中了敲诈者病毒，文件恢复有可能吗？你长着一张被勒索木马敲诈的脸？

导语：勒索木马在天朝已经屡见不鲜，为了让更多无辜读者完美躲避勒索木马的袭击，360反病毒小组负责人、拥有长达9年恶意软件查杀经验的王亮来解密勒索木马。

熟悉雷锋网(公众号：雷锋网)的读者可能知道，一个月前，我雷好几个读者爆料：

本来一路心情愉快地去上班，开机却遭遇突发异常状况——昨天下班前电脑还好好的，今天突然开机之后电脑突然很卡，我并没有在意。结果等了一会，突然浏览器自动打开，弹出了一个勒索界面，告诉我所有的文件都已经被加密了，只有点击链接用比特币交付赎金之后才能拿到解密的密钥。

有几个读者反应是这样的：

A：赎金要一万多，如果老板逼我，我就准备辞职了（你辞一个试试）。

B：还是有很多重要资料的，缴纳赎金吧，就当几个月工资喂了狗（无辜的狗狗到底做错了什么）。

B：咦，赎金怎么缴纳？怎么买比特币（探索到海枯石烂）？

C：呜呜，求高手反攻解密（坐等到天荒地老）！

看到这篇文章的你，是不是不想遇到这样的惨剧？勒索木马在天朝已经屡见不鲜，为了让更多无辜读者完美躲避勒索木马的袭击，本期雷锋网宅客频道（微信ID：letshome）邀请了360反病毒小组负责人、拥有长达9年恶意软件查杀经验的王亮来解密勒索木马。

嘉宾介绍

王亮：360反病毒小组负责人，拥有长达9年的恶意软件查杀经验，是国内最早追踪敲诈者病毒的安全专家之一，目前已经带领团队拦截到超过80类敲诈者病毒变种。

问答精华回顾

一、与勒索木马斗争的辛酸史

1.勒索木马层出不穷，雷锋网也活捉过好几次勒索木马的受害者，想问问上次您被拖到群里和勒索木马受害者面对面是一种怎样的感受？

王亮：一直以来做的分析工作都是针对木马病毒的，更多的是一种技术性的工作，并没有太多感情因素在其中,但通过与受害者的沟通，才真切感受到他们的无奈与无助，也更加坚定了我们与木马对抗到底的决心。

那段时间挂马中招的反馈确实比较多，当时是想尽快了解一下具体情况。联系确认后，发现受害者主要是因为使用了某款没有升级的flash插件的浏览器，访问挂马页面而中招。用户在操作上并没有明显过错，只是由于访问的站点自身存在问题，使用的浏览器又没有及时更新最终造成这个结果。这里也想提醒大家，此类木马威胁离普通网民其实很近，可能一个不经意的操作就会中招。

之前我们接到过一个反馈，一家公司的职员，计算机中一直没装杀毒软件，周末时还没有关闭计算机。当他周一来公司时发现他计算机上的文件和一台文件共享服务器的文件全部被加密。我们协助追查发现，是它机器上安装的一款视频工具软件，周末时弹出了一个广告，而这个广告恰巧被植入了flash漏洞攻击代码，结果在他没有任何操作的情况下，机器上的文件被木马加密。很多时候，用户甚至没有什么感知的情况下就中招了。

2.这类受害者每年大概有多少？干这个勾搭的黑帽子群体大概有多少？

王亮：今年上半年我们拦截的敲诈者攻击超过 44 万次，下半年由于国内挂马攻击的出现，曾经出现过单日拦截敲诈者木马超过 2 万次的情况，敲诈者木马的攻击规模还在不断刷新。

目前我们抓到的敲诈者的各类变种超过 200 种，积极传播与活跃对抗的就有8个家族。根据样本行为、代码分析、攻击溯源看，攻击者来自国内、俄罗斯、日韩、美国等地，参与其中的黑产组织至少有几十个。

另外，从制作门槛上来说，敲诈者病毒的制作门槛并不高，各类加密算法都有现成的源码和库代码可以使用，只要对其原理略知一二就可以做出一款简单的敲诈者。而网上也有很多公开的勒索软件源码，对其做一些修改就能做出一款可以使用的敲诈者病毒。高利润低门槛，使得敲诈者病毒的制作团体越来越多。

3.勒索木马到底是什么时候出现的？迄今为止有多少主流版本？

王亮：此类木马有十多年历史，之前的敲诈方式是加密或者隐藏文件后要求转账或者购买指定商品，传播量和影响力不高。

最近流行的比特币敲诈者其实在 2014 年就在国外流行了，到 2015 年大量流入国内。在国内大量传播的主流敲诈者家族就有 CryptoWall , CTB-Locker ,  TeslaCrypt ,  Cerber ,  Locky ,  CryptXXX ,  xtbl 等多个家族，每个家族在传播对抗过程中又产生有多个分支版本。目前捕获的敲诈者木马超过200个版本，传播量和影响力都非常大。

4.听说你拥有长达 9 年的恶意软件查杀经验，想听听你和勒索木马的斗争经验。