撰稿
蓝河
编辑
图图
企业遭遇勒索病毒的结果无外乎两个:数据要么没了,要么还在。
有些还处于生存中的小企业,温饱尚不能满足,实在是拿不出一笔钱用以支付黑客索要的赎金,只能“要钱没有,要数据你都拿走”。
有些企业可能觉得,黑客的话不可信——即便对方声称只要乖乖支付赎金,就可以解锁冻结中的数据,但万一遇到不“道义”的,钱付了数据照样还给删了,岂不是赔了夫人又折兵?索性不冒二次的风险,数据也就不要了。
另有一些企业,一来不相信黑客,二来认为数据很重要,绝对不能丢失。那么在本身已经采购了数据安全的服务,或是及时联系数据安全公司的情况下,即便数据暂时遭到删除,也有机会通过数据安全公司的操作使数据得以恢复。
除此以外,还有那些更加看重数据价值的企业,因为数据恢复的不确定性,而不愿承担数据丢失的后果。直接痛快地向黑客支付赎金,第一时间保证企业数据的稳定性和安全性,以绝后患。
这些都是企业在遇到勒索病毒时常见的一些想法和举措。随着比特币等数字货币在世界范围内为公众所广泛接受,自WANNACRY席卷全球后,各类勒索病毒也算是层出不穷,始终占据着“网络安全”事件的极大比重。
而伴随着勒索病毒的壮大以及数据价值的不断提高,越来越多的数据安全公司开始为企业提供数据恢复的服务。
“数据恢复”这件事,在与勒索者的博弈中,其实本来就占据下风。狡猾的黑客要是动点手脚导致数据恢复失败,本就是无可厚非的事。坦然接受失败,想办法提高技术以应对黑客的下一次攻击才是正道。
但万万没想到,有些数据公司竟然当起了“二道贩子”,黑客敲诈企业一波还不够,他也要趁火打劫才过瘾。
多家数据安全公司被扒“向黑客支付赎金”
数据安全公司向黑客支付数据?乍一看这几个字是不是有些不太能理解——企业被黑客勒索,关数据安全公司什么事?
实际上,这并不是说数据安全公司在帮企业承担支付赎金这件事,而是部分数据安全公司被扒出,一边打着“数据恢复”的幌子,向企业收取高昂的费用;另一面因为压根恢复不了数据,偷偷与黑客达成协议,从自己赚到的钱当中抽取一部分,作为赎金,向黑客把用户的数据赎回。
国外的一位名为FabianWosar的安全研究员,通过我们所俗称的“钓鱼执法”,同时扮演“勒索者”和“被勒索者”的双重身份,向苏格兰一家名为RedMosquitoDataRecovery的数据安全公司寻求恢复数据的帮助。
结果,在他以“被勒索者”身份向这家公司求助的几分钟后,他的“勒索者”账号,就收到了这家公司联系。而在这个过程中,该公司实际上向“被勒索者”收取了4倍于实际赎金的费用,这等于啥事没干一点力也没出,就空手套了一大笔钱。
这是什么行为?这简直就好比说是,我手机被偷了,偷我手机的人告诉我给他块就把手机还给我,我不甘心便宜小偷,就寻求了专门的失物找回服务。
帮忙找回的人跟我说,给他块肯定帮我找回来,我心想算只要这钱没落到小偷手里,多花点就多花点吧。结果人家转头分了给小偷,自己揣兜里,把手机给我“找”回来了。
最后就是我花了,小偷和找东西的都赚得金盆满钵。我还以为小偷吃了亏大仇得报,握着找东西的人的手不停地点头哈腰说“谢谢”,殊不知人家比小偷更加可耻。
实际上,这竟然不是第一个当“二道贩子”的数据安全公司。今年5月,美国数据安全公司MonsterCloud就被曝出通过收取大量费用并向黑客支付赎金的方式,“帮”客户恢复数据;而早在年左右,另一家数据安全公司ProvenData就先后经过12次中转,将一笔费用支付到注册在伊朗的数据钱包中。
我相信,ProvenData不是第一个干这笔买卖的数据安全公司,RedMosquitoDataRecovery也肯定不是最后一个。这当中有多少我们所未知的猫腻,安全公司是否又真的在做“安全”的事,着实引人猜想。
佛罗里达两城市接连向黑客屈服
其实,数据安全公司向黑客支付赎金来恢复客户数据的行为早就已经见怪不怪了,但像上述几家公司“既当美女又立牌坊”的行为,是在不是什么光彩的事。
有一些数据安全公司,会协助愿意支付赎金但不知道如何处理数字货币或不想直接联系黑客的客户,这些都是公开的,是经过客户授权的。
相比较之下,两者所做的虽然看上去没有什么区别,但在性质上却有着根本性的不同。虽然我们不鼓励向黑客支付赎金这种纵容黑客犯罪的方式,但能够帮助客户找回数据,也算是没有违背“数据安全公司”的原则;而前者,已然抛弃了“诚信”二字。
话说回来,数据安全公司向黑客支付赎金的行为,从一定程度上体现了当前在与黑客和勒索病毒的对抗中,网络安全防御的疲软与无力。事实上从WannaCry豪取“个国家和地区、10台电脑、30万用户、80亿元”的光辉战果中我们就可以看出,勒索病毒的变种和发展,早已超出了我们的预料。
5月下旬,美国佛罗里达州两个城市的计算机系统先后遭到黑客攻击,与WannCry席卷全球时一样,所有被勒索病毒挟持的城市,全部进入了“原始社会”。
在苦苦坚持了三周之后,维埃拉海滩通过市政会达成协议,决定向黑客支付价值60万美元的比特币;而就在该城作出这个决定短短一周内,湖城也向黑客支付了价值近50万美元的赎金,以此来恢复城市的正常运行。
从最近发生的勒索事件来看,我们不难发现,黑客针对有价值目标发起的定向攻击越来越多,而勒索病毒所造成的危害也越来越大——“控制一座城”,这好像隐隐有了“网络战争”的影子。
据了解,很多新型的勒索病毒已经可以通过python语言来书写,业内人士自然知道是什么意思,不明白的只要知道,和往常相比,通过python语言创造出来的勒索病毒理论上不仅可以感染Windows系统的电脑,就连Mac和Linux系统的电脑也会遭殃。
与此同时,勒索病毒行业也出现了Ransomware-as-a-server(勒索软件服务化)这一产业,开发者可以提供整套勒索软件的解决方案——从勒索软件的开发、传播到赎金收取都提供完整的服务。
这也就意味着,一个不具备任何专业技能的普通人,都可以通过支付少量租金,获得勒索他人计算机的能力,这大大降低了勒索软件的门槛和成本,更推动了勒索软件大规模爆发。
这不禁让我感到更加讽刺,黑客和勒索病毒在如火如荼地壮大、升级、提升、强化自己,应该帮助企业用户打击黑客,守护数据安全的部分公司,却在浪费自己的资源和天赋。
数据被勒索了该怎么办?
随着数据“生产资料化”以后,数据的“价值”已经成为了我们的普遍认识。无论是企业自身的关键生产数据,还是海量收集、存储的用户个人信息,一经丢失或泄露,都可能给企业打来残酷的打击。
“保护数据安全”可能是每一个企业当下最需要重视的课题,但似乎事与愿违,部分数据安全公司这般闪瞎眼的骚操作,无疑是给了我们当头一棒。
实际上,据统计,有90%以上的勒索病毒,都是通过“钓鱼”方式植入的。无论是邮件中引人遐想的文案,还是图片里扣人心弦的美景,都充斥着怪诞的“社会工程学”。
引用网络上流传很广的一个案例:国外某公司CIO,在明知图片为勒索程序的情况下,依然选择打开图片,接受“中招”的事实。究其原因,竟然是该CIO为“深度钓鱼发烧友”,图片里是一根绝版钓竿的购买链接,“我怕不打开,就再也买不到这根鱼竿了。”
人为因素成为了企业遭受黑客勒索的最大源头,对于勒索病毒的防范,恐怕再多的防火墙、杀毒软件,都不如克制住欲望来的有效。而数据安全公司向黑客支付赎金这件事,首先无疑是对“道德”进行了深刻的拷问和反思,其次则侧面反映出当前网络安全攻防的不对称性,以及黑客的狡诈、勒索病毒的强大,让数据保护和恢复,变得越来越难。
针对这一情况,数篷科技首席科学家吴烨建议:针对灵活善变的勒索病毒,企业需要改变原有固化、依据已有威胁模式建立的保护机制和策略,建立主动免疫、自主可控的创新技术机制。
其次,当前也迫切需要把各类安全技术机制抽象融合为企业IT基础设施的一部分,方便企业调用整合从而形成体系完善的安全基础架构,满足零信任环境下的企业数据安全运营要求。
说谎和沉默可以说是现在人类社会里日渐蔓延的两大罪恶。事实上,我们经常说谎,动不动就沉默不语。
——村上春树
写在最后
对于我们普通的用户,虽然可能中勒索病毒的几率并不大,或者即便数据丢失也不会有太大的损失,但还是要做好几点注意,尽可能避免遭到勒索的可能。
首先,对于勒索病毒的防范,千万不要到非官方的网站下载任何软件,因为新的勒索病毒,可以将自己伪装成任何一个热门的软件,可能是游戏党必备的Steam,也可能是宅男深夜福利的桃色直播。
其次,收到任何邮件,不管署名是谁,只要带有链接,务必仔细看清发件人地址后,核实身份后再点开。
此前安在就曾写过有关“钓鱼邮件盘点”的文章,黑客随随便便就能把地址伪装成正经苹果、安卓官方或是企业高管,甚至是用户自己,真真假假根本无法辨别,关键很多邮件服务商还识别不出来,分分钟让你中招。
最后,如果电脑里存有重要的文档,定期备份。现在备份文档的方式有很多种,除了最常见的拷贝一份、存储到U盘里以外,还可以保存到云盘当中,这样即便本地文档丢失,也可以在网络上找回。
我觉得,在遭遇勒索病毒的时候,能不向黑客屈服,就尽量还是别支付赎金吧。毕竟病毒制造者的人品和道德,实在是一言难尽,能不能信守承诺,这事咱还真没有把握。
不管怎么说,数据的保护和恢复的希望还得寄托于数据安全公司的身上,即便人家多赚点,但能把数据找回,至少结果还是好的。只是希望这种行为不要发展成所有数据安全公司的本性和本能,还是实打实从博弈中获得胜利,饭才恰得安稳。