我花了197万赎金买了解锁钥匙。 原来我见过这个病毒……

有安全从业者告诉雷锋网，这个病毒很可能之前就出现过。 为求证真伪，雷锋网采访了安全专家欧禾一探究竟。 据欧禾介绍，该病毒就是之前的Sodinokibi勒索病毒。

在进入题外话之前，先给大家科普一下Sodinokibi勒索病毒：它继承了GandCrab的代码结构，特点是使用随机加密后缀，加密后宿主桌面背景会发生变化到深蓝色。 它最早出现在明年4月底，前期利用web服务相关漏洞进行传播，后来发现它会冒充税务机关和司法机关，利用钓鱼和诈骗短信进行传播.

那么，他们是怎么进来的呢？

一般来说，病毒在企业网络找到突破口后，首先会通过扫描爆破等方式获取外网相对较弱主机的权限，然后上传黑客工具包进行扫描爆破或抓取密码在外部网络上。 重要服务器和PC加密，然后内容垂直连接，整个企业外网尽可能多的主机或服务器加密。

上一秒还能打开文件，下一秒，不好意思，花钱就可以访问了。 要说套路深，勒索病毒制造者首当其冲。

但万万没想到，这个勒索病毒背后还有窝点，他们是怎么合作的呢？

欧禾向雷锋网介绍，此次Sodinokibi勒索病毒的爆发，主要是因为它的产业规模，即分布式团伙作案，各司其职，按劳分配，越干越干，他们得到的越多。 首先，Sodinokibi勒索病毒运行成功后，会在主机上留下如下威胁信息，以“随机后缀-readme.txt”形式的文档形式存在：

为了方便你找他付款，他们还“贴心”地为你留下线索……

一个是暗网聊天网页，一个是普通聊天网页。 受害企业可根据自身情况联系（访问）任意链接。 访问链接后，可以通过网页聊天，设计非常专业，黑客可以与受害公司就赎金问题进行谈判。

而黑客发了财之后，还给自己找了在线保镖，负责咨询，24小时在线。 当然，在线客服没有最终定价权，最终的赎金价格由Sodinokibi勒索病毒的组织运营者老板决定。

Sodinokibi勒索病毒的要价普遍较低，大多为3到6个比特币，因此其主要针对的是企业，而且都是中小型企业。 它的攻击目的是瘫痪企业的核心业务网络，让很多受害企业感到害怕，并支付了大量的赎金。

而且因为是产业化经营，每个参与者都有相应的份额。 当受害公司将比特币转入黑客钱包后，该钱包会分批转入其他成员的钱包。

例如，攻击成功后，勒索软件分2批转移到4个钱包，分别是勒索软件作者钱包、集成平台提供商钱包、在线客服钱包、协调钱包。

勒索软件作者和集成平台提供商属于薄利多销的类型服务器中了比特币勒索病毒，每笔交易都有佣金，因此虽然单笔佣金比例低，但总额非常客观； 在线客服是按工分配的，说服一个客户提成是小的，当然不是大的，因为比较可替代，技术难度也不是很大。

每次攻击获得的赎金大部分由协调钱包分配给攻击者和组织运营者，因此单次成功后的贡献较大，任何个人或团队都可以参与不同客户的攻击活动，和销售团队类似，每完成一个订单，提西安都相当可观。 最后的大头，当然交给了组织运营者，负责打通所有环节和资源，保证平台和帮派的正常运作。

这简直就是一桩非黑即白的生意，绝对没有损失，不过雷锋网的小编们还是很好奇，难道不用支付赎金就可以通过安全技术解决问题吗？

“大概率是不可能的。在大多数情况下，黑客会使用RSA AES，对称和非对称复合加密，这种方式极难甚至无法简单破解。” 安全专家 H 说。

那么，作为受害者，我们只能坐以待毙，乖乖埋单吗？

当然不是，所以暂时企业只有两个选择，一是加强安全，二是花钱加固安全。

如何加强呢？

上控安全专家欧禾在提到公司应该做的事情时，主要有以下几种形式：

一种。 及时给笔记本打补丁，修复漏洞。

b. 定期对重要数据文件进行异地备份。

C。 不要点击来源不明的邮件附件，不要从不明网站下载软件。

d. 尝试关闭不必要的文件共享权限。

e. 更改账号密码，设置强密码，避免使用统一密码，统一密码会一败涂地，多灾多难。

F。 如果业务中不需要使用RDP，建议关闭RDP。

至于花钱加固服务器中了比特币勒索病毒，雷锋网就不用多说了。 比如雷锋网之前了解到的深信服勒索病毒防护方案，可以根据勒索病毒的感染和传播过程进行分析和防护，并联动云端进行新的威胁。 检查，实现主动防御。

接下来要说的，相信你听过无数安全从业者说过，但还是值得重复一遍：

不要访问错误的网站，不要点击错误的链接，不要下载错误的东西。

大多数互联网需求都可以在官方网站上处理。 如果您认为您的安全级别不够，请不要四处浏览。

否则，他们只能乖乖交赎金。

这是个好主意吗？,"video_count":0},"image_detail":[{"url":"https://p3 -sign.toutiaoimg.com/large/20760009e7f24942b235?_iz=31825&from=article.detail&x-expires =1705502727&x-signature=Gh6snSbhZBfq%2ByHqGt39Z8MVsw4%3D

▽有锁不上的链子吗？