早在今年春節(jié)期間，某網(wǎng)友發(fā)現(xiàn)磁盤上所有數(shù)據(jù)全丟了。同時一個神秘的QQ號要求添加好友，主動提出“幫助”用戶進行數(shù)據(jù)恢復(fù)，但是要支付“手續(xù)費”500元。

本刊今年15期中曾詳細分析“敲詐者”病毒，它是國內(nèi)第一個通過惡意隱藏用戶文檔進行敲詐的病毒術(shù)。通過分析病毒的勒索過程，我們成功清除掉病毒并找回“丟失”的資料。

只有這個病毒會敲詐勒索嗎？回答當(dāng)然是否定的，黑客還可以通過專業(yè)的加密軟件來進行敲詐勒索。正應(yīng)了那句老話，高科技是一把雙刃劍，我們在享受專業(yè)加密工具帶來的方便時，黑客也看到了它們的價值，想出了用加密軟件隱藏用戶文檔進行敲詐勒索的方法，正所謂：成也蕭何，敗也蕭何。

怎么進來的？

入侵遠程計算機想要入侵一臺遠程計算機并不難。在網(wǎng)頁上掛木馬就是常見方法之一，如利用微軟MS06014漏洞掛馬，當(dāng)網(wǎng)友訪問該網(wǎng)頁后就可能被安裝木馬程序。通過遠程溢出漏洞入侵也很常見，比如利用微軟MS06040漏洞（圖1），得到遠程SHELL后上傳木馬程序，從而實現(xiàn)入侵。

安裝加密軟件

接著，黑客會通過木馬的客戶端程序連接遠程的服務(wù)端，連接完成后通過“文件管理”命令對遠程計算機的磁盤進行查看，并上傳加密軟件（圖2）。接著通過“屏幕監(jiān)控”功能查看遠程桌面是否存在變換，進而判斷用戶是否正在被使用。如果沒有，就馬上通過控制鼠標(biāo)后進行加密軟件的安裝。

進行敲詐勒索

有的木馬程序帶有搜索的功能，可以輕易幫助黑客找到需要的文件，如Word文檔、Excel文件等。當(dāng)然有的黑客會利用社會工程學(xué)，根據(jù)用戶的習(xí)慣來進行查找，比如人們都習(xí)慣將文件存放到“我的文檔”目錄中。

找到有價值的文件后，就通過加密工具對其進行加密或隱藏，然后在系統(tǒng)的顯要位置留下黑客的聯(lián)系方式，進行敲詐勒索。

搶救“被綁”的文檔

這種敲詐的針對性很強，不像“敲詐者”病毒可以在網(wǎng)上找到專殺工具，只有手工查找并清除。

尋找“綁架”元兇

當(dāng)發(fā)現(xiàn)敲詐信息的時候，首先應(yīng)該斷開網(wǎng)絡(luò)連接，這樣可以防范黑客通過木馬監(jiān)控你的一舉一動。接著要分析自己的文件資料是被哪種程序“綁架”的，是病毒、加密軟件，還是其他類別工具。如果是加密軟件的話，我們可以從系統(tǒng)桌面或“程序”菜單中或注冊表中找到加密軟件的詳細信息，比如軟件名稱等。

了解加密原理

在確定“綁架”元兇以后，可以到其他的電腦上進行測試這個軟件，并且了解它的加密原理。這里以《高強度文件夾加密大師》為例，它有本機加密、移動加密、隱藏加密三種方式（圖3），每種加密方式都采用了不同的原理。

比如“本機加密”這種方式，加密成功后我們會發(fā)現(xiàn)被加密的文件夾的屬性發(fā)生了變化，加密文件被移到了其他目錄中（圖4）。通過對加密前后的磁盤分區(qū)大小對比，發(fā)現(xiàn)大小并沒有多大的變化，說明文件還放在該磁盤分區(qū)中。

查找被“綁架”的文件轉(zhuǎn)移到的目錄。通過Windows系統(tǒng)的查找功能很難查找到，這時DOS命令就體現(xiàn)出它們的強大之處了。我們可以在命令提示符窗口使用DIR、CHKDSK等命令進行分析查找，結(jié)果發(fā)現(xiàn)《高強度文件夾加密大師》將文件轉(zhuǎn)移到該分區(qū)的“RECYCLER”目錄里面（圖5）。

破解加密軟件

查找到被綁文件的下落以后，我們就可以將文件“搶救”出來。常見的方法包括在命令提示符窗口使用COPY、XCOPY等命令將其復(fù)制出來；或者通過一些特殊的工具將其復(fù)制出來，比如IceSword。

IceSword是一款功能十分強大的木馬檢測工具，由于使用了大量新穎的內(nèi)核技術(shù)，使得各種隱藏技術(shù)躲無所躲。運行IceSword，單擊左側(cè)的工具欄中的“文件”選項，進入磁盤中的回收站目錄。找到被綁的文件后，選擇右鍵中的“復(fù)制”命令即可將這些文件復(fù)制到磁盤的其他目錄中即可（圖6）。

小結(jié)

最后提醒大家，如果遇到此類的勒索攻擊，在沒有把握的情況下不要對硬盤做任何操作，應(yīng)該及時向?qū)I(yè)人士進行求助，以確保能夠找回丟失的文件資料。同時應(yīng)該及時報警，向警方提供黑客留下的ＱＱ、電子郵件、銀行賬戶等犯罪信息。這樣不但保護了自己的資料文件，也能便于將犯罪嫌疑人抓住。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。