特别企划 | 勒索界面进化史：聊聊勒索软件中运用的心理学机制

如果说有哪个词汇能同时让终端用户、安全专家以及企业信息主管感到恐惧，它可能就是——勒索软件。

安全圈内早已听说过 Archievus、Reveton、CryptoLocker、LOcky 等赫赫有名的勒索软件**。而在过去几个月里，WannaCry 与 Petya 袭来，安全行业之外的大众也对勒索软件有了更深刻的认识。而在过去的这二十年中，勒索软件究竟发生了哪些变化，本文应用了社会工程学的框架及心理学机制分析勒索软件背后的机制，带领读者一览勒索界面进化史。**

普遍意义上，勒索软件被定义为一种类型的恶意软件，它可以利用用户的计算机漏洞潜入受害者计算机，并加密其中的所有文件。攻击者将文件锁定后，会要求受害者支付赎金换取文件解密的权利。

本文试图通过分析从各种途径获取而来的勒索界面，了解勒索界面在过去的二十年中究竟有哪些演进和变化，这些勒索程序在视觉呈现，使用的语言，标志，支付类型上分别有哪些种类。而从研究的最终成果中我们可以看到，勒索界面的面貌尽管已经在演进过程中发生了很大的变化，但他们仍然具有极高的共性，特别是在应用社会工程来引导受害者支付赎金这一方面。

勒索界面：从原始文本到结构化文档

随着勒索软件不断演进变化，勒索界面上包含的视觉元素逐渐变得复杂起来。多数的勒索界面包含大量的文字信息，一些插入各种图像标示以及从流行影视及媒体中截取的图片内容。

可以看到，一部分的勒索界面（15%）非常原始，就是简单的文本文件或者写字板文件，只具有简单有限的攻击信息内容（见图1）。但这些文字信息会指引受害者前往阅读其他文档（勒索软件会将其下载到本地），或者访问网页（Tor）来获取更多信息。

在原始版本的基础上，之后出现的勒索软件的勒索界面就先进得多了，页面上不仅显示攻击的详细信息，还展示了支付细节以及联系方式。勒索界面以结构化而有逻辑的方式呈现这些信息，通常按照顺序向受害者解释发生了什么（你遭受了攻击）、如何解决（你应当支付赎金）。这样的勒索屏幕带给受害者一种有组织有纪律的专业性，并带来一种只要乖乖付费就能恢复文档的印象。

在图片2中展示的就是这种模式的经典样式。

图像的运用：权威机构、犯罪形象、匿名者面具

在勒索界面中，勒索者逐渐开始使用大量的图片。一开始使用的图片是锁、盾牌、徽章之类的简单图案，之后开始出现使用 FBI 等具有法律强制性的机构图片。

这种趋势可能和社会工程中要求增强权威性有关。据调查显示，这种带有权威机构的勒索通常特别有效——他们会告诉受害者他们加密电脑文件是因为在用户计算机中检测到色情内容或者违反版权的文件。有时，一些攻击者还会附加上 Microsoft 及 Windows 的商标图案来表达攻击的针对性。

还有一类带有流行文化色彩的图片，通常会应用在勒索界面上，比如《电锯惊魂》中的反派角色“Jigsaw”。这个角色似乎代表了一类没有真实面孔的犯罪形象，在勒索软件中扮演着发言人的角色。这种形象具有一点幽默感，也具有威吓力。

勒索软件中经常露脸的则是《V字仇杀队》中 V 的面具 Guy Fawkes mask（闻名全球的黑客组织匿名者也常使用该图）。使用此类图像的目标还是在于增强与社会工程相关的权威元素，或者唤起那些不熟悉黑客领域的大众受害者对于匿名者组织的印象。增加了这一类流行文化图像后，受害者支付赎金的转化率是否也相应地提高了呢，尽管目前还没有精确的量化研究，但笔者认为还是存在一定相关性的。

杜鹃勒索：伪装升级，不是勒索是交罚金

近年来出现了更多伪装性较强的勒索程序，他们并不表明自己正在实施勒索的目的，甚至还伪装成官方身份因此被研究员称为杜鹃勒索。他们所用的方式通常是想用户说明他们使用的操作系统（通常是Windows）是被禁止的，他们检测到用户计算机中存在非法的、违反版权的软件，或者是用户访问了色情内容或其他非法网站。当然在这种类型中，他们也使用了上述的社会工程学技巧，用权威图片、商标。

其次，杜鹃勒索中还可能提供在线支付之外的第二选项，用户也可以前往当地的法院进行罚款支付（在解密文件上会延迟4-5天），这样更多期望着立刻恢复文件权限的用户就会不假思索地选择前者进行赎金支付。

善意与恶意的矛盾交织

除了上述的趋势之外，攻击者现在越来越试图在勒索界面上塑造幽默或轻松、双方能够沟通理解的氛围。如在支付比特币旁设置“给我比特币或者给我买咖啡喝”；“如果你有问题的话，查看FAQ或约我出去玩吧”；也有在确认支付的按钮上附加“满怀爱意地支付”之类的信息。

攻击者虽然是在做勒索这类恶意行为，但现在表达出的信息却矛盾地带着善意、幽默感和爱心，似乎希望让受害者喜欢他们，理解他们，鼓励受害者与他们互动。

而在勒索界面中提供“捐款”选项则存在着另一层意义，转变了攻击者与受害者双方不对等的立场。也有攻击者队提供“贫困者享受的折扣”，展现其“社会良知”。

背后的心理学机制

由此可以看到，勒索软件也具有其设计思想，当然，勒索软件制作者也并非刻意（也许是不经意）地应用心理学原则来提升恐吓及勒索成功的概率。但遭受勒索的用户如果不容易识别勒索界面视觉效果及文字信息中的这些“圈套”，则会轻易地落入陷阱，稀里糊涂地就缴纳了赎金。

通常所说的社会工程学技巧，是指通过攻击者的操作，指引来说服受害者服从他的指挥，让其获取到敏感信息。而这些社工技巧也是一种从受害者处获取赎金的技巧。勒索软件中，我们关注的是以下三个关键细节：

1. 稀缺性：如果一件东西是稀缺的罕见的难以获取的，人们对此物件的向往就会增强。稀缺性通常也与用户需求的紧急性相关联，时间上的紧迫很容易使得人们需要迅速决断，导致做出关键性的错误决策。 2. 权威性：个人通常更愿意听从他们认为是权威的人的要求或者指示。这里的权威性并非是真实的权威，只要用户信任他们，就将会遵照他们的指示。 3. 讨人喜欢：人们会倾听他们喜欢的人的说法，可能会满足其要求。勒索软件中常会使用幽默的语言在勒索界面上与用户交流。

通过仔细观察勒索软件，我们可以发现勒索软件中无论是图片还是文字，呈现出的视觉信息可以分为以下的四种类型。

• 界面中的视觉与审美呈现
• 使用的语言和社会工程技巧运用
• 使用的图像或文化图标
• 与支付相关的信息

攻击者普遍倾向使用比特币作为赎金货币，统计中75%的勒索软件都是比特币支付的。其次，39%的勒索软件屏幕都用明确的指示告诉受害者比特币是什么，以及如果购买兑换比特币。更小部分的勒索软件还会建议受害者下载并使用 Tor 浏览器来购买数字货币。而随着勒索时间的变化，攻击者还可能将赎金金额翻倍。

时间限制的特点在过半样本中都会出现，是社会工程中让受害者加速决策的重要特点之一。时间限制与稀缺性概念相关，从而对受害者施压，让其感受到紧迫。攻击者时常会在勒索时表示，如果限定时间内没有付款，用户的文件就会被永久删除；或是在约定时间后，赎金金额就将会翻倍／文件就会公开在网络上等等。这些策略都会影响用户做出的决定。勒索界面中都会有警告说明，攻击者是唯一可以解密的人，来强调稀缺性。而出现在历史的勒索软件中，最短的时间限制为10小时（对需要购买比特币的用户来说，这个时间确实是个考验）。但这只是比较极端的例子，仅有12%的勒索是需要在少于12小时内支付赎金的，多数的攻击者都会给出72小时（36%），48小时（16%），96小时（16%），长于96小时（ 小于23%）的赎回时间。