛尼尔管道运输公司被勒索，该事件严重影响美国东岸的燃料供给

而现在的勒索软件采用“双重威胁”，用户不但无法访问自己的文件，而且文件被备份到黑客拥有的服务器上。假如用户不在指定时间内支付赎金，服务器将自动在网络上公开文件，造成用户的敏感信息泄露。

如此手段自然令受害者又恨又怕。个人文件资料被锁，用户尚且可以一咬牙放弃资料，不向勒索者低头。但企业用户的资料关乎自身的正常运行，无法获取将影响运营：轻则企业邮箱、办公室自动化系统等无法登录，造成工作流程受阻;重则核心数据丢失，企业“命脉”被掐断。资料公开则具有更大破坏力，倘若企业的商业机密被公开，它的竞争优势可能会完全丧失。

所以大多数案例中，企业不得不就范支付赎金。例如货币兑换公司通济隆（Travelex）2019年底遭遇文件加密攻击，据称向黑客组织支付了230萬美元;2020年6月，加利福尼亚大学旧金山分校医学院使用的服务器被黑客加密，几经谈判后赎金从300万美元降至114万美元。

付还是不付赎金？

“付不付赎金，这是个问题。”有企业或机构不向黑客妥协，而情愿承受更大的损失。2020年2月，丹麦设施管理公司ISS World被勒索软件攻击，数十万员工无法访问内部系统和邮箱。ISS World选择与数据公司、安全公司合作，自行修复系统，耗时超过十个月，预算最高达7500万美元。

疫情期间，工人不得不远程办公，系统也不得不频繁接入外界网络，令黑客获得可乘之机。

而2020年赎金要求最高的勒索软件事件，是富士康一家墨西哥工厂被攻击，勒索金额为1804.0955个比特币（时值约3470万美元）。可见黑客会拿捏企业心理，赎金开价比自行恢复数据的预算低，以求企业衡量利益后就范。

勒索软件Petya界面

WannaCr y界面

2019年底，货币兑换公司通济隆（Travelex）遭遇文件加密攻击，据称向黑客组织支付了230万美元

安全专家自然不主张受害者投降，因为这势必助长黑客气焰。有的情况下，用户即使支付赎金但文件依然无法解锁，最终资料和金钱“双失”。而即使获得解锁工具，事情也未必会完全结束，有可能黑客在系统中仍然留着侵入的“后门”。

又或者，正如恩姆斯软件公司的网络威胁专家布雷特·卡洛回顾通济隆事件时所指出的，敏感信息始终在黑客之手：“支付赎金的话，文件可能得以恢复，但企业只能相信犯罪分子会删除备份数据的承诺。然而犯罪分子通过勒索得益，凭什么相信他们会删除文件呢？”黑客完全可能将敏感资料—例如企业客户个人信息卖给暗网的商家，借机再赚一笔。

两害相权应取其轻，但有时孰重孰轻实在不易衡量。2020年11月，知名游戏公司卡普空大约1TB资料被盗取，黑客勒索1100万美元赎金。卡普空无视黑客声明，结果卡普空未来数年的游戏开发计划都被泄露。但是最终，卡普空似乎没有受到太大伤害，其5月发售的《生化危机：村庄》销量已突破300万份，更显得卡普空目前形势一片大好。

别的勒索软件受害方却没有卡普空“潇洒”，例如美国两大城市亚特兰大与巴尔的摩。亚特兰大是最早受到勒索软件攻击的美国大城市，2018年3月中招，数据库、无线网络等均告失陷，黑客勒索金额约合5.1万美元。

2019年亚特兰大也爆发了勒索事件，勒索金额约合7.6万美元。但最终两地政府均拒绝黑客要求，最终数据恢复成本以及其他工作延误损失高达千万美元级别。在客户面前，两大城市的“脊梁”似乎挺得很直，但以数百倍损失为代价与黑客战斗，却又难免听上去太过“血流成河”。

黑客“广撒网”敛财有术

勒索软件战争由黑客发起，维护网络安全的一方处于被动位置，总是落于下风。在日常交手中，维护方只能根据勒索软件的特点、手段，来提示广大用户提高防范意识。

早期的勒索软件通常以“钓鱼”方式入侵系统，例如引诱用户打开电子邮件的附件，或者点击网站上的陷阱链接。“Petya”和“WannaCry”等软件就属于这种类别。维护方给出的相应建议，就是用户不要轻信陌生邮件和不可靠网站。

而2018年诞生的“SamSam”则以暴力破解密码作为攻击手段。一旦系统加密方式落后或者使用弱密码，就容易被软件击穿。攻击亚特兰大的凶手正是“SamSam”，亚特兰大部分政府系统老旧未升级，成为黑客攻击得手的突破口。维护方的建议则是，保持系统升级以及设置高强度密码。

但实际上，黑客以“广撒网”形式攻击，总能找到自投罗网的人或者明显的漏洞。“WannaCry”的基本勒索金额“仅为”300美元，但估算造成的损失超过40亿美元。感染大量普通用户，是黑客敛财的关键。

居家办公为入侵提供便利

2020年暴发的新冠肺炎疫情，令网络安全形势更加复杂。卡普空声称，黑客攻击的漏洞来自一台老旧的虚拟专用网装置。2020年10月，卡普空发现裝置出现未授权的活动。虽然卡普空马上部署升级计划，但因为疫情时期在家办公情况频繁，卡普空网络要承受巨大流量，出现未授权活动的装置也被留下来作为备用，最终为黑客留下方便之门。

科幻游戏《看门狗》中，每一个联网设备都是黑客入侵的工

科洛尼尔事件同样跟疫情有关。网络安全公司Secure Anchor的创始人埃里克·科尔分析，疫情暴发前，科洛尼尔的工人主要通过工厂内的系统管理各种工作。这套系统与外界网络交流较少，被攻击风险较低。疫情期间，工人不得不远程办公，系统也不得不频繁接入外界网络，令黑客获得可乘之机。

安全专家担心，万物互联互通的概念下，侵略渠道无处不在。正如科幻游戏《看门狗》（Watch Dogs）系列所描述的场景一样：从传统的个人电脑到手机，从新概念的无人机到新能源汽车，从小巧的耳机到摄像头，从大型的电子闸门到城市电网……每一个联网设备都是黑客掌控赛博世界、干扰现实世界的工具。

按照克热赫尔的说法，科洛尼尔事件的结局耐人寻味—500万美元赎金“不高”：“对于这样体量的企业来说，赎金往往在2500万到3500万美元之间。”克热赫尔猜测，是燃油停运引发的社会混乱和美国政府的高度介入，令黑客有所忌惮。

然而谁又知道，未来会不会有更胆大妄为的组织，其目的不在于“求财”，而在于炮制骇人听闻的反社会事件呢？当这类组织诞生时，人类社会大概要开始与“网络恐怖主义”刺刀见红。