3 key steps of a ransomware attack

• 勒索软件是一种计算机病毒，也称为恶意软件，它会锁定您的计算机，并发出警告要求您支付赎金以换回数据。
• 勒索软件攻击通常包含相同的三个核心阶段，包括感染和传播媒介、数据加密和赎金要求。
• 然而，不同的勒索软件可能包含不同的实现方式或额外的步骤。

网络犯罪多年来持续增长，且毫无减缓迹象。虽然网络攻击曾经主要针对大公司，但现在每个人——从小企业主到地方政府雇员再到个人——都必须保持警惕。 另见: AfriNIC会员名册神秘消失.

最常见的网络攻击类型之一是勒索软件。勒索软件会锁定您计算机的数据并以此作为人质，直到您向攻击者支付赎金。如果您没有做好适当准备，这些攻击可能会造成毁灭性影响。 另见: AfriNIC 消失的成员登记册.

什么是勒索软件？

勒索软件是一种恶意软件，它会对您计算机上的文件进行可逆加密。虽然许多个人和企业出于安全考虑会定期加密文件，但勒索软件的棘手之处在于，是攻击者——而非计算机所有者——持有解密密钥。这意味着除非黑客解密，否则用户无法访问自己的文件。

在典型的勒索软件攻击中，黑客会提出以一定价格解密您的文件。这就是攻击中的赎金，金额可能从个人几百美元到大公司数百万美元不等。 另见: 亚历杭德罗·费尔南德斯.

某些勒索软件会在过了一段特定预设时间后删除您的文件，从而迫使受害者迅速付款。在其他勒索软件攻击中，攻击者还会窃取数据副本，并威胁若拒绝支付就将其公开。此类勒索软件攻击对于存储敏感数据的大公司和政府机构来说，尤为棘手。 另见: 阿尔多·加西亚.

另请阅读：有多少个区域互联网注册机构（RIR）？

勒索软件攻击是如何运作的？

要成功实施攻击，勒索软件需要获得目标系统的访问权限，对其文件进行加密，并向受害者索要赎金。 另见: Alcymer Vieira.

尽管不同勒索软件变种的实现细节各不相同，但它们都包含相同的三个核心阶段。 另见: 阿尔西德斯·克雷莫内齐.

1. 感染与传播媒介

与任何恶意软件一样，勒索软件可以通过多种不同方式访问组织的系统。然而，勒索软件操作者往往偏好几种特定的感染媒介。 另见: 阿尔贝托·安纳亚.

网络钓鱼：这是最流行的社会工程学攻击类型，并且持续成为所有类型恶意软件的首要攻击媒介。攻击者在看似合法的电子邮件中添加恶意链接和附件，诱骗用户在不知情的情况下安装恶意软件。短信钓鱼、语音钓鱼、鱼叉式网络钓鱼和水坑攻击都是网络钓鱼和社会工程学骗局的形式，攻击者利用它们欺骗人们启动恶意软件安装。 另见: 阿尔伯特·基斯.

RDP 和凭据滥用：这涉及使用暴力破解或凭证填充攻击，或从暗网购买凭据，以合法用户身份登录系统，然后用恶意软件感染网络。RDP，是攻击者钟爱的协议，它使管理员几乎可以从任何地方访问服务器和桌面，并允许用户远程访问其桌面。然而，未妥善保护的 RDP 实现是勒索软件常见的切入点。

软件漏洞：这也是勒索软件感染的常见目标。攻击者通过攻击未打补丁或过时的软件来渗透受害者的系统。历史上最大的勒索软件事件之一WannaCry 与永恒之蓝漏洞利用有关，该漏洞存在于未打补丁版本的 Windows 服务器消息块（SMB）协议中。

另请阅读：关于 APNIC IPv6 地址需要了解什么？

2. 数据加密

勒索软件获得系统访问权限后，便可开始加密文件。由于加密功能内置于操作系统中，因此这只需访问文件、使用攻击者控制的密钥对其进行加密，并用加密后的版本替换原始文件。大多数勒索软件变种在选择加密文件时都很谨慎，以确保系统稳定性。一些变种还会采取措施删除文件的备份和卷影副本，使没有解密密钥的恢复变得更加困难。

3. 赎金要求

文件加密完成后，勒索软件就会准备发出赎金要求。不同的勒索软件变种以多种方式实现这一点，但常见的情况是，显示背景被更改为赎金通知，或在每个加密目录中放置包含赎金通知的文本文件。通常，这些通知会要求支付一定数量的加密货币，以换取对受害者文件的访问权。如果支付了赎金，勒索软件操作者将提供用于保护对称加密密钥的私钥副本，或对称加密密钥本身的副本。这些信息可以输入到解密程序（也由网络犯罪分子提供）中，用于逆转加密并恢复对用户文件的访问。

虽然所有勒索软件变种都存在这三个核心步骤，但不同的勒索软件可能包含不同的实现方式或额外步骤。例如，像 Maze 这样的勒索软件变种在加密数据之前会进行文件扫描、注册表信息和数据窃取，而 WannaCry 勒索软件则会扫描其他易受攻击的设备以感染和加密。