花197万赎金买了解锁密钥，原来这个病毒我见过......

不过，这次这个竹杠敲得属实有点狠。网传有一家公司因勒索病毒入侵，斥 197 万巨资买了解锁密钥，才解决了危机。

【 图片来源：黑白之道 所有者：黑白之道 】

有安全从业人员告诉雷锋网，这个病毒很可能是之前已经出现的病毒，为了确定真假，雷锋网采访了深信服安全专家欧和一探究竟。据欧和介绍，这个病毒就是此前的 Sodinokibi 勒索病毒。

在进入正题前，先给大家科普下 Sodinokibi 勒索病毒：它继承了 GandCrab 的代码结构，其特点是使用随机加密后缀，并且加密后会修改主机桌面背景为深蓝色，最早出现于今年 4 月底，早期使用 Web 服务相关漏洞传播，后来发现其会伪装成税务单位、司法机构，使用钓鱼欺诈邮件来传播，但谁还没个手滑的时候呢，因此不少企业深受其害。

那么，他们是如何入侵的呢？

一般来说，该病毒在企业网络找到突破口后，先使用扫描爆破等方式，获取到内网中一台较为薄弱的主机权限，再上传黑客工具包对内网进行扫描爆破或密码抓取，选择重要的服务器和 PC 进行加密，然后尝试内容横向移动，加密整个企业内网尽可能多的主机或服务器，可谓一台失陷，全网遭殃。

上一秒文件还能打开，下一秒，对不起，花钱才能访问哦。要说套路深，勒索病毒制造者才是第一。

但万万没想到，这个勒索病毒背后还有个团伙，那么，他们又是怎么合作的呢？

欧和向雷锋网介绍道， Sodinokibi 勒索病毒的爆发主要得益于其形成的产业化规模，即分布式团伙作案，每个人各司其职，按劳分配，多劳多得。首先， Sodinokibi 勒索病毒运行成功后，会在主机上留下如下勒索信息，形如“随机后缀- readme.txt ”的文档：

为了让你更容易找到他付费，他们还“贴心”的为你留了线索.......

一个是暗网聊天网页，一个是普通聊天网页，受害企业可以根据自身情况任意联系（访问）其中一个链接。访问该链接后，可以通过网页进行聊天，设计十分专业，黑客可以与受害企业就赎金问题进行协商。

而当黑客有钱了，他们还给自己找了线上保镖，专门负责谈判，24 小时在线。当然，线上客服没有最终定价权，最终赎金价格由上级老板拍板，即Sodinokibi勒索病毒的组织运营者。

而 Sodinokibi 勒索病毒的要价普遍偏高，多数是在 3 到 6 个比特币，所以其主要攻击对象是企业，并且是中大型企业，其攻击目的是瘫痪企业核心业务网络，因此很多受害企业迫于无奈交了不少赎金。

并且由于其为产业化运作，故每个参与者都有相应的分成。当受害企业向黑客钱包转入比特币的时候，此钱包会分批次转入其它成员的钱包。

例如，某次攻击成功后，将赎金分 2 批转给了 4 个钱包，分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。

勒索病毒作者、集成平台提供商属于薄利多销型，每一笔交易都有提成，所以单次提成比例虽低，但总数是非常客观的；线上客服按劳分配，说服一个客户，就有一小笔提成，当然大头不在他们，因为他们可替代性比较强，技术难度也不大。

每次攻击所得的赎金，大头由统筹钱包分配给了攻击者和组织运营者，所以单次成功后的贡献比较大，而任何个人和团队都能参与到不同客户的攻击活动中来，类似销售团队，每成一单，提成都比较可观。最后的大头，当然给了组织运营者，其负责拉通各个环节和资源，保障平台和团伙的正常运作。

这简直就是一个黑吃黑且绝对不亏的买卖啊，但雷锋网(公众号：雷锋网)编辑还是很好奇，有没有可能通过安全技术不花赎金解决问题？

“大概率是不能的，大多数情况下，黑客都会采用 RSA+AES ，对称与非对称复合加密的方式，单纯破解难度极大，甚至是不可能的。”深信服安全专家H说。

那么，作为受害者我们只能坐以待毙，乖乖掏钱吗？

当然不可以，所以为今之计企业只有两个选择，一是安全加固，二是花钱安全加固。

怎么加固呢？

深信服安全专家欧和谈到企业自身应该如何做时，主要方式有：

a、及时给电脑打补丁，修复漏洞。

b、对重要的数据文件定期进行非本地备份。

c、不要点击来源不明的邮件附件，不从不明网站下载软件。

d、尽量关闭不必要的文件共享权限。

e、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

f、如果业务上无需使用 RDP 的，建议关闭 RDP 。

至于花钱加固，就不用了雷锋网多说了吧，比如雷锋网之前了解过的深信服勒索病毒防护方案，能够基于勒索病毒的感染传播过程进行分析和防护，并联动云端进行新型威胁的检测，实现主动防御。

接下来说的话，相信你听无数安全从业人员都说过，但依旧值得重复一遍：

别上不该上的网站，别点不该点的链接，别下不该下的东西。

大多数上网需求，都可以在正规网站上搞定，如果觉得自己安全水平不够，就别瞎逛。

否则，只能乖乖交赎金。