安全专家访谈：Jornt van der Wiel谈论勒索软件

在处理CryptXXX勒索软件加密问题的说明中，你提到除了加密的文件外，还需要用到未加密的文件。该软件的主要功能到底是什么呢？如果我手上有未加密的文件，那我根本不需要解密工具…

这个问题问得好，很高兴有人提这个问题。这表示我们的表述有待进一步提高。该勒索软件在加密你的所有文件时，都使用了同一个密钥。打个比方，你有1000个文件被加密，所有这些被加密的文件中，只有一个存有原始文件—比如，你发给别人邮件中的图片附件。你只要将这一个文件放入我们的解密工具，就能自动生成解密密钥，随后用这一密钥解密其它999个文件。因此那个原始文件相当重要。

勒索软件是不是只有加密文件的恶意软件一种？

除了这一种外，还有锁住计算机的勒索软件。但这类勒索软件通常很容易清除，因此流行程度远不如加密文件的那种。如果你想要了解更多有关锁住计算机的勒索软件及应对方法，请访问我们的博客阅读这篇专题博文。

从国际媒体的报道来看，解决勒索软件问题就像猫捉老鼠的游戏。每次找出一个解决方案，你的对手就试图绕过它。真实情况是否真的如此？

实际情况并不是这样。我们的系统监视组件始终监视着运行进程的行为，完全可以检测出遇到的大多数新型勒索软件攻击—甚至是那些来自未知勒索软件的攻击。我们的系统监视器几乎很少有失手的时候。我们添加入新的行为特征也能使监视组件捕捉到新型攻击。再次重申，失手的情况极少发生。

由于犯罪分子索要比特币作为赎金，因此很难追踪。到底能不能追踪并找到这些犯罪分子呢？

事实上，追踪比特币交易并不难；因为交易信息都记录在了区块链中。区块链就是比特币的本质—你可以追踪任何交易。你不知道的只是交易背后的人是谁。因此，执法机构完全可以追踪到比特币流入了哪个钱包，只是需要找出钱包的主人。

“混币器”就是不法分子专门用来洗白比特币的工具，作用是防止自己被追踪。可以将”混币器”看做一台机器，你将许多比特币倒入其中，随后开始互相交换，这样你根本分不清哪些比特币是谁的。比如，我是受害人，需要向某个钱包支付1个比特币。在支付完成后，即进入了”混币器”。这枚比特币与其他人的比特币进行交换。因此到最后，你根本不知道你追踪的是不是最开始的那枚比特币。我想你也猜得到，这种情况时有发生。

互联网上有不少这方面的研究（搜索Google可以发现很多），说明追踪还是有可能的。简单来说：有时的确可以通过追踪交易找到那个钱包，但这并不容易—即使你找到了钱包，执法部门还必须与比特币交易平台合作，找出钱包主人的登录凭证。

总共花了几年时间才发现CoinVault并找到它的作者？

自从熊猫安全公司的Bart发推文说找到了另外两个CoinVault样例，人们才开始了解CoinVault。但事实证明这两个样例并非是CoinVault，但显然与该勒索软件有关。我们因此决定专门写一篇有关它的专题博文，并创建了CoinVault演变过程的时间轴。当我们写完90%的内容后，我们将这篇”半成品”文章发给了国家高科技罪案组（NHTCU）。

我们写完这篇文章后，发现了一些线索：直接指向两名嫌疑犯。我们立即与NHTCU分享了这一信息。从Bart发推文到这一发现之间最多只有1个月的时间，当然我们并没有将所有时间都花费在这篇博文上—还有其它的工作要做。在我们文章发布后，NHTCU又花了半年多的时间立案彻查，最终于去年九月份成功逮捕了这伙犯罪分子。

网络犯罪分子能从勒索软件中赚多少钱？

很好的问题，但比较难回答。我们只能确定追踪到的所有比特币交易进入某个钱包的资金。或者当警方缴获一台命令与控制服务器后，从中可以找到支付信息。其实你自己也可以计算，比方说有个犯罪分子成功感染了25万名受害人（对于那些大规模攻击活动，这一数字相当接近实际）。假设犯罪分子向每名受害人索要200美元赎金（现实中，平均在400美元左右）。就算只有1%的受害人支付，那总收入也能达到50万美元。

局域网内如果有一台PC电脑感染了勒索软件，那是否会传播至网内装有相同操作系统的其它电脑上呢？单个勒索软件能感染不同的操作系统吗？

至于第二个问题：如果目标是网络服务器的话，单个勒索软件完全可以感染不同的操作系统。例如，勒索软件就能将运行存在漏洞的内容管理系统（用PHP编写）的服务器作为攻击目标。该勒索软件能感染拥有网络服务器（安装PHP）的Windows计算机。然后扫描互联网的其他部分以寻找其他计算机继续进行感染。下一台计算机可能运行Linux系统—但肯定装有PHP网络服务器。概括来说，我的答案是：没错，的确存在多平台勒索软件。

下周，我们将继续公布剩下的Jornt问答内容。