- 勒索软件是一种计算机病毒,也称为恶意软件,它会锁定您的计算机,并发出警告要求您支付赎金以换回数据。
- 勒索软件攻击通常包含相同的三个核心阶段,包括感染和传播媒介、数据加密和赎金要求。
- 然而,不同的勒索软件可能包含不同的实现方式或额外的步骤。
网络犯罪多年来持续增长,且毫无减缓迹象。虽然网络攻击曾经主要针对大公司,但现在每个人——从小企业主到地方政府雇员再到个人——都必须保持警惕。
最常见的网络攻击类型之一是勒索软件。勒索软件会锁定您计算机的数据并以此作为人质,直到您向攻击者支付赎金。如果您没有做好适当准备,这些攻击可能会造成毁灭性影响。
什么是勒索软件?
勒索软件是一种恶意软件,它会对您计算机上的文件进行可逆加密。虽然许多个人和企业出于安全考虑会定期加密文件,但勒索软件的棘手之处在于,是攻击者——而非计算机所有者——持有解密密钥。这意味着除非黑客解密,否则用户无法访问自己的文件。
在典型的勒索软件攻击中,黑客会提出以一定价格解密您的文件。这就是攻击中的赎金,金额可能从个人几百美元到大公司数百万美元不等。
某些勒索软件会在过了一段特定预设时间后删除您的文件,从而迫使受害者迅速付款。在其他勒索软件攻击中,攻击者还会窃取数据副本,并威胁若拒绝支付就将其公开。此类勒索软件攻击对于存储敏感数据的大公司和政府机构来说,尤为棘手。
另请阅读:有多少个区域互联网注册机构(RIR)?
勒索软件攻击是如何运作的?
要成功实施攻击,勒索软件需要获得目标系统的访问权限,对其文件进行加密,并向受害者索要赎金。
尽管不同勒索软件变种的实现细节各不相同,但它们都包含相同的三个核心阶段。
1. 感染与传播媒介
与任何恶意软件一样,勒索软件可以通过多种不同方式访问组织的系统。然而,勒索软件操作者往往偏好几种特定的感染媒介。
网络钓鱼:这是最流行的社会工程学攻击类型,并且持续成为所有类型恶意软件的首要攻击媒介。攻击者在看似合法的电子邮件中添加恶意链接和附件,诱骗用户在不知情的情况下安装恶意软件。短信钓鱼、语音钓鱼、鱼叉式网络钓鱼和水坑攻击都是网络钓鱼和社会工程学骗局的形式,攻击者利用它们欺骗人们启动恶意软件安装。
RDP 和凭据滥用:这涉及使用暴力破解或凭证填充攻击,或从暗网购买凭据,以合法用户身份登录系统,然后用恶意软件感染网络。RDP,是攻击者钟爱的协议,它使管理员几乎可以从任何地方访问服务器和桌面,并允许用户远程访问其桌面。然而,未妥善保护的 RDP 实现是勒索软件常见的切入点。
软件漏洞:这也是勒索软件感染的常见目标。攻击者通过攻击未打补丁或过时的软件来渗透受害者的系统。历史上最大的勒索软件事件之一WannaCry 与永恒之蓝漏洞利用有关,该漏洞存在于未打补丁版本的 Windows 服务器消息块(SMB)协议中。
2. 数据加密
勒索软件获得系统访问权限后,便可开始加密文件。由于加密功能内置于操作系统中,因此这只需访问文件、使用攻击者控制的密钥对其进行加密,并用加密后的版本替换原始文件。大多数勒索软件变种在选择加密文件时都很谨慎,以确保系统稳定性。一些变种还会采取措施删除文件的备份和卷影副本,使没有解密密钥的恢复变得更加困难。
3. 赎金要求
文件加密完成后,勒索软件就会准备发出赎金要求。不同的勒索软件变种以多种方式实现这一点,但常见的情况是,显示背景被更改为赎金通知,或在每个加密目录中放置包含赎金通知的文本文件。通常,这些通知会要求支付一定数量的加密货币,以换取对受害者文件的访问权。如果支付了赎金,勒索软件操作者将提供用于保护对称加密密钥的私钥副本,或对称加密密钥本身的副本。这些信息可以输入到解密程序(也由网络犯罪分子提供)中,用于逆转加密并恢复对用户文件的访问。
虽然所有勒索软件变种都存在这三个核心步骤,但不同的勒索软件可能包含不同的实现方式或额外步骤。例如,像 Maze 这样的勒索软件变种在加密数据之前会进行文件扫描、注册表信息和数据窃取,而 WannaCry 勒索软件则会扫描其他易受攻击的设备以感染和加密。