近日,Wannacry勒索蠕虫病毒席卷全球。从5月12日晚开始爆发,已经有100多个国家受到攻击,国内也有大批高校、医疗、政府机构中招。
这并不是勒索软件第一次发威。
-
2016年11月旧金山交通系统被勒索软件感染,超过2000台计算机被黑,黑客要求73000美元赎金,整个地铁售票系统停运,旧金山交通局只能直接开放检票口让乘客免费乘坐地铁。
-
此前加利福尼亚大学洛杉矶分校医疗系统和好莱坞长老会医疗中心也先后遇到勒索软件:黑客使用勒索软件攻陷了医院电脑系统,并锁定其中的文件,导致不能查看电子病历,甚至连邮件都无法收发。黑客索要数百万美元提供代码解锁。
-
2016年,勒索软件以500万次的攻击数量被冠以“病毒之王”的称号。随着网络发展,勒索软件还将扩展可攻击的范围,有向物联网、工控,以及云计算平台扩散的趋势。
那么,勒索软件到底是什么?
做为法律人,如何应对网络犯罪这一新趋势,本文就此做一个简要介绍。
勒索软件(ransomware)是通过各种手段传播的一种木马病毒,感染受害者电脑或移动设备后,采用修改密码、加密文件等方式,使用户数据资产或计算机资源无法正常使用,并以此为条件
勒索钱财
。
被加密的内容
包括文档、邮件、数据库、源代码、图片、压缩文件等多种形式。
赎金
包括真实货币、比特币或的其他虚拟货币。一般来说,勒索软件编写者还会设定支付时限,赎金随时间推移上涨。有时受害者即使支付了赎金也可能拿不到文件。
例如WannaCry就是这样,它并没有通过指定唯一比特币地址的方式,自动验证特定受害者是否支付了索要的300比特币赎金,意味着入账支付动作没有标识信息可供自动化解密过程。这种设置导致被害人即便支付了赎金,罪犯也无法解密电脑。
最早的勒索软件出现于1989年,名为
“艾滋病信息木马”
。该木马通过替换系统文件,在开机时计数,一旦系统启动达到90次时,该木马将隐藏磁盘的多个目录,C盘的全部文件名也会被加密,从而导致系统无法启动。此时,屏幕显示信息声称用户的软件许可已过期,要求邮寄189美元以解锁系统。
2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。
2013年出现的CryptoLocker是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件,可以感染大部分Windows操作系统。
它利用AES-256算法加密带特定后缀名的文件,然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。由于C2服务器建在Tor网络中,这让解密很困难 。使用CryptoLocker的黑客会威胁受害者说,如果没在3天内收到赎金,私钥就会被删除。
从上述勒索软件进化历史可以看出,勒索软件主要分为以下两类:
一是锁定系统类 (Winlocker)
,即锁定受害者系统屏幕,影响用户对系统的正常使用,并要求用户支付赎金才能解锁取回系统的控制权。这种勒索软件危害相对较小,因为其对于系统没有任何伤害也不会丢失任何信息。
二是加密文件类
,即对大多数类型的个人文件进行加密,并采用恐吓、夸张的语言来表达勒索诉求。这类勒索软件较前一类勒索软件要险恶得多,因其采用了高强度、复杂的加密算法锁定用户文件,解锁过程非常困难,并且部分受害者在按照要求支付赎金之后还是会面临丢失信息以及二次敲诈的风险。
总体而言,勒索软件是病毒的一种,但又不同于一般的病毒。病毒的对象是系统程序和应用程序,通过漏洞、邮件等方式感染后仍可带毒运行。而勒索软件的对象是数据文件资料,通过邮件、可移动存储介质传播,也可借助网页木马,或与其他恶意软件捆绑发布。这类犯罪行为的特点可以概括为:
勒索软件大多针对的是数据文件资料,感染期间用户难以察觉,直到已被感染或需要处理相关资料时,才会发现。由于勒索软件病毒往往是被害人电脑中招后才能发现,且勒索金额多数要求使用比特币支付,有关部门的事前监管和事后追查的难度相当大。
根据FBI网络犯罪投诉中心发布的报告,2014年收到关于勒索软件的投诉为
1402
例,2015年共收到2453起勒索软件犯罪的被害人投诉,涉及损失
160万
