隨著勒索軟件(Ransomware)攻擊的快速傳播，導(dǎo)致其攻擊觸角已從一般用戶個(gè)體，逐步拓展至企事業(yè)單位和政府機(jī)構(gòu)，而其造成的惡劣影響更是逐年升級(jí)。對(duì)于政企機(jī)構(gòu)來(lái)說(shuō)，不僅面臨著失去對(duì)數(shù)據(jù)文件的掌控能力，而且還有聲譽(yù)遭受損失之虞，這就讓勒索攻擊者往往通過(guò)恐嚇手段便能迫使受害者支付贖金。

助長(zhǎng)勒索攻擊愈發(fā)猖獗的原因，不外乎其攻擊過(guò)程的隱蔽性，受害者們往往不知道自己的電腦已經(jīng)中毒，當(dāng)他們看到勒索信息彈出在電腦屏幕后，已然為時(shí)已晚了。那么，在受害者看到勒索信息之前，勒索軟件實(shí)際都展開(kāi)了哪些攻擊呢?

勒索攻擊五步走

實(shí)際上，自從受害者點(diǎn)擊了釣魚(yú)郵件中的一個(gè)惡意鏈接，或者下載了含有惡意附件的文件之后，勒索軟件就已經(jīng)進(jìn)入了操作系統(tǒng)的大門了。

勒索軟件攻擊從惡意鏈接或惡意附件開(kāi)始(圖片來(lái)自網(wǎng)絡(luò))

第一步，勒索軟件會(huì)先將自己復(fù)制到電腦用戶的資料夾內(nèi)，通常是以可執(zhí)行文件的格式。在Windows環(huán)境，惡意軟件往往將文件寫(xiě)入到“/APPDATA”或“/TEMP”的資料夾里，因?yàn)閷?xiě)入這些資料夾無(wú)須管理員權(quán)限。接著，勒索軟件便開(kāi)始悄悄地在后臺(tái)展開(kāi)后續(xù)攻擊了。

第二步，連網(wǎng)至特定網(wǎng)站收發(fā)信息。一旦勒索軟件進(jìn)入操作系統(tǒng)，它會(huì)嘗試連接互聯(lián)網(wǎng)并且聯(lián)通特定服務(wù)器。在這個(gè)階段，勒索軟件會(huì)與命令和控制(C&C)服務(wù)器發(fā)送和接收設(shè)定文件。

第三步，搜索特定類型的文件進(jìn)行加密。

接下來(lái)，勒索軟件會(huì)進(jìn)入受感染系統(tǒng)的資料夾，搜索特定類型的文件進(jìn)行加密。當(dāng)然，會(huì)被加密的文件類型也取決于勒索軟件的種類分支，會(huì)刪除鏡像文件和備份的勒索軟件家族也會(huì)在加密過(guò)程前完成。

第四步，產(chǎn)生加密密鑰。

在開(kāi)始加密文件前，勒索軟件會(huì)先產(chǎn)生用來(lái)加密的密鑰。根據(jù)勒索軟件種類的不同，加密受感染系統(tǒng)文件的方式也會(huì)有所差別，可能會(huì)使用AES、RSA或合并使用等情況。而且加密文件所需要花費(fèi)的時(shí)間也會(huì)根據(jù)文件數(shù)量、系統(tǒng)處理能力和加密方法而有所差異。

許多勒索軟件會(huì)建立自動(dòng)啟動(dòng)機(jī)制來(lái)繼續(xù)加密操作，防止在加密過(guò)程由于系統(tǒng)關(guān)機(jī)而中止執(zhí)行。

第五步，向用戶發(fā)送勒索通知和付款指示。

對(duì)于絕大多數(shù)的勒索軟件來(lái)說(shuō)，出現(xiàn)勒索通知即代表文件的加密過(guò)程已經(jīng)成功。有些勒索通知是在加密過(guò)程完成后馬上出現(xiàn)，而有些會(huì)更改啟動(dòng)磁區(qū)的勒索軟件則會(huì)在系統(tǒng)重新啟動(dòng)后出現(xiàn)通知。不過(guò)，也有些勒索軟件則不會(huì)顯示勒索通知，至少不會(huì)自動(dòng)顯示。還有些則會(huì)在受感染的資料夾內(nèi)生成勒索通知或顯示HTML頁(yè)面來(lái)告知勒索要求和付款指示。更有一些鎖屏幕勒索軟件則會(huì)用勒索通知鎖定屏幕，讓用戶無(wú)法操作電腦。

感染勒索軟件后的可疑征兆

既然勒索攻擊防不勝防，那么感染勒索軟件后一般有哪些可疑的征兆呢?

感染勒索軟件后的可疑征兆

應(yīng)該說(shuō)，勒索軟件的攻擊行為依據(jù)其病毒家族或變種而各有不同，不過(guò)，當(dāng)然還是有些蛛絲馬跡可以讓用戶或IT管理員察覺(jué)到勒索軟件的感染情況。例如，

首先，在勒索軟件的加密過(guò)程中，由于其在后臺(tái)不斷執(zhí)行操作，受害者可能會(huì)發(fā)覺(jué)操作系統(tǒng)無(wú)故變慢。

其次，即便沒(méi)有執(zhí)行任何程序，硬盤指示燈還是會(huì)狂閃，這表示電腦硬盤正在被執(zhí)行讀寫(xiě)操作中，而這很可能是中招勒索軟件后，搜索和加密文件程序開(kāi)始的一個(gè)標(biāo)志。