恶劣帮凶！90% 勒索软件赎金通过比特币支付

随着恶意软件的性能越来越强大，黑客勒索的成功率也越来越高。而在所有的赎金勒索中，有 90%是通过比特币支付的。在勒索软件诞生 30 周年之际，比特币成为勒索赎金的首选支付方式。

2019 年 12 月，距离勒索软件的诞生刚好 30 年。30 年前，哈佛大学毕业的怪咖 Joseph L. Popp 发明了世界上第一个勒索软件。当初的他并没有意识到，30 年后的今天，勒索软件已成疯狂生长之势。

今年第一季度，黑客攻击的次数相较去年急剧增长了 118%，而且攻击对象除了常规的企业、大学和医院之外，还专门挑出州政府和地方政府的网站发行攻击，以示惩罚。

勒索软件具有如此旺盛的生命力，离不开三个共生因素：第一，人们对数字化越来越依赖；第二，黑客越来越老练，研制的病毒品种也越来越多；第三，赎金的支付形式已经普遍采用比特币或其他加密货币，难以追踪。

伴随黑客软件的功能越来越吓人，黑客的赎金要求也在不断增长。专门从事勒索软件数据修复服务的 Coveware 提供数据称，2019 年前半年，勒索赎金同比增长 184%。造成这种情况的原因除了黑客攻击次数日趋频繁外，勒索软件也出现更多新品种，比如专门瞄准大公司的 RYUK 病毒。目前，勒索软件赎金的国际平均水平基本在 4300 美金左右。

相关的数据修复专家表示，面对黑客的勒索，大多数受害者的想法是赶紧摆脱，于是就付了赎金。有报告称，很多企业已经囤积了一些加密货币，以应付未来的黑客攻击。难怪有分析称每当发生大型的黑客攻击事件，加密货币的价格也随之受到影响。

勒索软件的“30 周岁生日”

所谓勒索软件，是指这样一种病毒类型，病毒能快速通过电脑网络，对电脑文件加密，目的是以敏感文件为“人质”，胁迫用户向黑客交付赎金。

黑客们选择私人疗养院、地方基础设施供应商和市政府为目标，正是看中了他们的弱点。这些对象面对勒索时，往往没有太多的选择去应对，基本只能交钱。

今年 5 月，美国佛罗里达州里维埃拉海滩市遭遇RYUK病毒勒索，市政府不得不支付 60 万美金才解开被锁住的文件。随后的 10 月，黑客攻击了南非首都约翰内斯堡的行政网站，威胁政府如果不交付 3 万美金的比特币赎金，所盗数据将被公布在网上。最终市政府的办法也只是拒绝支付。

虽然如今的勒索软件遭人痛恨，但它诞生之初并非如此。

勒索软件的发明者是 Joseph L. Popp，毕业于哈佛大学，是一个知识怪咖。据 Popp 本人回忆，1989 年，他设计勒索软件的初衷是为了抗击艾滋病。为了募集抗艾资金，他弄巧成拙，给世界卫生组织论坛的与会代表发送了 20,000 份病毒加密磁盘。当代表们运行磁盘文件时，电脑被冻结，屏幕信息要求汇钱之后才能打开磁盘，取回电脑里的文件。

后来 Popp 被逮捕，但因为他举止异常，被视为有精神问题（据说他曾把安全套戴在鼻子上，卷发夹夹在胡须里，声称是为了防辐射），所以法庭没有追究。2006 年，Popp 死于车祸，没能来得及看到自己的发明发展壮大，搭上加密技术的快车，成为当今世界最流行的网络犯罪工具。

“相见恨晚”的缘份

很多年来，勒索软件的发展一直磕磕绊绊，没有成什么气候。但到 2012 年，勒索软件因为比特币的兴起，开始引发关注，直至势头变得一发不可收拾。黑客之所以看上去中心化数字货币，主要有两个原因：第一，加密货币很难追踪和堵截；第二，随着加密货币的类型增多，黑客的非正当收益合法化变得更容易。英国莱斯特郡德蒙福特大学的经济学教授 Edward Cartwright 接受采访说：“勒索软件和加密货币之间的联系已经不可分割，这个已经是事实，甚至可以说，勒索软件现在非常依赖加密货币，非常依赖比特币。”

Coveware 的数据显示，2019 年第一季度，比特币在所有的勒索赎金中占比高达 98%。因此，比特币几乎已成为勒索软件不可分割的一部分。

Cartwright 表示，比特币的匿名性和不可追踪性不仅让犯罪分子青睐有加，而且受害者也愿意参与其中。

勒索软件已成“产业链”

随着人们对加密货币的接受度和理解程度不断增加，勒索软件犯罪已经从原先的难得一见变成今天的普遍现象。

纽约计算机数据恢复服务商 Proven Data Recovery 的联合创始人兼首席执行官 Victor Congionti 说：“勒索软件能出现今天这种盛行的局面，加密货币发挥着非常重要的角色，这一点我非常肯定。”

Congionti 表示，有时候，受害者能赶在勒索软件病毒激活并扩散前，将侵入者扼杀于萌芽状态；当某种病毒“野蛮生长”时，也可以尝试采取逆向工程技术或者创建“解密程序”解决。不过大部分情况下，恢复文件的唯一方式只能是支付赎金，然后获取解密工具。

所以，很多像 Proven Data 这种提供数据恢复服务的公司都推出一项核心业务，就是如何帮助受攻击者接受现实，给黑客支付比特币赎金。

杀毒软件厂商 Emsisoft 偶尔也能找到让勒索软件瘫痪的方法，将暂时的解决办法免费发布在网上。但是这种办法的实现有个前提，就是勒索软件本身的设计存在漏洞，或者这种安全漏洞足以让研究者进入黑客的服务器。否则，勒索软件基本上属于固若金汤。

Congionti 说：“但大多数情况只能破财免灾了，因为勒索软件的加密技术非常坚固。要么你花钱，要么你有备份，否则没有其他办法。”

美国国土安全部的统计数据显示，自 2016 年起，全球每天的勒索软件攻击事件大约有 4000 起，每年累计达到 150 万起。难怪像 Proven Data 这样的数据恢复业务机构已经与黑客结成某种“合作”关系，他们能与黑客讨价还价。有的黑客甚至给数据恢复公司发送专门的“促销码”，如果客户成功支付赎金，凭借此码可享受一定的优惠。

Congionti 称，有时候用户支付完赎金并非万事大吉了，黑客提供的解密密钥，经常有数据或文件出现损毁或丢失的情况，必须在公司内部才能核查并追回。

黑客与公司的这种合作共生关系发展得越来越完善。有的还开发出基于智能合约的自动化方案，只有用户打完钱，病毒密码才能解开。这种方案没有协商谈判的余地，一切都在区块链上自动进行。

囤积比特币不只为“投机”

如果拒绝支付赎金，选择其他办法恢复数据，付出的经济成本可能有三倍之多。有时候，对于企业和机构来说，破解冻结账户的速度非常关键。比如，对于律师事务所等机构来说，这种因勒索病毒造成的宕机，其引发的后果甚至是致命的。

2019 年 10 月，计算机数据备份和恢复公司 Datto 调查了市面上 2400 家管理服务供应商。调查结果显示，每次勒索病毒造成宕机，公司蒙受的损失平均都在 46,800 美金，相当于赎金的 10 倍。

为了应对这种偶发事件，Proven Data 等数据恢复公司都囤积了比特币以备不时之需。Congionti 说：“囤积比特币现在也属于 Proven Data 的业务范畴。有现成的比特币作后盾，公司受到攻击后能够快速上线恢复运行。”

数据安全服务商 Code24 在 2018 年开展了另一项调查。调查显示，受攻击对象都会囤积加密货币，最大限度地减少勒索病毒造成的损失和干扰。调查发现，75%的首席信息安全官都认为，存储一定量的加密货币能让企业在潜在的意外中更加得心应手。值得注意的是，这项调查开展时正值加密货币的繁荣期，各种币值的价格都在一路攀升。

另外，保险公司的政策也进一步加剧了加密货币的囤积。勒索病毒的扩散性影响也让网络保险市场迎来一波快速增长。最新的数据显示，从 2015 年到 2017 年，美国的网络保险费翻了一番，达到了预计的 30.1 亿美元。

根据非营利性调查组织 ProPublica2019 年 8 月的报告称，保险公司也支持用户支付赎金，某种程度上间接鼓励了黑客的袭击，以获取利润。

保险行业巨头 AIG（美国国际集团）7 月发布报告称，2018 年，勒索软件成为网络保险索赔的第二大动因，而且 2019 年，该因素的权重仍会继续增长。AIG 称，虽然勒索病毒的攻击次数有所减少，但随着攻击对象越来越特定化，单次攻击造成的损失额在不断增加。黑客开始专门盯着那些财大气粗的机构进行勒索，这些机构为了降低干扰基本上也愿意支付赎金。

比特币价格的间接推手

有分析家认为勒索病毒的攻击必然影响比特币的价格变动。

Edward Cartwright 说：“每次勒索软件出现什么新闻，比特币跟着也会成为新闻焦点；当比特币成为新闻焦点，比特币就会迎来一波升值。因此，勒索软件一定程度也成为比特币价格变动的推手。”

Cartwright 认为，勒索病毒攻击造成的影响非常大，以至于我们讨论任何交易模式都必须考虑外部因素，于是有的人就会利用这种预期的价格变化。

即便如此，地方政府、企业和执法机构面对这种后果严重的勒索病毒攻击也只能束手无策。

今年夏天，面对黑客提出的上百万勒索赎金的要求，227 名美国市长联名投票拒绝支付。这种联名反对的方式可能才是最好的解决办法。

以 Proven Data 公司为代表的数据修复机构发布报告称，目前的勒索软件攻击越来越呈组织化、集团化。他们担心赎金最终会落在恐怖分子手中。地方政府支付赎金，无意间可能帮助了恐怖分子。

联手反击

政府官员认为，提升安保措施还不够，他们希望能保护城市免受勒索软件的攻击。Congionti 建议，政府还应该强制企业签署基本安全协议。

今年，美国白宫和参议院通过几个版本的议案，规定美国国土安全局要加大资源投放，帮助各州、各城市有效应对勒索软件的攻击。

各方势力应该联手发布政策，拒绝支付赎金，遏制勒索软件的肆虐。

但目前，RYUK 病毒的力量很强大，甚至轻易找到并摧毁备份文件，而且其发展仍呈上升势头，就连病毒的名字都取自日本动漫《死亡笔记》的死神，甚至有传言，RYUK 病毒起源于朝鲜政府。

从 2019 年 1 月初到 5 月底，RYUK 病毒已袭击 500 多所学校，勒索的比特币赎金已超 300 万美元。安全专家预计，2020 年，地方政府还将遭遇更多轮的勒索病毒攻击。

在勒索软件诞生 30 周年之际，这个曾经由 Joseph L. Popp 发明的小玩意儿终于克服所有的阻碍，发展成为一支不可忽视的暗黑力量。这个 30 周年的生日恐怕让人不得安生了。

原文链接：How ransomware exploded in the age of Bitcoin