加密勒索病毒:誕生、忽視以及爆炸式增長

　　Cryptovirology（加密勒索病毒）誕生于安全專家對于一種新型軟件攻擊的科學好奇心，這種網(wǎng)絡攻擊技術(shù)將加密技術(shù)與惡意軟件相結(jié)合，它起源于哥倫比亞大學。哥倫比亞大學的密碼學家和IBM的安全專家對Cryptovirology進行了明確的定義，概述了勒索軟件Ransomware的概念：利用惡意代碼妨礙受害者文件的正常使用，只有支付贖金才能恢復正常。

　　多年來，安全行業(yè)專家也積累了一批黑客在滲透計算機系統(tǒng)時遇到的非常規(guī)的科學問題，以及解決這些問題的方法和措施。

　　人們通常會提出一個最常見的問題：最惡劣的惡意軟件攻擊對目標有多大破壞性？從人們的這個角度來看，這個問題大約在1995年就已經(jīng)提出。當時很多人還不了解互聯(lián)網(wǎng)，其中很多人第一次獲得一個電子郵件地址。傳統(tǒng)的家庭計算機很少聯(lián)網(wǎng)。而當用戶想要查看電子郵件時，必須使用撥號調(diào)制解調(diào)器上網(wǎng)查看。在當時，USB技術(shù)還沒有誕生，人們采用3.5英寸的軟盤存儲文件。

　　數(shù)千年來，密碼學已經(jīng)被視為一種純粹的信息保護技術(shù)，特別是作為隱藏信息內(nèi)容、保護數(shù)據(jù)安全以及驗證用戶的一種方式。而如今，卻被居心不良的人利用密碼學來進行勒索。

　　早期的網(wǎng)絡攻擊者采用"AIDS Trojan"（艾滋病特洛伊木馬）的對稱密鑰技術(shù)打亂受害者的文件名稱，并要求支付贖金對其進行解密。從技術(shù)角度來看，這種攻擊已經(jīng)失效，因為解密密鑰可以從木馬的代碼中提取出來。

　　談到病毒植入，人們會想起科幻電影《異形》中的怪誕畫面。人們對外星人的面孔印象深刻，這個生物就像昆蟲和章魚的雜交物種，其名稱為抱面蟲（facehugger）。它將長腿纏繞在受害者的臉上，并將管子插入受害者的喉嚨，其長長的尾巴緊緊勒住受害者的脖子，使其昏迷，然而將卵子植入受害者腹部，過了一段時間將會孵化成抱面蟲（或異形女王），通過受害者的胃部爆發(fā)誕生出新的外星人。

　　一旦產(chǎn)生接觸，受害者沒有辦法安全地移除抱面蟲（facehugger）。電影中的科學家們沒有辦法找到一種方法來安全地從受害者身上移走抱面蟲。

　　艾滋病特洛伊木馬和抱面蟲（facehugger）的病毒理念在人們的腦海中的定義是惡意軟件的攻擊可能會進化。人們致力于清除數(shù)字抱面蟲（facehugger），即計算機病毒與其主機之間的強制共生關(guān)系，而在這種關(guān)系中，清除病毒比將病毒留在原處更具破壞性。

　　但是人們發(fā)現(xiàn)這并不完全是其所追求的結(jié)果。人們發(fā)現(xiàn)了一種數(shù)據(jù)綁架攻擊，并稱之為加密勒索病毒。在加密勒索病毒中，網(wǎng)絡攻擊者為公鑰密碼系統(tǒng)生成密鑰對，并將“公開密鑰”放入加密勒索病中，而相應的“私有解密密鑰”保持私密。

　　加密勒索病毒將傳播和感染許多主機系統(tǒng)。它通過混合加密受害者的文件來攻擊主機系統(tǒng)：用本地生成的隨機對稱密鑰對文件進行加密，并用公鑰對該密鑰進行加密。它將對稱密鑰和純文本歸零，然后建立一個包含非對稱密文的贖金和聯(lián)系攻擊者的手段的文件。受害者將支付文件和非對稱密文發(fā)送給攻擊者。攻擊者收到贖金后，采用自己的私鑰解密非對稱密文，并將恢復后的對稱密鑰發(fā)送給受害者。受害者用對稱密鑰解密他自己的文件。

　　而這個私鑰并沒有提交給受害者。只有攻擊者才能解密非對稱密文。而且，受害者接受的對稱密鑰對其他受害者是無用的，因為它是隨機生成的。

　　安全專家在1996年的IEEE安全和隱私會議上提出了這個網(wǎng)絡攻擊以及抱面蟲（facehugger）的比喻。這個發(fā)現(xiàn)被認為是一種創(chuàng)新的定義，雖然其稱呼有些粗俗。多年以后，行業(yè)媒體將加密勒索病毒稱為勒索軟件。在會議文件中，人們提出電子貨幣也能夠被網(wǎng)絡攻擊者勒索。這就是當今使用更加安全的比特幣的原因。人們觀察到，20年前所描述的這種行為其實就是現(xiàn)在每年獲得約10億美元贖金的網(wǎng)絡犯罪行業(yè)所使用的確切的“商業(yè)模式”：勒索軟件行業(yè)。

　　人們發(fā)現(xiàn)，公鑰密碼學有能力打破反病毒分析師的觀點和攻擊者的觀點之間的對稱性。防病毒分析師的觀點是勒索軟件由惡意代碼和它包含的公鑰組成。攻擊者的觀點是勒索軟件由惡意代碼，公鑰以及相應的私鑰組成。惡意軟件可以在受害者的機器上執(zhí)行陷門單向操作，只有攻擊者可以撤銷。眾多隱藏的隱秘病毒攻擊都是基于這個給予攻擊者的獨特優(yōu)勢。這些方法把密碼作為一種攻擊工具，而不是以前的防御性用途。

　　在2004年出版的““Malicious Cryptography: Exposing Cryptovirology””一書中，提出了如下的類比：Cryptovirology是指可以穿透計算機系統(tǒng)，并通過密碼分析破解密碼。這是對網(wǎng)絡攻擊者下一步行動的積極預測，并建議應制定和實施某些對策。為了防范加密勒索病毒，推薦了一個備份策略，并在沒有勒索軟件運行的地方搜索密碼。安全專家公布了這些威脅和類似的威脅，也公布了其研究結(jié)果，從而為開發(fā)和部署安全防御措施提供了重要的開端。

　　反病毒是一條充滿著懷疑和批評的漫長之路。如今，人們已經(jīng)認識到加密病毒勒索是一個嚴重的威脅。多年來，安全行業(yè)的廠商和專家舉辦了多次關(guān)于加密病毒學的講座，也經(jīng)歷了各種攻擊事件。但人們對此的觀點并不一致：有人認為這個威脅是真實的。也有其他人則堅持認為加密勒索病毒是毫無意義的，因為除了刪除硬盤數(shù)據(jù)之外，它沒有向攻擊者提供任何信息。還有一些人聲稱并沒有受害者支付贖金。

　　這本書在出版之后不久就遭到了嚴厲的批評。一位曾撰寫過計算機病毒書籍的專家發(fā)表了評論，認為對那些認真參與惡意軟件研究的人來說，這本書“實用性不大”。這個意見向公眾表明沒有必要擔心勒索軟件。專家將這種反應歸因于許多人對新思想的內(nèi)在抵觸，特別是融合了兩個以前不同學科的思想，在這種情況下，就是惡意軟件和密碼學。而對于人們來說，被稱為“創(chuàng)新者困境”的困難也適用于積極應對威脅和風險。

　　Cryptovirology（加密勒索病毒）已經(jīng)證明自己是一個可怕的威脅。勒索軟件攻擊事件每天都會成為報道的新聞。其受害者包括個人、醫(yī)院、警察局、大學、運輸系統(tǒng)，以及政府部門。人們甚至還看到了“勒索軟件即服務”的發(fā)展，其中加密病毒工具被出售給犯罪分子，這種犯罪分子實施了隱蔽病毒勒索。

　　在過去一年，人們目睹了一個惡性循環(huán)：被襲擊的組織越多，關(guān)于勒索軟件攻擊事件的新聞報道就越多，這促使越來越多的犯罪分子采取行動，又產(chǎn)生更多相關(guān)的新聞報道。媒體的報道放大了公民和網(wǎng)絡罪犯之間的隱性病毒學意識。

　　社會和法律對這種病毒損害的反應改變了“網(wǎng)絡違規(guī)”的定義。此前，計算機漏洞與企業(yè)敏感數(shù)據(jù)的滲透是同義詞，而其意義已經(jīng)擴展到勒索軟件。美國衛(wèi)生及公共服務部最近公布的關(guān)于勒索軟件和HIPAA的事實表明，當電子保護的健康信息被勒索軟件加密時，就會發(fā)生違規(guī)事件，而其理由是網(wǎng)絡攻擊者已經(jīng)控制了敏感的健康信息。這是計算機“違規(guī)”的定義中的一個重大變化，由于隱形勒索病毒的威脅，即使沒有敏感數(shù)據(jù)被泄露，也可能發(fā)生違規(guī)。

　　2017年2月，好萊塢長老會醫(yī)療中心的計算機遭到黑客入侵后被感染勒索軟件，該醫(yī)院采用支付了17,000美元的比特幣用于恢復文件。這促使加利福尼亞州修訂了“刑法”第523條，制定了一項新的解決勒索軟件的法律--“SB-1137計算機犯罪：勒索軟件”，明確規(guī)定將勒索軟件引入計算機系統(tǒng)的意圖是勒索錢財。根據(jù)路透社報道，2017年5月的WannaCry加密勒索軟件在150多個國家攻擊了20多萬臺計算機，此次攻擊損失更加嚴重，因為組織和個人沒有足夠的努力去修補。

　　安全專家最后指出，Cryptovirology也影響了流行文化，甚至激發(fā)了驚險小說作家Barry Eisler所撰寫的小說《斷層線》（Fault Lin）的創(chuàng)作靈感。

　　多年來，人們看到安全廠商對于加密勒索病毒攻擊并不情愿地描述和討論對策。這是根本上有缺陷的，這是一種經(jīng)典的“被動安全”現(xiàn)象（在攻擊后采取行動），而不是預防性的“主動安全”。

　　行業(yè)專家認為勒索軟件只是冰山一角。大多數(shù)加密病毒的攻擊本質(zhì)上是隱蔽的，允許攻擊者完全不被察覺地竊取信息。這些攻擊可能會使絕大多數(shù)計算機事件響應小組陷入困境。

　　加密勒索軟件花費了20多年的時間才獲得了全世界的認知，看來大部分的攻擊都是朝著相同的方向發(fā)展：注定要被忽視，直到大規(guī)模對真實世界的進攻被公開。在此引用哲學家桑塔亞那的格言：“凡是忘記過去的人們注定要重蹈覆轍”，這似乎同樣適用于加密勒索病毒。