从中招到妥协——Locky电脑勒索病毒 中毒记录

作者：jelly仔

大家好，我是Jelly仔，这次我要晒的是一种电脑病毒——Locky，这应该算是 #全站首晒# 吧。

一、背景

3月1日的晚上，我实习下班回到宿舍，浏览了一会张大妈上的原创，正准备打开Eclipse撸毕业设计。打开Eclipse后，没状态，继续上网，无意中打开了京东大乐豆的页面，大乐豆类似于一元夺宝的玩法，只是可以使用京豆支付押注。看到PaperWhite 3，就随便压了300京豆，运气嘛，从来没中过。

二、中招过程

过了一会，有个高中同学微信向我发来了一份压缩文件，让我这个搞开发的看看是什么内容。

是这样的，我的同学前几天在订了张去泰国的机票，然后就收到了一封邮件。订单要延误？他就吓尿了，以为出现了什么情况，看到有个附件就下载下来，看看什么回事。

但这个附件里面只有一个.js文件，他看到一堆代码深感不明觉厉，于是就召唤我了…

刚开始我并不知道这文件的来源，以为是他们的业务文件，我于是从电脑上解压后，随手就双击了一下，发现只是闪了一下命令行界面就没有反应（这尼玛恶梦就开始了…），作为程序员，于是就本能地右键打开Notepad++，看源代码。

可这代码也是看得我一头雾水，里面还夹杂着ASCII转义字符，我转码后发回给他，他仍然一脸懵逼，我也一脸懵逼，然后就不管了…

万万没想到，一个可执行程序已经在后台悄悄地运行，对我整个硬盘的文件遍历加密。直到我听着音乐发现音乐播放不顺畅，检查后台进程才发现有个陌生进程正在以100%的CPU占用率在运行，岂有此理，这什么鬼，马上结束掉这进程！

可是已经为时已晚，我回到桌面时就发现一个.txt文件，里面写着大概意思是：您（真有礼貌啊擦）的电脑里面的文档已经通过RSA-2048和AES-128进行了加密，若想解救这些文档，请打开下面的链接，按照我们说的去做。如果您打算自行解决的话，您可以看看关于RSA加密的相关技术，我们劝您还是不要做这些无用功了，只有我们能提供解密密钥，哇哈哈哈！！！……

我开始方了，这时我打开Eclipse看里面的程序还能显示，但已经无法保存，说明源文件已经损坏。往硬盘里面一翻，我大学四年来的各种资料、文档、照片、电影（不是那种大姐姐电影…），全特么被加密了，要是这些东西都没了我可是欲哭无泪啊。不行，我觉得还可以拯救一下，于是开始上网找解决方案。

三、病毒分析

真是不查不知道，一查吓一跳。我这次感染的电脑病毒名字叫Locky，今年2月开始陆陆续续侵染各大电脑，主要是通过邮件附件的途径传播，Locky是一种勒索型病毒，用户误点运行后，就会对用户电脑全盘文件进行遍历加密。其加密算法正是其所说的RSA和AES算法，所有被加密的文件均被命名为一个32位字符串的.locky后缀的文件，并在每个文件夹里留下一个
_Locky_recover_instructions.txt文本文件，向用户宣示文件已被劫持。

这个病毒的前身是CryptoWall，CryptoWall已经发展到4.0版本，同样是类似的勒索方法，思科曾经针对CryptoWall推出了一个恢复文件的程序，但很快这个bug就被CryptoWall官方修复了，继续在互联网上猖獗横行。

关于RSA算法，是目前安全性最高的算法之一，RSA算法是第一个能同时用于加密和数字签名的算法。大概的原理是，先设计一对公私密钥，以进行加密解密，然后使用公钥将文件进行转换成指定编码，再进行加密。收到加密文件后，要想解密，必须获取私钥，方可将加密后的字符编码恢复成源文件。之所以RSA算法如此难以破解，首先，它的加密深度较高，支持生成1024、2048位长度的密钥，相比之下MD5才16、32位弱爆了。其次，涉及到高等数学知识我这个学渣编不下去了，请看引用：

在RSA密码应用中，公钥KU是被公开的，即e和n的数值可以被第三方窃听者得到。破解RSA密码的问题就是从已知的e和n的数值（n等于pq），想法求出d的数值，这样就可以得到私钥来破解密文。从上文中的公式：d ≡e-1 (mod((p-1)(q-1)))或de≡1(mod((p-1)(q-1))) 我们可以看出。密码破解的实质问题是：从Pq的数值，去求出(p-1)和(q-1)。换句话说，只要求出p和q的值，我们就能求出d的值而得到私钥。

当p和q是一个大素数的时候，从它们的积pq去分解因子p和q，这是一个公认的数学难题。比如当pq大到1024位时，迄今为止还没有人能够利用任何计算工具去完成分解因子的任务。因此，RSA从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。

然而，虽然RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何。

侵入电脑后，该病毒会：

1、伪装成svchost.exe系统文件,并将自己添加到系统启动项。

2、对硬盘文件进行加密，但并不是所有文件都加密，为了保证系统仍然可以正常运行，不加密系统盘的系统文件夹的文件，如ProgramFiles、Windows等等，只加密指定后缀的文件，这些文件一般是我们的文档、照片、视频、以及专业软件的生成文件，如：.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg.vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif.raw .cgm .jpeg .jpg .tif .tiff .NEF .psd NaNd .bat .sh .class .jar .java .rb.asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf.ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay.ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm.pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx.xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp.602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf.XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key。

3、还会将“locky”添加到注册表项。

4、最后，还会寻找并删除用户的系统还原备份文件，防止用户还原系统找回部分文件，赶尽杀绝，真特么狠。

病毒程序会对本感染的电脑产生一个专门的ID，用于对该电脑进行标识，通过这个ID，用户登录指定网站进行交易支付赎金后，针对该ID的电脑提供一个专门的.exe解密程序。

目前这个病毒只针对Windows系统，发这文件给我的同学他也打开了这程序，却毫发无损，因为他用的是Mac…

另外，勒索者机智地使用比特币进行交易，而不是通用的国家货币基金，比特币不受法律保护，因此基本无法追踪到勒索者。据说，程序还会通过判断电脑资料内容来决定勒索金额，从0.5到10比特币不等。

关于这个病毒的更多详情，可以看看一下这个链接

简单来说，这个病毒一旦被打开，就意味着恶梦已经开始，整块硬盘的文件都会被加密，目前还没找到相关的破解方法，要么向勒索者支付比特币获取解密程序，要么只能放弃所有文件，格式化并重装系统。对于Locky和CryptoWall病毒，只能提高戒备时刻预防着。

四、恢复数据

中招了，怎么破？！我不能就这样轻易地狗带！！！但如上面所说，只有两个方法，一是乖乖给钱，二是放弃数据重装系统。我的心底里出现了两个小人，一个说“不能妥协！不能向黑暗势力低头！”，另一个小人又说“可你那些文件对于说意义重大呀！你的毕业设计都基本做好了，还有你的资料，你的照片……”于是，我怂了，啪！把第一个小人拍倒，打开了勒索者提供的网页，出现的是相关协议条款，还挺特么专业的，点同意继续。

然后就告诉我，要想拿回我的文件呀，给0.5个比特币（谢天谢地，再多点我就负担不起了），还提供一些比特币交易平台的链接，这里我忘了截图，大家自行脑补吧…

看了下那些比特币交易平台，都是国外的，需要Paypal或者外币信用卡，要是出现什么情况岂不是雪上加霜…看看还有什么其他方法，于是在知乎上看到一篇关于这个Locky病毒的剖析，还附上了淘宝地址说能帮我们付款交易，其实这是店主的广告吧…只能死马当活马医了，此处省略了一千字的思想斗争，最后还是联系了店主，他开价1950元，卧槽还要赚我好几百，再次经过思想斗争，没办法，谁叫自己手贱呢，好不容易1920元成交，然后把ID和链接发给店主，然后他付款了，就开始了漫长的等待。

这时候已经12点了，我们学校断网了，只好开启手机热点继续，还好有闲时流量，过了大概20分钟，勒索者终于发解密程序过来了，就是一个.exe文件，二话不说下载下来打开，就开始一个个文件地解密了。看到我的文件逐个逐个恢复，我的心情真是既喜又悲呀…

恢复的过程很漫长，还好淘宝老板见收了我的钱，陪我聊到最后，既说工作又说生活，直到凌晨一点半左右，才全部文件恢复完成，长呼一口气，这事终于了结了…从发现到恢复一共才三个多小时，心好累，睡觉去…

五、忠告建议

通过这次惨痛的经历，交了1k9的学费，得到的教训真是刻骨铭心呀。在张大妈这省了不少剁手钱，这么一次就全赔上了。对于电脑病毒，大家可千万别掉以轻心，虽说是低概率事件，但一旦发生在自己身上就是100%了。尤其是那些经常上网找大姐姐视频的小伙伴，可以的话去网吧下吧。

惨痛经历后的忠告：

1、自己电脑中的重要文件，最好定期备份到一个独立存储设备上，或者使用云端备份工具，国内的可以用百度云、360云盘等，国外的则有OneDrive、Google Drive等，当你备份好自己的重要数据，即使不幸中招后，你也会相当感激自己当初的英明举措。

2、设置系统的高安全级别，如Windows系统的UAC，可以在控制面板-账户-用户账户控制设置里面将安全等级调高，这样的话，要是程序请求以管理员权限运行，都会弹出警告请求用户允许，虽然麻烦，至少多一份保障。但这样设置也不是万能的，有的电脑病毒未必会请求管理员权限。只能自己提高警惕，定时杀毒，虽然腾讯电脑管家这里安全软件的功能臃肿，很烦人，但危机关头还是有点用的。

3、陌生附件不要打开！陌生附件不要打开！陌生附件不要打开！重要事情说三遍！那些大型电商公司基本都不会发送附件的，更不会发送压缩包或奇怪后缀的附件。还有，下载东西时打醒十二分精神，最好打开安全软件的下载后自动检测的功能。

嗯，就这样吧。我的悲剧已经过去一个多月了，可前几天又从别人口中得知身边有人中了一模一样的Locky病毒的圈套，还要给1比特币。现在才有空来写这篇原创记录，以告诫各位，骗子不可怕，最怕骗子有文化！

番外

悲剧发生的第二天，我忽然收到一条短信，“恭喜您在“大乐豆”活动中签，中奖商品[Kindle Paperwhite电子书阅读器]的优惠券已发放到您的京东账户中，请登录京东我的京东-资产中心-优惠券 中查看并在七日内使用。”

难道这就是传说中的“塞翁失马，焉知非福”？可是，我失去一只宝马，只得到一张友善福，我要的是敬业福啊…