由于Colonial Pipeline（美国最大成品油管道运营商）关闭，Ransomware（勒索软件）已经进了主流媒体的视野。由于遭到勒索软件攻击，Colonial最终支付了440万美元的比特币赎金，才免受黑客的攻击。与此同时，美国东部沿海地区也遭受了汽油短缺。

Ransomware（勒索软件）是什么?它是一种恶意软件，通过加密文件或威胁公开数据来控制计算机。勒索软件运营商只有在收到赎金(通常是比特币，有时是门罗币)后才会释放控制权。

虽然最近对Colonial的攻击占据了新闻头条，勒索软件问题多年来一直在增长。Sophos最近对全球5,400名企业和政府机构的IT负责人进行了调查，6.6%的人表示在2020年支付了赎金。平均价格将是17万美元，算下来不是数千亿的赎金，就是数百亿美元。

在《华尔街日报》的一篇评论文章中，李睿恩斯（Lee Reiners）建议禁止加密货币，以摆脱勒索软件。他的观点是，像比特币这样的加密货币除了投机之外没有任何社会目的。所以摆脱它会让世界更美好。

我认为这种禁止是「滥杀无辜」的。有很多方法可以做到定点清除的。

比特币与勒索软件的关系

首先，我们来说一下，我和Reiners一致同意的点。他明确地将勒索软件现象与比特币等加密货币联系起来，他说，“没有加密货币，勒索软件就无法成功。

关于这点他是对的。没有比特币，就没有勒索软件的繁荣。但我要补充一点。只有大额勒索软件依赖加密货币，小额的从来不需要它。

根据安全作家Danny Palmer的说法，第一批勒索软件出现在1989年。它要求以银行汇票、银行本票或汇票的形式向巴拿马的一个邮政信箱付款。但对一个罪犯来说，用支票勒索赎金是一种非常危险的方式。

勒索软件团伙最终转向中心化的支付处理器（ centralized payments processors） ，向受害者勒索钱财。2006年的一款勒索软件“Ransom-A”冻结了受害者的电脑，只有在汇款公司西联汇款(Western Union)转账10.99美元后才会释放。2011年，另一种勒索软件冒充联邦调查局(FBI)，要求用户通过绿点银行(Green Dot Bank)提供的预付卡产品MoneyPak支付100美元。

但如你所见，这都是小型勒索软件。一个犯罪团伙不可能锁定一家大银行，然后通过西联汇款或MoneyPak索要25万美元的赎金。

从罪犯的角度来看，西联汇款和MoneyPak的另一个问题是这些系统是可塑的——它们可以更新。由于执法部门和政界人士的压力，西联汇款和MoneyPak最终修改了支付流程，使犯罪分子更难利用它们提取赎金。

随后，勒索软件团伙转向了礼品卡。2016年首次亮相的阿尔法勒索软件(Alpha Ransomware)会加密你的数据，并需要价值400美元的iTunes礼品卡才能获得解密密钥。但是罪犯不能用礼品卡来勒索大笔赎金——因为大多数商店都不出售面值超过500美元的礼品卡。

通过加密货币，勒索软件团伙发现了完美的支付渠道。使用比特币或门罗币等加密货币不需要提供身份。用户可以使用假名。与西联汇款或MoneyPak不同，这些系统不能排除用户。它们不是可塑的;它们无法重新编码。此外，勒索软件团伙可以坐拥他们的加密货币储备，因为知道执法部门没有能力冻结他们的余额。而且，与礼品卡和MoneyPak不同，比特币交易没有最大限额。

因此，像比特币这样不受审查的支付网络为规模在1万至5000万美元之间的大型勒索软件攻击打开了大门。尽管如此，对加密货币的禁令还是过犹不及。

谁使用比特币?

Reiners认为大多数合法的加密货币使用都是投机行为。这点他是对的。大多数购买比特币的人只是在赌比特币的价格。

但我不确定我们可以用“这只是猜测”来抹杀整个行业。毕竟，我们选择了保持拉斯维加斯和赌博产业的合法，而赌博是100%的投机。碰运气的游戏不能满足重要的社会需求。但它们是一种娱乐形式。

除了罪犯和赌徒，还有另外两组加密货币用户值得一提。局外人像迷幻鼠尾草零售商，由于从事合法但不时兴的活动而被切断了集中服务，他们可能会转向加密货币支付。另一群合法的非投机性用户是那些反对集中化的业余爱好者。

这些不是大群体，但确实存在。禁止加密货币将意味着剥夺这两个群体(可能还有其他群体)珍视的服务。

现状

禁令之外的另一种选择是维持现状。就让联邦调查局、国际刑警组织和皇家骑警等执法机构做他们通常做的事吧:抓住坏人。

但这种方法存在一个问题。大多数勒索软件活动来自俄罗斯。俄罗斯政府对勒索软件团伙睁一只眼闭一只眼，条件是这些团伙不攻击俄罗斯公司或机构。因此，勒索软件的运作超出了传统西方执法机构的控制范围。

目前的现状还包括对加密货币交易所持续施加压力，要求它们建立反洗钱防御机制。交易所是买卖加密货币流动性最强的场所。通过普及反洗钱措施，勒索软件团伙将被禁止出售其所得。

这里的问题还是在于俄罗斯。俄罗斯加密货币交易所是洗钱的场所，他们会持续这种行为直到被当局制裁。

这就意味着我们对应该对支付赎金颁布禁令。

对支付赎金的惩罚

行业组织和美国市长会议(U.S. Conference of Mayors)等其他保护伞组织已经敦促其成员不要支付赎金。联邦调查局也是如此。

他们有充分的理由去建立一个非正式的禁令。因为「给赎金」会鼓励勒索软件团伙继续进行攻击。如果每个人都突然「不给了」，勒索软件行业的收入将被扼杀，他们很快完蛋。

劝大家「不给钱」是不会有效的，如果没有一个「把握方向的人」的话，这个人是要确保每个人都按照这样的方式处理。

单个企业或机构有很大的理由反对「不给赎金的最优方案」。如果他们悄悄地付钱给攻击者，他们就可以得到一个解密密钥，从而避免停机和从头开始重建系统的麻烦。

现在需要的是一个权威机构能够执行禁令，传唤违背者并处理他们的「支付赎金」的行为。

包括北卡罗来纳州和纽约州在内的一些州政府正试图通过引入「反赎金支付」立法来扮演这一角色。(到目前为止，没有一项立法通过。)

但要想真正发挥作用，这个权威机构需要扮演一个比州政府更大的角色。美国财政部已经有了一个可以用来制裁不良行为的机构：外国资产管制局(OFAC)。为了让禁止「给赎金」的禁令落地，OFAC可以在规定的时间内（比如9个月）开始将所有勒索软件团伙列入「特别指定的国民名单」。

当OFAC指定某一组织为SDN时，美国公民与其进行业务往来是非法的。因此，向OFAC名单上的任何团伙支付赎金都将被禁止。公司和机构将很快转向理想的「不支付」的均衡。而且，随着收入的枯竭，勒索软件团伙将退出这一行业。

将犯罪团伙列入SDN名单的政策，事先公布，将为企业和机构提供足够的时间来建立他们的IT防线。毕竟，一旦犯罪团伙上了SDN的名单，被犯罪团伙攻击的组织就不会轻易地支付赎金。

当然，这只是一个可能的解决方案的草图。一个精心设计的禁令需要注意更多细节。但是，让OFAC作为权威机构，在不剥夺赌徒、局外人和业余爱好者使用的产品的情况下，禁令或许可以实现禁止加密货币所达到的一切。它也将比维持现状更有效，因为目前的做法可以让犯罪分子逍遥法外，他们在司法之外操作，没有办法惩戒。