恶意勒索软件加密受害者的文件,要受害者支付比特币赎金才能赎回,在网上这种现象已经成为一种越来越普遍、越来越强的威胁。但是,许多网民并不知道勒索软件也可以很容易的夺取存储在云端文件的控制权。

Toni Casala的公司Children in Film，该公司的整个运营管理应用都托管在加利福尼亚的一个云服务公司，从QuickBooks到Microsoft Office和Outlook。员工们使用Citrix连接到云端和托管公司的应用程序，将云驱动作为用户硬盘上的本地磁盘使用。

“我们喜欢这种方法，”Casala说。“这能够保证本地电脑有足够的空间工作，而且跟专门雇佣IT员工比起来，用托管云服务要便宜得多。当我们需要支持时，他们总能很快响应，我们的服务器并没有被外包给印度的一些呼叫中心。”

该公司一直使用云服务。新年前夕，一名员工点开了一封似乎是发票的电子邮件，30分钟以后， Casala的公司再没有人可以访问任何存储在云服务器上公司4000 +的文件。

“有人在我的办公室登录到Outlook，打开了发票附件和BAM!在30分钟内，我们的Q驱动器上的每一个文件都有一个“VVV”添加为文件扩展名，”Casala说。每一个文件夹里都有一个名叫“help.decrypt”的文件，上面写着攻击者对怎样支付赎金的指示。

Casala的公司所使用的云服务商是保持日常备份的，但她表示公司仍然花了一个星期才全部恢复了被劫持的文件。云服务商告诉她说，该恶意软件还中断了同一台服务器上其他用户的作业。

Casala说她的公司有几点幸运之处。首先，这一感染正巧发生在她的公司要关闭业务休年假之前，因此此次受攻击中断业务造成的影响要比其他时候小得多。更重要的是，对他们文件进行加密的恶意程序(一种被称为TeslaCrypt的病毒)有一个编码弱点，使得安全和防病毒厂商能够帮助受害公司解密文件，而不用去支付赎金。用户们在电脑帮助论坛BleepingComputer上创造了TeslaDecoder，它能让受害公司解密被TeslaCrypt加密的文件。

Casala说，托管公司在服务器上安装了杀毒软件，但恶意勒索软件绕过了杀毒软件的防御。这是因为骗子们给了该勒索软件设计者一种恶意程序来逃过杀毒软件的检测。若想了解网络罪犯究竟如何实现这一点，请参阅《Antivirus is Dead: Long Live Antivirus》。

对这种勒索软件最好的防御就是每天都做数据备份——最好在一个不总联网的设备上。

但这总是说起来容易做起来难，尤其是对那些小型企业。对于那些没有备份可依靠的勒索软件受害者而言，是否要支付赎金赎回文件取决于被加密劫持的文件有多重要，以及丢失的文件价值是否超过赎金(通常只有几百美元的比特币)。

许多读者很难相信在受害者支付赎金后，勒索软件操纵者是否真的会将加密文件还原。

但是执行这些计划的勒索者明白：如果受害者在支付赎金后没有得到恢复文件，愿意付赎金的受害者会更少;更重要的是，如果勒索者对每个受害人索要太多，最终支付的受害者也会更少。

也就是说，勒索软件是计算机代码，甚至是恶意软件的程序员犯错误。几乎每隔一段时间，骗子就会发布有重要编程错误的勒索软件新版本，使得受害者即使交了赎金文件也不能恢复。

这种勒索诈骗正变得越来越普遍的一大原因，是因为有插件的播放工具和服务使用范围的扩散，这使网络犯罪集团很容易就能够形成。本月初，安全厂商Emsisoft公布了一个正在地下销售的名叫Ransom32的犯罪服务产品。它有迷人的外观，可以使任何人只要提供一个接收受害者赎金的比特币地址，就能开始他们的勒索活动。

 

“在您键入您的比特币地址后，您将获得基本的管理面板，”该公司解释说。“在管理面板，您可以得到各种统计信息，比如有多少人已经支付或有多少系统被感染。您还可以配置您的“客户端”(他们称呼恶意软件的术语)，可以改变索要比特币赎金的数目，以及一些配置参数，例如应该在恶意软件安装过程中显示的假消息框等等。”

据安全厂商Emsisoft描述，ransom32犯罪软件提供的服务还包括一个功能，就是解密一个文件，以表明恶意软件制造者有能力解密。

据笔者看来，勒索攻击的增长空间很大。笔者希望那些有能力创建和管理自己的勒索活动的罪犯，最终能做一个更好的工作——那就是花额外时间来想想加密勒索的文件究竟价值多少，并调整相应的赎金要求。

如果你或你的公司被恶意勒索软件勒索，请拒绝支付赎金。尝试深呼吸，然后登陆电脑帮助论坛BleepingComputer的勒索去除模块，这可能使你不用支付赎金就能恢复文件。

原文链接：http://krebsonsecurity.com/2016/01/ransomware-a-threat-to-cloud-services-too/

(责任编辑：安博涛)