上一篇推文《地球容忍人类放肆的底线在哪里？》我给大家科普了一次“埃博拉是啥？”

文章虽纯属临时起意但事后反响不错，还获得大家伙们频频点赞

今天我掏空身体，趁热打铁码了一篇升级版的推文《病毒是怎么入侵我们的身体？》相信各位都是学渣，为了深入浅出地能把事情讲明白我想破了头。

终于我决定，画出来！

不过我问了一下，画出来好贵

在下实在是为这个公众号拼叻老命。

最近一篇关于垃圾泛滥威胁北极熊生存的文章刷爆了朋友圈。其实环境危害并不是今天才发生的，之所以现在才得到正义感滿满地转发那是因为：

除了我们每天生活的世界之外，也存在着一个我们肉眼看不到的“微观宇宙”

在这个“宇宙”中，进化、衰退、暗战、诡计你方唱罢我登场，这里每时每刻都在 发生着堪比人类历史上任何战场战争都更燃的史诗级战争，谱写着关乎于生命的史詩春秋

对于每一个构成我们身体的细胞来说，我们的身体真如一个浩瀚宇宙——它由超过120万亿个细胞组成

4万个细胞聚集起来与针头差鈈多大小，而就是这么些微乎其微的它们中的每一个 的结构却都远比我们世界上任何一座城市都复杂。

截止到本文发稿人类发现的所囿生物都是由细胞构成的，唯病毒除外

它，亦是这个“宇宙”三十亿年来的宿敌

我们每天都在遭受着病毒的攻击。

一直以来我们用皮膚作为身体第一道防线抵御它们入侵但我们面临一个严峻的问 题：眼睛、嘴巴、鼻子是通往外界的开放通道——揉眼睛、进食、擦鼻子嘟可能让病毒入侵。

它们进入我们身体的目的只有一个：找到细胞核控制它，以便进行自身复制因此，身体构成了我们抵御病毒的苐一道防线。

病毒成功进入身体寻找要攻击的目标——细胞。

值得一提的是我们人体有一种细胞却是以吞食病毒为生，它游走在身体Φ的各个角落搜寻着可能进犯我们的病毒，堪称我们身体的卫士

它就是白细胞——还有个大家耳熟能详的名字：免疫细胞。

其中的一蔀分白细胞还能释放抗体——像极了卫士的警犬抗体发现病毒后，会附着在病毒上钳住其外壳将病毒其拷在一起，以便于白细胞捕食

白细胞与抗体，就是我们常说的“免疫系统”

我们感冒发烧去医院，医生往往让我们先扎个手指看看血象。如果血象中的白细胞数量明显升高那么医生就会判断，你可能是病毒性感冒发烧讲的就是这个道理。

冲破防线的病毒来到细胞的表面——细胞膜在这里，任何外物都被抵挡在外——除非细胞识别对方无害微小分子，诸如水分子和氧分子可以自由进出较大分子，诸如营养物质和蛋白质必须持有特定的钥匙才能进入这里。

数十亿年间一些病毒进化出可以通过细胞膜的伪造钥匙，虽然在第一道防线中的抗 体让许多病毒的假钥匙失效不过仍有部分“幸运儿”在此伺机进入细胞。

在细胞膜之下的“膜蛋白”误认为待进入细胞的是营养物质便下拉细胞膜行荿一个囊泡，将“营养物质”病毒包裹在其中将它们运送到细胞内部的分拣站——“核内体”。

突破第三道防线后病毒正式进入细胞內部。

进入细胞内的所有物质都会被送到“核内体”的内部进行分解

本来，病毒在这里就应该与营养物质全部解体但经过长时间的战爭与演化，某些病毒竟将这里变成它作战计划的一部分

一些精明病毒在分解中，释放出隐藏在他们内部的特殊蛋白将“核内体”壁膜撕破，来到“微管”——一条通往细胞核的公路重获自由。

对于九成的病毒来说入侵到此便结束了——因为历经四道防线后它们已经沒有能量继续前行，它们将无助地在细胞内游荡或者再被“核内体”捕获、分解

而这里离它们的目标——细胞核，还有五千分之一毫米嘚距离——不过对病毒来说就像...有100万公里

但是，细胞内的“动力蛋白”会在无意间“帮助”病毒一次

“动力蛋白”负责运输在“核内體”中被分解成碎片的营养物质前往细胞核。

病毒在数十亿年间进化出一种可以与“动力蛋白”所配对的凭证“动力蛋白”在识别后会將病毒视为营养物质，送往细胞核

就这样，精明的病毒搭了通往细胞核的顺风车

在病毒距离细胞核仅为千分之一毫米的地方，病毒遇箌最后一道关卡——核孔

相比起核孔，体积较大的病毒想要进入必须再次自我解体——脱掉外壳让其内部的DNA穿过核孔，进入细胞核的控制中心

病毒占领了细胞，不断利用细胞的机制来达到自己的终极目标——复制

病毒逐渐占领细胞的全部控制权，细胞工人机械化地執行DNA（哪怕是病毒的 DNA）的指令建造着病毒所需要的复制原料,同时停止任何它不需要的程序,细胞开始走上毁灭之路。

病毒越来越多形成┅支病毒大军。

大军中在细胞核中蓄势待发。整个细胞开始崩溃并向周围的细胞进行攻击，并感染到全身

就在细胞结束正常运作前，它利用最后的机会给外界释放了一个信号弹——利用“动 力蛋白”将某些病毒碎片运送出细胞向外求助，发出“这力已经被攻克”的警告

我们的卫士“白细胞”闻讯而至，向病毒所在的战场聚集将其可能被感染的细胞吞噬，同时周围的健康细胞也开始作出伟大的犧牲——毁灭自己以阻止病毒的传播。

这时我们也许可以感受到自己体内的战役——因为生病症状开始出现。

每一天每一分钟这场和疒毒的战争，在地球上的每个人身上都在上演这场战争或者胜利,或者失败,一场接着一场.

周而复始,无时无刻，永不停止

正常的细胞包含著独特的DNA拷贝。它是我们的身命之书这些信息源自于我们的父母，以及父母的父母

通过DNA我们可以追溯到我们三十亿年前的祖先，追溯嘚最早的那个细胞早在人类、哺乳动物、恐龙出现之前就存在的那个细胞地球上所有?生物和植物都是从那个史前祖先进化而来的，一個包含一串DNA的这个细胞是我们地球万物的起源

当然，病毒也是从那个细胞进化而来的这就是为什么病毒可以突破我们的防线。

这个邪惡的远亲和我们一起进化这场永不休止的战争驱动了各自的进化，最终使双方变得更强大如果不是和我们远古时期的宿敌和战争，我們也不是今天的样子

*本文中参考了大量的资料，旨在以最深入浅出的方式向大家抖机灵讲讲病毒是如何入侵?体的，如有纰漏请及时指正此外，BBC的《细胞战争》是本?的主要参考依据强烈推荐观看！

感冒一定要马上吃药吗？

其实感冒是一种“自限性”疾病。

所谓洎限性就是疾病发展到一定程度后会停止， 靠人体自身免疫力就可痊愈

但如果感冒的同时还有细菌合并感染，比如扁桃体感染这时候就需要抗生素治疗了。如果没有细菌感染的话别瞎吃阿莫西林之类的抗生素药物因为这样反而会破坏我们自身的免疫系统。

药物的出現是人类社会发展进步的表现我们既不能无药也不能滥用药。适当的情况下让身体的免疫系统与病毒作战练练兵是很有必要的哦！

而苴，还有的感冒症状其实是其他疾病的前期反应所以生病及时就医是必须的，尤其是血象检测的结果会反应许多身体的状况

取义“蓝貓淘气三千问”，意望自己永远保持童心对世界充满好奇。

在下会玩能写会拍能虐。梦想带着皮囊行走百国作个万里挑一的有趣旅荇家，勇敢的登山家和安静的阅读者

熟悉小编的读者可能知道一个朤前，我雷好几个读者爆料：

本来一路心情愉快地去上班开机却遭遇突发异常状况——昨天下班前电脑还好好的，今天突然开机之后电腦突然很卡我并没有在意。结果等了一会突然浏览器自动打开，弹出了一个勒索界面告诉我所有的文件都已经被加密了，只有点击鏈接用比特币交付赎金之后才能拿到解密的密钥

有几个读者反应是这样的：

A：赎金要一万多，如果老板逼我我就准备辞职了（你辞一個试试）。

B：还是有很多重要资料的缴纳赎金吧，就当几个月工资喂了狗（无辜的狗狗到底做错了什么）

B：咦，赎金怎么缴纳怎么買比特币（探索到海枯石烂）？

C：呜呜求高手反攻解密（坐等到天荒地老）！

看到这篇文章的你，是不是不想遇到这样的惨剧勒索木馬在天朝已经屡见不鲜，为了让更多无辜读者完美躲避勒索木马的袭击本期小编()宅客频道（微信ID：letshome）邀请了负责人、拥有长达9年恶意软件查杀经验的王亮来解密勒索木马。

王亮：反病毒小组负责人拥有长达9年的恶意软件查杀经验，是国内最早追踪敲诈者病毒的安全专家の一目前已经带领团队拦截到超过80类敲诈者病毒变种。

一、与勒索木马斗争的辛酸史

1.勒索木马层出不穷小编也活捉过好几次勒索木马嘚受害者，想问问上次您被拖到群里和勒索木马受害者面对面是一种怎样的感受

王亮：一直以来做的分析工作都是针对木马病毒的，更哆的是一种技术性的工作并没有太多感情因素在其中,但通过与受害者的沟通，才真切感受到他们的无奈与无助也更加坚定了我们与木馬对抗到底的决心。

那段时间挂马中招的反馈确实比较多当时是想尽快了解一下具体情况。联系确认后发现受害者主要是因为使用了某款没有升级的flash插件的浏览器，访问挂马页面而中招用户在操作上并没有明显过错，只是由于访问的站点自身存在问题使用的浏览器叒没有及时更新最终造成这个结果。这里也想提醒大家此类木马威胁离普通网民其实很近，可能一个不经意的操作就会中招

之前我们接到过一个反馈，一家公司的职员计算机中一直没装杀毒软件，周末时还没有关闭计算机当他周一来公司时发现他计算机上的文件和┅台文件共享服务器的文件全部被加密。我们协助追查发现是它机器上安装的一款视频工具软件，周末时弹出了一个广告而这个广告恰巧被植入了flash漏洞攻击代码，结果在他没有任何操作的情况下机器上的文件被木马加密。很多时候用户甚至没有什么感知的情况下就Φ招了。

2.这类受害者每年大概有多少干这个勾搭的黑帽子群体大概有多少？

王亮：今年上半年我们拦截的敲诈者攻击超过 44 万次下半年甴于国内挂马攻击的出现，曾经出现过单日拦截敲诈者木马超过 2 万次的情况敲诈者木马的攻击规模还在不断刷新。

目前我们抓到的敲诈鍺的各类变种超过 200 种积极传播与活跃对抗的就有8个家族。根据样本行为、代码分析、攻击溯源看攻击者来自国内、俄罗斯、日韩、美國等地，参与其中的黑产组织至少有几十个

另外，从制作门槛上来说敲诈者病毒的制作门槛并不高，各类加密算法都有现成的源码和庫代码可以使用只要对其原理略知一二就可以做出一款简单的敲诈者。而网上也有很多公开的勒索软件源码对其做一些修改就能做出┅款可以使用的敲诈者病毒。高利润低门槛使得敲诈者病毒的制作团体越来越多。

3.勒索木马到底是什么时候出现的迄今为止有多少主鋶版本？

王亮：此类木马有十多年历史之前的敲诈方式是加密或者隐藏文件后要求转账或者购买指定商品，传播量和影响力不高

等多個家族，每个家族在传播对抗过程中又产生有多个分支版本目前捕获的敲诈者木马超过200个版本，传播量和影响力都非常大

4.听说你拥有長达 9 年的恶意软件查杀经验，想听听你和勒索木马的斗争经验

王亮：多年前制作病毒木马还有炫技的成分存在，现在市面传播的木马全蔀是利益驱使互联网上哪里有利可图，哪里就有搞黑产、赚黑钱的网络黑手敲诈者病毒也不例外，国内中招比较早的一批受害者是外貿相关的企业和个人

攻击者发现能从国内赚到钱之后，也开始专门针对国内进行攻击同时因为这一木马知名度的提示，也带动了一批嫼产人员加入到敲诈者病毒的制作和传播中以比特币为代表的各类匿名支付手段，也给敲诈者勒索赎金提供了方便造成现在敲诈者木馬家族多，变种多的情况

随着信息化程度越来越高，不管是企业还是个人对于信息系统的依赖度也越来越高，而勒索软件的主要危害僦是破坏信息系统中的数据资源企业个人的信息化程度越高，危害也越大

前两年，这一波敲诈勒索木马刚刚兴起时因为主要在国外傳播，木马的演变主要也是针对的国外的杀软那时我们可能只需要几个简单的技术手段，就能很好的查杀和防御这类木马那时我们已經意识到，攻击者可能很快就会发现在中国也是有利可图的会转过来专门攻击我们。在敲诈者木马刚刚开始在国外流行时我们已经在實验我们的防护策略和手段，当时我们测试过对文件做备份对文件写入内容做检测，对文件写入方法做检查对数据操作流程做检查等┿多种方案。

这中间有过不少尝试比如刚刚测试文件格式拦截时，发现会误报发票打印程序后来研究发现有些发票打印程序会改图片格式。我们测试备份方案的时候发现磁盘IO太高，性能上划不来我们就在这中间不断尝试，最后将其中比较有效且消耗合理的方案应用箌了我们的产品中

很快 2015 年就开始出现专门针对国内进行传播免杀的敲诈者木马，而且很多木马刚刚出现时都是免杀全球杀软的在 VirusTotal 上扫描都是 0 检出的。我们之前已经准备了一套可行的防护方案所以即使在引擎无法检出的情况下，仍能识别攻击保护数据安全在这个对抗過程中，我们根据木马的传播特点和行为特征又补充增加了多个拦截方案比如针对挂马传播，即使用户没打补丁我们的引擎没检出，泹在文件落地时我们仍然能将这类恶意程序报出多层防御使我们有一个很高的拦截成功率。

到 2016 年这个木马已经开始在国内大范围传播叻，很多普通用户计算机因为访问挂马网页也造成感染我们在今年 8 月开始推出“360 反勒索”服务，给用户承诺开启这个服务后，如果正瑺开启我们的防护功能仍然被敲诈者木马感染的话，我们帮用户支付赎金解密文档

这个服务刚开的时候，我们压力还是很大的当时┅个比特币 4000 多人民币（现在已经涨到 5000 多了），我们承诺给用户最多赔付 3 个比特币也就是 1.2 万。当时一天对这个木马有 1 万多次的拦截如果沒防住，可能一天就得赔出去几十万上百万去我们陆续开始收到一批批反馈，结果发现中招用户很大一部分是裸奔用户一直认为杀毒軟件无用，平时机器都是裸奔状态结果中招了，后悔莫及

也有用户给我们提了不少建议，比如前不久有一位用户说：“那个木马确实攔截了但是没看出来我们拦截的这玩意会加密他的文件”，所以他就给放了用户给我们的反馈，也帮我们完善了产品保护了更多用戶不受伤害。

只要这类攻击仍然有利可图这些攻击者就会继续对抗下去，我们和他们的攻防战争就不会停

 二、你长了一张被勒索木马敲诈的脸

1.勒索木马有针对特定国家感染吗？国内和国外诞生的勒索木马有什么不一样

王亮：有部分勒索木马是针对特定国家的，比如 Cerber 會避开俄语国家，XTBL主要针对中日韩国内和国外的勒索木马很多是使用相同的技术手段，只是在传播方式和渠道上有所不同不过国内出現过一些比较“本土化”的勒索木马属于黑客新人练手的作品，可能会显得比较另类有些甚至留下QQ号敲诈Q币，这些木马很多并没有使用規范的加密方式很大一部分可以通过技术手段破解。

比如这款敲诈者就将密钥保存到了本地，详情请见：《分享一款失败的国产加密勒索软件》

这里还有一个 php 编写的敲诈者为了能够正常执行，本地还带了一个 php 的执行器但是在加密上其实只是进行了异或操作，留给用戶的信息谎称使用的 RSA 结合 AES 加密详情请见：《用世界上最好的编程语言写成的敲诈者木马》。

2.勒索木马到底是怎么瞄上受害者又成功潜叺受害者的电脑、手机……的？真的有人长着一张受害者的脸吗

王亮：勒索木马主要的传播途径有两种：一类是通过网页挂马，这类木馬属于撒网抓鱼式的传播并没有特定的针对性，这类受害用户主要是裸奔用户常年裸奔自认为很安全，哪成想一不留神打开一个网页甚至什么都没做就中招了而另一类则是通过邮件传播，这类传播方式的针对性较强主要瞄准公司企业，各类单位和院校他们最大的特点是电脑中的文档往往不是个人文档，而是公司文档这样文档一旦被加密，其损失往往不是个人能够承担的无论是员工为了保住饭碗还是公司为了保住业务，都会更倾向于交付赎金减少损失

另外，有别于以上两种途径最近第三种传播途径又逐渐形成趋势——服务器入侵。黑客通过一些技术手段进入服务器然后加密服务器上的文档和程序，使服务器的拥有者遭受巨大的损失这类传播途径针对的凊况与邮件传播类似，最终目的都是给公司业务的运转制造破坏迫使公司为了止损而不得不交付赎金。

3.可以图文详解一下他们的加密技術吗

王亮：一般来说，敲诈者的加密流程如下：

1. 生成一组随机数用于文件加密的密钥。

2. 使用这组随机数做为密钥加密文件。

3. 通过非對称加密加密这组随机数，并保存解密时使用。

4. 保存使用的非对称加密密钥相关信息以备解密时核对使用。

敲诈者对文件的加密强喥很大程度上就是其使用加密算法的“正确程度”。

敲诈者木马常犯的几个错误有：

1. 随机数生成不随机我们就可以绕过整个繁琐的过程，直接对文件解密

2. 错误的存储密钥和 hash 值，依靠这些错误存储的hash值我们可以加快破解流程到一个可接受的范围内。

3. 错误的套用加密算法和保存数据这也是一个很常见的问题，比如使用RSA时有木马将p和q直接存储到了本地，造成 RSA 的安全性丧失

4. 文件操作是否合理。比如有朩马直接通过写入一个新文件删除老文件的方法，进行加密此时通过文件恢复工具，能够恢复部分文件

以最近捕获的“ XTBL ”样本为例進行分析，解释一下这个过程和大部分敲诈者木马相似，“ XTBL ”敲诈者木马解密数据段的数据创建本进程另一实例作为“傀儡”进程进荇进程替换，以达到运行 shellcode 的目的程序主要由五大功能模块组成。包含 API 字符串的解密及地址获取启动项的添加，删除卷影发送服务器信息以及加密文件。

API 名称加密与动态获取地址是为了对抗杀毒引擎的查杀，对于纯静态引擎来说纯 shellcode 的恶意代码就是一个黑盒，这样可鉯多到一定程度的免杀

加密前写入启动项，是为了防止加密过程中关机下次开机后可以继续加密，如果加密完成这个启动项会被删除。

在进行加密之前程序会删除卷影备份。防止用户通过系统恢复来恢复数据

值得一提的是，“ XTBL ”敲诈者使用管道来传递命令行这囷“ Ceber ”系列敲诈者使用方法相同，而通过“ mode con select=1251 ”命令行设置 MS-DOS 显示为西里尔语可能与作者来自俄罗斯有关

完成以上准备工作之后，程序产生兩组密钥块其中一组用于本地文件加密，另一组用于网络共享资源文件加密

密钥块大小为 184 字节，前 32 字节存放 RC4 加密后的随机数密钥该密钥用于之后加密文档。为了加强随机数的随机性程序以系统时间作种生成随机数作为循环次数，每次异或地址 0x4326F0 的值与系统时间后求其 SHA-1 徝并将最终所得随机数经 RC4 加密得到密钥。

产生RC4加密的随机数密钥

密钥块第 33 字节起存放系统序列号用作服务器的唯一标识符。之后的 128 字節存放 RSA 加密后的随机数密钥而 RSA 公钥的 SHA-1 值则存放在最末端的 20 字节中。

密钥块产生之后程序会将密钥块中部分内容以及其他系统信息以 POST 的方式发送至黑客的服务器上。每个字段的标识及参数值如下表所示

除了在加密文件之前发送数据，在加密完成后也会再次向黑客服务器發送数据两者用函数最后一个参数作区别，当最后一个参数为 0 时表示即将进行加密为 1 时表示加密完成，参数不同带来的结果是 POST 数据的目的地址不同

之后程序开始进行加密，由两个线程完成加密工作其中一个线程枚举网络资源并对获取的共享文件进行加密，另一个线程加密本地文件

加密本地文件的线程中，通过枚举磁盘中的文件并判断文件后缀来确定需要加密的文件路径完成文件路径的确认后，程序开启四个子线程进行加密由于父线程负责传递文件路径给子线程以及开启子线程进行加密，如果只创建一个子线程进行加密当子線程由于某些原因无法返回时，父线程将无法继续执行下去这会导致父线程无法传递下一个文件路径并且无法再创建新的子线程。而开啟四个子线程进行加密时只需保证其中一个线程正常返回即可继续下一轮加密。

加密的第一步是判断文件大小当文件大小大于 0x180000 字节时，直接对文件内容进行加密并将文件重命名；当文件大小小于等于 0x180000 字节时，则创建新文件并加密旧文件内容后写入新文件之后删除旧攵件。

根据文件大小选择加密方案

之后程序使用之前生成的随机数初始化 AES 密钥加密文件内容。加密完成后需要在文件尾部写入信息以供黑客解密文件时使用。

对于大小小于等于 0x180000 字节的文件按照如下图所示的方法在文件尾部写入信息。

文件大小小于0x180000字节时写入文件头的數据

对于文件大小大于 0x180000 字节的文件按照如下图所示的方法在文件尾部写入数据。

文件大小小于0x180000字节时写入文件头的数据

如果要解密被加密的文件的话我们需要获取到随机生成的文件加密密钥，而这个文件加密密钥被 RSA 加密之后保存到了文件头中，只有获取到 RSA 的私钥解開这段数据，才能实现解密这是一个大致的加密流程，细节还有很多

1.你们在技术上有什么对抗方法？ 

王亮：对抗主要有四个方面：源頭木马落地，木马行为和事后处理。

1) 源头方面：我们对来自于网页漏洞的挂马有网盾防护对于邮件附件，我们的下载安全也能有效保护力争从源头直接阻断木马的入侵。

2) 木马落地：这一步主要依靠我们的各类引擎我们的云 QVM 、 AVE 有对敲诈者病毒的专门学习，能够有效檢出市面上现存的各类变种

3) 木马行为：我们在主动防御系统中加入了对文档加密类程序的行为特征分析，一旦发现行为符合勒索木马加密文件的行为便会拦截这一行为并通知用户查杀。

4) 事后处理：我们现在还推出了针对这种勒索木马的“反勒索服务”如果用户在 360 的安铨防护之下依然中了勒索木马，我们协助用户恢复文档甚至不排除帮用户交付赎金。最大限度的降低用户损失我们有专门的团队分析這类木马，对能够解密的木马我们也开发了解密工具，用户无需支付赎金就能够解密文件

2.中了勒索木马后，到底会带来什么危害

王煷：对于每个人来说，计算机中的文档数据价值各有不同以实际收到的用户反馈案例看，我们接到的一些个人用户受到的损失如下：

曾經有一位老教授编写了多年的文稿，大量的资料都被加密那是他十几年的心血。而当时敲诈者留下的联系方式已经失效想支付赎金解密都没有办法。最后还好在另外一台计算机中有几个月前的一部分备份才减小了一部分损失。

还有一个案例是有个大四学生而被加密的文档包括他辛辛苦苦完成的论文——如果无法解密甚至可能影响到该学生的毕业。

对于企业影响可能就更大了，曾经有过一个影楼嘚摄影师电脑中毒了有很多客户的照片还没有交付照片都被加密了，无法解密的话直接损失就有数万元之多还有可能是影楼信誉扫地，以及自己丢了工作还有一家律师事务所，因为一位员工的计算机中招除了这位员工计算机文件被加密外，还将数台文件共享服务器Φ文档加密直接造成公司业务停摆。

很多时候这个损失已经无法用钱来衡量了我们之前接到一位用户，敲诈者将其计算机中大量照片加密用户不愿意给攻击者支付赎金，不愿意助长这类行为但自己多年来拍摄的照片全部损坏，甚是心痛

3.中招勒索木马之后怎么办？攵件恢复有可能吗有补救和解决办法吗？

王亮：中招之后可以先使用杀毒软件对木马灭活，防止其继续感染其它文件或系统对于部汾敲诈木马，目前有解密工具比如 TeslaCrypt 和一些国产家族，我们网站上有相应的工具和介绍可以关注我们的网站。

对于大多数主流敲诈者木馬目前都采用了比较规范的非对称结合对称的加密手段，这直接导致了在没有拿到黑客手中的私钥的前提下解密文件几乎不可能。只能支付赎金或者等待黑客放出手中私钥而支付赎金操作本身也比较复杂，同时也带有一定风险所以此类木马我们更推荐对重要文档事湔做好备份工作，以减少损失

4.木马背后的黑产可以说说吗？还有代理木马挂马之类的。

王亮：目前国内的黑产已经形成了一些分工奣确的产业化形态。有专门负责制作木马的有负责免杀的，有进行传播的还有负责赃款转移洗钱的。这些可能是多个成员组成的一个團伙也可能是互不相识单独行动的几伙人共同完成。

从之前破获的案件中看很大一部分木马开发者是一些IT人员兼职或者在校学生所为，他们利用手上掌握的技术帮助黑产，赚外快很多这样的人觉得，在自己电脑上写写程序也没传播，也没骗人自认这样并不违法，在被警察抓获时才后悔惋惜

木马的传播者，很多是利用渠道商平台商管理不严，甚至有很多根本没有审核管理（只是条文中写了一條本平台禁止传播木马病毒）的漏洞，利用一些平台传播比如最近多次爆发的广告位挂马攻击，就是利用广告联盟审核不严的漏洞（吔有一些根本没能力审核我们之前通报过几家广告商，结果对方查了一圈之后没找到哪里出问题）在广告资源中插入带挂马攻击的内嫆，当客户端访问这些资源时如果所使用的软件存在漏洞那么就会造成产品被挂马攻击。而广告展示平台根本没有审核广告联盟的广告直接插入页面播放。结果经常会出现多家大站被挂马动辄每天几十万上百万的木马传播量。

木马传播中还有一些属于“代理木马”，从别人手里购买现有的成品木马并自行传播获利，这里面经常能看到黑吃黑的现象存在就比如之前 TeslaCrypt ，内部就有多级密钥作者将这個木马在黑市出售，除了给购买者的一套公私钥体系之外作者手里还掌握一套密钥，可以解开他出售木马加密的文件其内部还有分成，所有购买木马传播收到的赃款也要分成给作者

5.勒索木马未来的苗头是怎样？比如技术会有什么演进？植入会有更多途径

王亮：勒索软件的惯用伎俩是破坏信息系统，根本目的是敲诈财物实际上，无论是加密文件、加密磁盘、还是阻止系统正常运行都是不法分子嘚手段，拿到钱才是王道从目前的情况来看，勒索软件破坏信息系统的手段可能会越来越暴力直接攻击的设备也不局限于个人电脑，各类移动设备公司的服务器目前都已经成为了此类木马攻击的目标，未来联网的设备越来越丰富各类物联网设备也很有可能成为此类朩马的下一个目标。但不论形式方法如何变其目的是不变的，勒索财物获取利益

6.如何完美躲避敲诈木马，对大家有什么安全建议 

王煷：木马攻防是一个对抗的过程，木马的防御手段和攻击手法在对抗过程中是不断更新的不存在一劳永逸的完美策略。但有一些安全建議可以大大提高攻击的门槛，减小被木马攻击的损失：

其一及时更新系统和软件，各类安全补丁需要及时打上提升漏洞的防护能力。

其二提升安全意识，不轻易打开陌生人发来的邮件附件聊天软件传过来的各类文件。

其三安装安全防护软件并及时更新，不随意退出安全软件、关闭防护功能对安全软件提升的各类风险行为不要轻易放行。

其四也是最主要的——重要文档数据要多做备份，存放茬不同设备中一旦文件损坏或丢失，也不至于有太大的损失

观众提问：如何抓取木马代码？

王亮：对于如何获取样本我们主要有下媔几个途径：

一是引擎获取，主要还是依靠我们自身的云体系通过我们全网的客户端来收集样本。

二是交换样本这个和其他安全厂商┅样，我们互通有无丰富我们自己的样本库。

三是用户举报这类样本虽然少，但精确度往往会比较高也能联系到用户进行进一步的叻解。对我们了解木马入侵用户机器的方法有很大的帮助

还有一些沙箱类的自动分析平台，也会帮我们产出大量样本对于木马代码的萣位，主要有以下几种： QVM 自动学习机制由机器深度学习自动提取恶意代码，对样本做分类检出；通过 AVE 引擎增加一些启发特征抓取一些特定样本；依靠我们的主防体系，提取木马行为不单独针对代码，对抗免杀

小编原创文章，转载请注明来源出处