支付500万美元，为什么连FBI都无法解开美国Colonial管道公司的勒索软件密码? – 作者:monicazhang

最近沸沸扬扬的美国Colonial Pipeline Network这家公司, 上周五，被称为“Darkside”的黑客组织入侵，种植了勒索软件病毒。

该公司被迫关闭了四根连接美国东部与东南部的主要石油输送管道。由于当地居民恐慌性加油，导致油价上涨，部分加油站弹尽粮绝。交通部门不得不发布紧急命令同意使用卡车输送油料应急。

美国专门用来查询本地加油站APP GasBuddy，还一度因查询人太多，崩了。但是即使FBI介入调查，拜登政府高度关注此事，但是最终结果是这家公司支付了500万美元赎金以求恢复系统。

而且，目前看没有人能够破解这个勒索病毒，FBI也不行！

什么是勒索软件病毒？

勒索软件病毒是一种存在已久的黑客工具。具体症状就是中毒后的电脑或手机，如果打开，就会跳出来类似如下图的警告。

这时候无论如何点击文件，都无法打开。要求输入正确的密码。

说白了，这个病毒其实就是一个加密工具。类似家里的门上锁了，密码不对就无法打开门。一般都是针对整个硬盘加密。而且赎金现在基本都是要求以比特币支付。

为什么连FBI都无法解开？

FBI不是很牛吗？全球最厉害的顶尖安全高手都在美国了。为啥都无法破解勒索病毒？

到底勒索病毒是如何制作的？

第一阶段：黑客长期潜伏，监控邮件、社交媒体等。直到有机会发现漏洞，例如443端口开放，从远程登录植入该病毒。

第二阶段：勒索病毒采用一种叫做Salsa20（有时是类似算法的Chacha）对称加密算法，对所在的硬盘上的数据进行快速加密，并生成对称密钥。

第三阶段：然后再使用非对称加密算法RSA-2048（有时是RSA-1024）算法的公钥加密这把对称密钥。

第四阶段：直到受害者点击发现无法打开文件，跳出告示，要求支付赎金方可拿到解密的私钥。

FBI虽然很牛，但是勒索病毒是利用密码算法来实现的。在数学面前，所有人都是平等的。

Salsa20算法有20轮加密，目前为止采用超级计算机，只能破解到第8轮。

RSA-2048算法，密钥长度是2048字节，采用超级计算机破解，需要80年。

所以，FBI再牛，也只能干瞪眼了。

那没有其他办法了吗？有，据说已经证明了2000个量子位的量子计算机可以将破解速度从80年变成8小时。不过目前这样的量子计算机要拿到Colonial管道公司去破解，估计费用也要超过500万的赎金了。

为什么勒索病毒要两轮加密？因为使用对称加密算法速度非常快，可以最快的速度将尽可能多的硬盘数据加密。当受害者被发现中毒时候，已经有大规模数据被加密了。

为什么又再使用RSA-1024进行加密这把密钥呢？因为黑客拿到赎金后，需要将密钥安全的发给被勒索的人，不被其他人中间截获。最好的方式，就是使用非对称加密算法。非对称加密算法产生的公钥、私钥对就像是一劈为二的钥匙。只有两把钥匙对上了，才能解开。即使有其他人中间偷走了其中一把，也没有用。

勒索软件是一门好生意

以前吃瓜群众谈到黑客攻击，都是定位在遥远的传说。例如发生在伊朗、俄罗斯等等遥远的国度，然后半信半疑的看着美国抨击这些黑客攻击都是出于政治目的。

但是，现在黑客们早已经不感兴趣所谓的政治打击，天天忙着自己的生意。赚钱的生意才是好生意，而勒索软件是最好的生意。

目标中招后无人能够破解，唯一的解决的方法就是给赎金拿密钥。这赎金搁在以前，必须用美元支付，无论是现金还是电子汇兑都有可能被跟踪，黑客最怕被反跟踪这种风险高的事情。但是，现在全球可以通兑的比特币，都是匿名加密支付，谁也不知道支付给了谁。

了无痕迹。这就是最好的支付勒索金的方式。比特币为什么一直这么坚挺的原因，就是因为它是公认的最好的洗钱方式。

当被问及这次攻击组织Darkside的动机时，该小组在社交媒体上回答说他们的目标是财务。 “我们不关心政治……我们的目标是赚钱，而不是给社会制造问题。”

普通人的电脑有可能中这个病毒吗？

可能，很有可能，非常大的可能！！！我们团队在去年不到6个月时间，就接到不少于3位朋友的求助信息，咨询有公司的电脑中了勒索病毒，能不能解决？这些公司典型特征：

1、公司规模不大，基本没有安全措施，更谈不上安全专职人员。

2、索要赎金不高：费用大约在1～2个比特币，美金大约6000～2万左右。

3、加密的大部分是财务数据或者生产数据。

总结：这些黑客早已经潜伏了一段时间，知晓中小企业的安全防范措施弱，人员意识水平低。最关键一点：这些企业能够支付得起这笔勒索金，也愿意为数据支付费用。

如何防范？

当我们明白勒索软件是连全球安全能力最强的FBI都无法破解后，靠谱的防范方法就非常明确了。

1、备份是最好的方法。既然无法解密，那就从其他地方恢复数据吧。

2、电脑打补丁，及时到Windows等操作系统网站更新最新补丁。

3、关闭远程访问端口。当然这是需要一定的网络技术能力。

4、实施零信任框架。这适合于有钱的企业。对于每一个接入都需要进行鉴别与认证。

5、有钱有人的公司还可以做红蓝对抗来模拟黑客攻击，检测自身防御能力。

当然，安全投入是个无底洞，选择性价比最合适的方法就好了。

来源：freebuf.com 2021-05-18 15:11:24 by: monicazhang