近日，有自媒体发表文章，披露了一起以勒索病毒破坏计算机信息系统敲诈勒索的案件，三名犯罪嫌疑人被判处5-8年有期徒刑。这下终于看到国内有勒索病毒经营者被抓了，真是件好事。

三年前的回忆……

巧得是，腾讯安全专家注意到三名犯罪嫌疑人中有两人分别是广州硕数的法人代表和股东。腾讯安全专家一下想起3年前曾与这家公司有过接触，当年通过点击搜索引擎广告找到这家号称可以解密勒索病毒破坏的公司，还找对方做过勒索解密测试。

弄了半天，是几个勒索病毒攻击者一边扫描漏洞入侵下毒，另外还买了搜索引擎竞价排名广告，去赚解密服务费。通过上面这起测试，腾讯安全专家验证了一个猜想：勒索病毒产业链中存在一个十分特别的角色 ，“勒索解密代理”。只是没想到，有的勒索解密代理，竟然是下毒者本人。

勒索病毒加密的文件能解吗？

安全专家不止一次去尝试过解密被加密的文件，在绝大多数情况下都以失败而告终。因为勒索病毒普遍采用了RSA加密算法，密钥长度通常超过1024位，部分病毒的密钥长度达2048位。根据数学原理，采用类似加密算法，只有先获得私钥，才可能解密，其他人通过暴力破解等方法去穷举密钥，以现有的计算机算力无法完成。而解密私钥，只有攻击者自己有。这就无解了。

第三方能解密的仅限于两种情况：1.病毒有BUG，算法有缺陷，安全专家逆向分析病毒就能找到解密办法；2.攻击者手里掌握的密钥被公开了。

勒索解密代理，他们怎么解密？

解密代理帮助解密，并不是他们有解密秘诀，而是他们充当了受害者和勒索者之间谈判中介的角色，负责讨价还价，从勒索者手里购买解密密钥，转交给受害企业，收取受害企业的服务费。勒索者是匿名的，交易又通过比特币这种加密货币，难以追踪，受害企业只跟勒索代理产生交易。

受害者恨得牙痒痒，却找不到真正的勒索者。就有受害者在怀疑了，要是解密代理人跟勒索者之间本来就认识，或者干脆怀疑这两波人是一伙的，那受害企业不就被坑了么。没想到，还真有勒索病毒经营者就这么干了。

文章开头提及的这个案子，三名犯罪嫌疑人，从2017年11月至2020年4月期间，向21家公司植入勒索病毒勒索比特币，造成受害企业直接经济损失共计人民币623447元。三人终以“破坏计算机信息系统罪”被判处5-8年有期徒刑。

对付勒索病毒，坚持预防为主，不要支付赎金

由于勒索病毒的破坏力，当勒索事件已经发生时，一切已经晚了：攻击者已经利用漏洞实现了入侵破坏，并有极大可能性窃取企业重要数据，加密文件瘫痪业务系统只是一个强烈的通知信号。向勒索者支付赎金，只会让攻击者更加贪婪、更加丧心病狂，会危害更多的受害企业。

对于勒索病毒攻击，只有坚持预防为主的原则。腾讯安全专家建议政企用户部署完善的数据备份方案，积极扫描和修复安全漏洞，业务系统杜绝使用弱口令，关闭存在风险的服务和网络端口，尽最大可能减少勒索事件发生或最大限度控制勒索病毒的危害。

推荐企业部署腾讯零信任无边界访问控制系统（iOA)，管理员可通过配置全网安全策略具体管理员工在终端电脑的操作行为，通过4T可信认证（身份、设备、应用、链路）机制，确保即使发生黑客入侵事件，也能及时有效地控制损害范围，从而避免影响全局的灾难事件发生。

更完整具体的专业防护建议，可以参考腾讯安全发布的《2021上半年勒索病毒趋势报告及防护方案建议》https://share.weiyun.com/cXnNPiiN

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课