我爸的電腦中了勒索病毒
上個(gè)月的一天,接到老爸消息:“家里電腦出了點(diǎn)問題,QQ打不開,還有好多文檔也都打不開。”
一開始我沒怎么在意,估計(jì)是些小問題。
緊接著老爸又補(bǔ)了一句:“這幾天每次開機(jī)都會(huì)出現(xiàn)一個(gè)窗口,上面全是英文字母,你有空看看怎么回事吧。”
What??? 每次開機(jī)都會(huì)彈一個(gè)窗口 & 并且很多文件打不開……
嗎撒卡!! 瞬間菊花一緊。
趕緊回復(fù)老爸:“把藍(lán)色雙箭頭打開。”(說的是 TeamViewer )
當(dāng)我看到電腦里很多文件后綴都變成了 " .rodgz " 時(shí),五雷轟頂,內(nèi)心萬只草泥馬奔騰——
老爸遇上了勒索病毒。
病毒名叫 GANDCRAB,2018年年初出現(xiàn)的,老爸中招的是 V5.1 版變種,更新于2018年12月份。該病毒在每一個(gè)被感染的目錄中都留了一個(gè) RODGZ-DECRYPT.txt 文件。
大意就是你的電腦文件已經(jīng)被加密了,按照他的要求去暗網(wǎng)支付贖金換取解密。它這比當(dāng)年 WannaCry 的支付手段更加隱蔽。
一直以來,我都覺得這種事情只會(huì)出現(xiàn)在新聞中,從沒想過會(huì)和自己的生活產(chǎn)生交集。沒想到現(xiàn)在就這么來了,沒有一點(diǎn)點(diǎn)防備。
迅速用 Everything 檢索了一遍:C、D、E 盤全部陣亡,但奇怪的是,F(xiàn) 盤幸存,這個(gè)現(xiàn)象我到現(xiàn)在也沒想明白。
老爸說“會(huì)不會(huì)做病毒的人的電腦只分了CDE三個(gè)區(qū)?”
呃~ 姑且當(dāng)作一個(gè)解釋吧。
我問爸,1月20號那天有沒有下載安裝過東西?因?yàn)槲野l(fā)現(xiàn)所有被加密的文件,最后的修改時(shí)間都是1月20日。猜測是在那一天感染我爸電腦的。
老爸說,確實(shí)有下載安裝一個(gè)他以為可以FQ的軟件。
唉,兒子不孝啊。若早給父親大人搭把好梯子,何至于此啊。
稍微有點(diǎn)安慰的是,中招的文件絕大部分都不是重要文件。
除了我媽手機(jī)里上傳到電腦的照片。
這個(gè)很悲慘。
可也沒辦法了,說什么也晚了,趕緊用金山毒霸做了一個(gè)全盤查殺,果然有木馬。
BTW,和絕大多數(shù)別人家的父母都用360不同,金山毒霸在我們家算個(gè)情懷。大約是2001年前后,當(dāng)時(shí)我們家是金山毒霸的付費(fèi)用戶,老爸拿家里的座機(jī),通過話費(fèi)支付購買的。現(xiàn)在回想起來,當(dāng)年老爸的做法很帥啊。
殺毒之后,開機(jī)就再?zèng)]出現(xiàn)過那個(gè)勒索畫面了。
第二天,爸說:“加密的文件我也不刪了,就留著,說不定哪天就有工具可以解密了。”
我想了想,也好,人嘛,總要保持希望。
我問爸:“對了,我去看看贖金要求。”
爸:“別管了,老子不給。”
顯然,我還是去看了。
贖金500美元,用達(dá)世幣支付。
達(dá)世幣……什么鬼?我靠,這病毒該不是特么達(dá)世幣的人搞出來的吧?
| “爸,贖金是500美金。”
“叫你不管了,老子不給,一分錢都不給。你也不許給!” “我沒說要付錢,我就看看。” “你跟綁匪說,3000多塊錢老子拿去買新電腦都夠了,給他個(gè)屁!” “爸,我跟人家說不上話。” “那更不用管了,這事就這么完了,我都能接受了,你還費(fèi)什么勁。” “那好吧。” |
事情差不多就是這樣。
因?yàn)檫@個(gè)事,我花了兩天工夫,四處琢磨了一番,略有所獲。
首先,就說說勒索病毒。
嚴(yán)格來說,“勒索病毒”應(yīng)該叫“勒索軟件”(ransomeware),并非是一種病毒(virus),而是一種帶有蠕蟲(worm)特性的惡意軟件(malware)。
我們?nèi)粘=y(tǒng)稱的“電腦病毒”,在計(jì)算機(jī)安全專業(yè)領(lǐng)域準(zhǔn)確的說法是“惡意軟件”,進(jìn)一步可劃分為:病毒,蠕蟲,木馬。
- 病毒是可以自我復(fù)制、破壞計(jì)算機(jī)數(shù)據(jù)的程序,病毒需要有宿主程序才可以傳播和破壞。這一點(diǎn)和生物學(xué)病毒很相似,在生物學(xué)上,單獨(dú)的病毒不算是生命,只有當(dāng)感染了宿主細(xì)胞之后,病毒才具有活性。同樣,計(jì)算機(jī)病毒也需要有宿主環(huán)境才能發(fā)揮作用。比如一個(gè)攜帶有宏病毒的 Word 文檔,只有當(dāng)打開該文檔時(shí),宏病毒才能干壞事。如果文檔一直靜靜地放著,那宏病毒也就靜靜地呆著。正是因?yàn)檫@一特性,人們才把計(jì)算機(jī)上的具有這樣特性的惡意軟件稱作病毒。
- 蠕蟲同樣是一種可以自我復(fù)制的程序,但它的首要目的并非破壞,而是網(wǎng)絡(luò)傳播。蠕蟲甚至可以是對計(jì)算機(jī)無害的,它的目標(biāo)主要是通過盡可能廣泛地感染網(wǎng)絡(luò)中的設(shè)備,進(jìn)而對網(wǎng)絡(luò)傳輸造成破壞,癱瘓整個(gè)網(wǎng)絡(luò)。相比病毒重點(diǎn)在于客戶端,蠕蟲則重點(diǎn)在于網(wǎng)絡(luò)。
- 木馬本身不會(huì)具有破壞性,因?yàn)槟抉R的目標(biāo)是為了獲取對計(jì)算機(jī)的控制權(quán)。事實(shí)上,為了能更好的隱藏你的計(jì)算機(jī)已經(jīng)成了肉雞這一事實(shí),木馬原則上都是一副老實(shí)可信地模樣,對于大多數(shù)用戶而言,不用殺毒軟件掃描,肉眼都看不出來木馬。這點(diǎn)最不像病毒了,病毒基本上都是明目張膽地讓你知道你被搞了。所以才會(huì)有木馬專殺這種殺毒應(yīng)用的存在,特地把殺木馬和殺病毒區(qū)分開。
隨著時(shí)代的發(fā)展,專業(yè)細(xì)分越來越多,又衍生出了間諜軟件、廣告軟件、僵尸程序以及勒索軟件等各種分類。
勒索軟件,完全如同名字所言,就是勒索。前兩年席卷全球的臭名昭著的 WannaCry 就是典型,通過加密被感染系統(tǒng)的文件,索要贖金。相當(dāng)于入室不盜竊,而是對你家里的各種財(cái)產(chǎn)上鎖,找你要錢,給了錢就把鑰匙給你。(且慢,付了贖金到底還撕不撕票這個(gè)完全沒譜!)除了加密文件之外,另一種勒索方式是直接給系統(tǒng)上鎖,不讓你登入系統(tǒng)了,相當(dāng)于直接給你家大門安了把鎖,不讓你進(jìn)屋。
雖然用了這么多年計(jì)算機(jī),但這些細(xì)節(jié),還真初次明辨。
接下來說說傳說中的暗網(wǎng)。
暗網(wǎng)(Dark Web)的概念我很早就聽說過,但一直以來都沒去過,這次被迫按照綁匪指示通過暗網(wǎng)查看贖金要求,于是第一次接觸了這個(gè)世界。
既來之、則逛逛之。
訪問暗網(wǎng),需要用專門的軟件,最知名的恐怕就是 Tor Browser 了(但它并不是唯一的工具)。Tor 是 The Onion Router(洋蔥路由器)的首字母縮寫,顧名思義,它的初衷是用來實(shí)現(xiàn)匿名通信。正因?yàn)榇耍脖挥糜谶M(jìn)行非法活動(dòng)。
技術(shù)雖無罪,人心卻險(xiǎn)惡。
Tor Browser 是一款拿 Firefox 基于 Tor 改造的匿名網(wǎng)絡(luò)瀏覽器。和明網(wǎng)不同,暗網(wǎng)中的網(wǎng)址都是以 .onion 這個(gè)特殊的頂級域名結(jié)尾,站點(diǎn) URL 基本上都是一串像亂碼一樣的字符。所以訪問暗網(wǎng)網(wǎng)站需要有像 hao123 這樣的導(dǎo)航,否則連門都找不到。不過這些資料以及關(guān)于訪問暗網(wǎng)的相關(guān)指南,明網(wǎng)上一搜一大堆。
暗網(wǎng)里的世界確實(shí)如同一些明網(wǎng)上媒體資訊描述的那般黑暗,簡而言之,基本上刑法里面不允許做的事情,那里面都有。
我挑了一個(gè)成人色情論壇進(jìn)去看了幾張色情圖片,然后就離開了暗網(wǎng)。坦白說,其他的我不太敢點(diǎn)進(jìn)去,尤其是買兇、販毒的。擔(dān)心訪問被跟蹤,雖然有 VPN + Tor,但這并不夠。另外,在兇殺、毒品、賭博、軍火、性交易等等一些列勾當(dāng)中,性交易是我認(rèn)為道德風(fēng)險(xiǎn)最低的一項(xiàng),我一直都覺得娼妓業(yè)應(yīng)該合法化,所以看看約炮黃圖,不會(huì)給我?guī)碡?fù)罪感。
看了一些之后,我稍微有點(diǎn)納悶,為什么約炮要到暗網(wǎng)里約?難道豆瓣不夠用嗎?而且,照片都發(fā)出來了,也不存在隱私保護(hù)的需求。更納悶的是,明網(wǎng)上成人色情網(wǎng)站一大堆,又有什么必要非得上暗網(wǎng)?
我也懶得想了,退出來,隨手就把 Tor Browser 刪除了。
暗網(wǎng),我不好這口。
順便說一個(gè)關(guān)于暗網(wǎng)的訛傳,有種說法:全球互聯(lián)網(wǎng)(明網(wǎng))數(shù)據(jù)規(guī)模只是冰山一角,暗網(wǎng)的規(guī)模則占了90%.
這個(gè)說法拿屁股也能否掉,甚至不需要你對暗網(wǎng)有多了解,從邏輯上就不符合統(tǒng)計(jì)抽樣的規(guī)律。
很簡單,你問問身邊的人,上過互聯(lián)網(wǎng)嗎?人家白你一眼,然后你問他上過暗網(wǎng)嗎?OK,輪到你白他一眼了,絕大多數(shù)的人甚至都不知道暗網(wǎng)的存在。
我們知道,網(wǎng)絡(luò)的規(guī)模,尤其是站點(diǎn)規(guī)模,通常都是和用戶量正相關(guān)的。既然暗網(wǎng)的用戶數(shù)比明網(wǎng)少得多,怎么可能那么點(diǎn)人反而產(chǎn)生了90%的數(shù)據(jù)規(guī)模?!
再則,前面我也談到了,暗網(wǎng)基本上就相當(dāng)于是網(wǎng)絡(luò)黑市,如果謠言成立的話,意味著我們身邊每十個(gè)人中,有九個(gè)都在從事不法活動(dòng)。要真這樣,那你別在這看文章了,趕快去犯罪吧,這環(huán)境你還當(dāng)良民,就是異端了。
所以說,這個(gè)謠言是確確實(shí)實(shí)的謠。
該謠言的產(chǎn)生,大概是因?yàn)榛煜艘粋€(gè)概念——深網(wǎng)(Deep Web)。
事實(shí)上,海平面以下那 90% 的冰山主體,說的不是暗網(wǎng),而是深網(wǎng)。
有個(gè)說法(不知真假)—— 只有 4% 的互聯(lián)網(wǎng)對公眾可見,其余的都在深網(wǎng)中。數(shù)據(jù)可能有些夸張吧,但意思是那個(gè)意思,就是說能被常規(guī)搜索引擎檢索出來的數(shù)據(jù)量規(guī)模,肯定是遠(yuǎn)小于那些同樣存在于網(wǎng)絡(luò)中,但你不通過特殊途徑就無法知道的數(shù)據(jù)量。比如一些更加真實(shí)的金融統(tǒng)計(jì)數(shù)據(jù)、人口統(tǒng)計(jì)數(shù)據(jù)等等。
深網(wǎng)就是指的網(wǎng)絡(luò)中的這一部分。
換句話說,互聯(lián)網(wǎng)可以分為明網(wǎng)和深網(wǎng),而暗網(wǎng)是深網(wǎng)中的一個(gè)子集。
所以上面那張圖正確版本應(yīng)該是這樣的:
再說達(dá)世幣(DASH)。
因?yàn)檫@個(gè)事我又一次重新認(rèn)識了電子貨幣。
原來這世上不是只有比特幣的。
技術(shù)角度來說,比特幣是開源的,“中本聰”的論文是公開的;經(jīng)濟(jì)學(xué)上來講,早在上個(gè)世紀(jì),哈耶克(Hayek)就提出過自由貨幣的理論。
既然理論上有經(jīng)濟(jì)學(xué)支撐,實(shí)踐中有現(xiàn)代科技支持,自然就有了百花齊放的電子貨幣。
達(dá)世幣就是基于比特幣而來的一種更加隱蔽、更便于交易的電子貨幣,誕生于 2014 年,最開始叫做 XCoin,不久更名為“暗黑幣 ( Darkcoin ) ”,本意是想表達(dá)自己相對比特幣而言匿名性更高,但后來作者覺得這個(gè)名字誤導(dǎo)了大眾,阻礙了自身的發(fā)展,所以更名為現(xiàn)在的 DASH。
諷刺的是,勒索軟件現(xiàn)在用上它了,暗網(wǎng)里也有它了。
這是必然的。
王爾德(Oscar Wilde)曾說:Give him a mask and he will tell you the truth.
一旦匿名了,人性就暴露了。
最后,說說備份。
雖然勒索軟件的后果很嚴(yán)重,但預(yù)防和應(yīng)對勒索軟件的措施其實(shí)并不難。保持良好的衛(wèi)生習(xí)慣自不必說,另一個(gè)有效的手段就是——備份。
備份有三境界。(純屬虛構(gòu))
1. Lite
老爸這次中招之后,我給了老爸一個(gè) U 盤,告訴他把電腦里的重要文件連同目錄都復(fù)制粘貼到 U 盤中,然后把 U 盤找個(gè)柜子放好,隔段時(shí)間拿出來繼續(xù)往里面復(fù)制點(diǎn)東西,就行了。本來打算搞個(gè)移動(dòng)硬盤的,但考慮到便捷性,還是 U 盤更容易讓老人家使用,畢竟現(xiàn)在 U 盤的容量早已不是問題了。
對于我爸來說,這樣的備份措施基本上就夠了。
對很多人的爸爸媽媽們,應(yīng)該也夠了。
2. Pro
在備份界(如果有這個(gè)界的話),有一個(gè)“ 3-2-1 原則 ”——
同一項(xiàng)數(shù)據(jù),應(yīng)該至少有 3 份,并且至少被存儲(chǔ)于 2 個(gè)不同的介質(zhì)中,并且至少其中 1 一個(gè)介質(zhì)位于異地。
這才叫做備份。
這樣一來,意味著通常要有兩份副本,這兩個(gè)副本:一個(gè)本地,一個(gè)異地。
實(shí)際操作中,網(wǎng)盤是個(gè)不錯(cuò)的異地實(shí)施方案。
BTW,嚴(yán)格來說,單純地把文件上傳到網(wǎng)盤,這稱不上專業(yè),專業(yè)的做法是要有版本管理的,一般可按日期回溯。但個(gè)人覺得這條原則更多的應(yīng)該是針對企業(yè)級用戶的企業(yè)數(shù)據(jù)管理,對個(gè)人用戶而言,尤其是家庭用戶的私人數(shù)據(jù),就不那么必要了。
遺憾的是,在天朝使用網(wǎng)盤,涉及到環(huán)境比較惡劣的問題,國內(nèi)各大網(wǎng)盤如同雞店一般今天開、明天查、后天封。如今好像就剩百度網(wǎng)盤一家了吧?所以,如果追求可靠性,國外的存儲(chǔ)服務(wù)會(huì)更放心一些,比如著名的 Dropbox,另外還有專門的備份服務(wù) BackBlaze.
網(wǎng)盤的另一個(gè)問題就是國內(nèi)網(wǎng)絡(luò)嚴(yán)重不對稱,雖然下載速度越來越快,但上行帶寬長期舉步維艱,數(shù)據(jù)量大了,同步像便秘。
但除了砸錢,也沒有很好的解決辦法,除非控制備份數(shù)據(jù)量。
說到這,拋磚引玉的說一嘴,像個(gè)人用戶的私人數(shù)據(jù),很多其實(shí)真心沒有備份的必要。怎么說呢,就好比你盤里的很多小電影,愛情的、動(dòng)作的…… 類似這樣不怕遺失的數(shù)據(jù),就不需要花大代價(jià)去做備份。
所謂不怕遺失,意思是指你在網(wǎng)上總能再找到的,即便是付費(fèi)的資料,你再付一次費(fèi)也能買到,那就不怕遺失。
更何況,我們每個(gè)人電腦里或多或少都會(huì)保存很多我們以為很重要以后會(huì)再次需要但其實(shí)再也沒打開過的文件。
就我個(gè)人而言,我仔細(xì)想了想,真正值得保存,丟失以后會(huì)給我?guī)硗纯嗟臄?shù)據(jù),就是我和我家人的照片、視頻記錄(這是無價(jià)的)。我其他的一切數(shù)據(jù)文件,廢了就廢了吧。
我硬盤中也保存了我喜歡看的電影,但我認(rèn)真回憶了一番,真讓我反復(fù)重看的電影,一只手能數(shù)過來,全部都能從網(wǎng)上找到。
所以個(gè)人備份的數(shù)據(jù)量,多半還是可控的。
3. Pro Plus
末了,說說實(shí)力用戶的備份。
特別針對那些不能承受數(shù)據(jù)的丟失,同時(shí)更害怕自己電腦里的數(shù)據(jù)流到網(wǎng)上,尤其恐懼云盤數(shù)據(jù)泄露事件的用戶(什么樣的用戶和數(shù)據(jù)會(huì)有這種需求?)
不能發(fā)到網(wǎng)上去,不相信服務(wù)商,那就只能自己動(dòng)手了。
比方說你買兩塊移動(dòng)硬盤,一個(gè)放家里,一個(gè)放你二套房里。這樣一來,即便你家中遇到失竊,失火等等不幸,你數(shù)據(jù)還是能挽回的,同時(shí)兩套房都被不幸了的幾率可以忽略不計(jì)。
所以 Plus 玩家的備份,先要買兩套房。
但這防不住地震,海嘯。如果想扛住大自然不可抗力,你這兩套房最好是北京一套、上海一套。兩地同時(shí)地震的概率幾乎為0.
但這防不住國家戰(zhàn)爭,一旦打起仗來,京滬異地一樣存在風(fēng)險(xiǎn),所以你最好在紐約曼哈頓再買一套房。當(dāng)然,倫敦、東京等等也可以,你布局越廣,抗世界大戰(zhàn)風(fēng)險(xiǎn)的能力就越高。
但這防不住外星人入侵。
…… ……
可我也不知道怎么防外星人。
所以…… 就這樣吧。
后記
過了幾天和老爸通電話,聊完準(zhǔn)備掛時(shí),隨口問了句:
“爸,媽存在電腦里的那些照片都被毀了,她知道了嗎?”
“還沒敢說。”
“總不能一直不告訴吧,萬一她哪天要看呢?”
“哎,她那些照片,說是寶貝,我就沒看她回看過。”
“要不,我跟媽說?”
“老子打死你!”
“~#%@$*^……”
“嘟-嘟-嘟-嘟-…”(對方已掛斷)
