揭秘网络勒索|网络勒索

　　早在今年春节期间，某网友发现磁盘上所有数据全丢了。同时一个神秘的QQ号要求添加好友，主动提出“帮助”用户进行数据恢复，但是要支付“手续费”500元。 　　本刊今年15期中曾详细分析“敲诈者”病毒，它是国内第一个通过恶意隐藏用户文档进行敲诈的病毒术。通过分析病毒的勒索过程，我们成功清除掉病毒并找回“丢失”的资料。
　　只有这个病毒会敲诈勒索吗？回答当然是否定的，黑客还可以通过专业的加密软件来进行敲诈勒索。正应了那句老话，高科技是一把双刃剑，我们在享受专业加密工具带来的方便时，黑客也看到了它们的价值，想出了用加密软件隐藏用户文档进行敲诈勒索的方法，正所谓：成也萧何，败也萧何。
　　
　　怎么进来的？
　　入侵远程计算机想要入侵一台远程计算机并不难。在网页上挂木马就是常见方法之一，如利用微软MS06014漏洞挂马，当网友访问该网页后就可能被安装木马程序。通过远程溢出漏洞入侵也很常见，比如利用微软MS06040漏洞（图1），得到远程SHELL后上传木马程序，从而实现入侵。
　　安装加密软件
　　接着，黑客会通过木马的客户端程序连接远程的服务端，连接完成后通过“文件管理”命令对远程计算机的磁盘进行查看，并上传加密软件（图2）。接着通过“屏幕监控”功能查看远程桌面是否存在变换，进而判断用户是否正在被使用。如果没有，就马上通过控制鼠标后进行加密软件的安装。
　　进行敲诈勒索
　　有的木马程序带有搜索的功能，可以轻易帮助黑客找到需要的文件，如Word文档、Excel文件等。当然有的黑客会利用社会工程学，根据用户的习惯来进行查找，比如人们都习惯将文件存放到“我的文档”目录中。
　　找到有价值的文件后，就通过加密工具对其进行加密或隐藏，然后在系统的显要位置留下黑客的联系方式，进行敲诈勒索。
　　
　　抢救“被绑”的文档
　　这种敲诈的针对性很强，不像“敲诈者”病毒可以在网上找到专杀工具，只有手工查找并清除。
　　寻找“绑架”元凶
　　当发现敲诈信息的时候，首先应该断开网络连接，这样可以防范黑客通过木马监控你的一举一动。接着要分析自己的文件资料是被哪种程序“绑架”的，是病毒、加密软件，还是其他类别工具。如果是加密软件的话，我们可以从系统桌面或“程序”菜单中或注册表中找到加密软件的详细信息，比如软件名称等。
　　了解加密原理
　　在确定“绑架”元凶以后，可以到其他的电脑上进行测试这个软件，并且了解它的加密原理。这里以《高强度文件夹加密大师》为例，它有本机加密、移动加密、隐藏加密三种方式（图3），每种加密方式都采用了不同的原理。
　　比如“本机加密”这种方式，加密成功后我们会发现被加密的文件夹的属性发生了变化，加密文件被移到了其他目录中（图4）。通过对加密前后的磁盘分区大小对比，发现大小并没有多大的变化，说明文件还放在该磁盘分区中。
　　查找被“绑架”的文件转移到的目录。通过Windows系统的查找功能很难查找到，这时DOS命令就体现出它们的强大之处了。我们可以在命令提示符窗口使用DIR、CHKDSK等命令进行分析查找，结果发现《高强度文件夹加密大师》将文件转移到该分区的“RECYCLER”目录里面（图5）。
　　
　　破解加密软件
　　查找到被绑文件的下落以后，我们就可以将文件“抢救”出来。常见的方法包括在命令提示符窗口使用COPY、XCOPY等命令将其复制出来；或者通过一些特殊的工具将其复制出来，比如IceSword。
　　IceSword是一款功能十分强大的木马检测工具，由于使用了大量新颖的内核技术，使得各种隐藏技术躲无所躲。运行IceSword，单击左侧的工具栏中的“文件”选项，进入磁盘中的回收站目录。找到被绑的文件后，选择右键中的“复制”命令即可将这些文件复制到磁盘的其他目录中即可（图6）。
　　小结
　　最后提醒大家，如果遇到此类的勒索攻击，在没有把握的情况下不要对硬盘做任何操作，应该及时向专业人士进行求助，以确保能够找回丢失的文件资料。同时应该及时报警，向警方提供黑客留下的ＱＱ、电子邮件、银行账户等犯罪信息。这样不但保护了自己的资料文件，也能便于将犯罪嫌疑人抓住。
　　本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。 本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文