隨著勒索軟件(Ransomware)攻擊的快速傳播，導(dǎo)致其攻擊觸角已從一般用戶個體，逐步拓展至企事業(yè)單位和政府機(jī)構(gòu)，而其造成的惡劣影響更是逐年升級。對于政企機(jī)構(gòu)來說，不僅面臨著失去對數(shù)據(jù)文件的掌控能力，而且還有聲譽(yù)遭受損失之虞，這就讓勒索攻擊者往往通過恐嚇手段便能迫使受害者支付贖金。

助長勒索攻擊愈發(fā)猖獗的原因，不外乎其攻擊過程的隱蔽性，受害者們往往不知道自己的電腦已經(jīng)中毒，當(dāng)他們看到勒索信息彈出在電腦屏幕后，已然為時已晚了。那么，在受害者看到勒索信息之前，勒索軟件實(shí)際都展開了哪些攻擊呢?

勒索攻擊五步走

實(shí)際上，自從受害者點(diǎn)擊了釣魚郵件中的一個惡意鏈接，或者下載了含有惡意附件的文件之后，勒索軟件就已經(jīng)進(jìn)入了操作系統(tǒng)的大門了。

勒索軟件攻擊從惡意鏈接或惡意附件開始(圖片來自網(wǎng)絡(luò))

第一步，勒索軟件會先將自己復(fù)制到電腦用戶的資料夾內(nèi)，通常是以可執(zhí)行文件的格式。在Windows環(huán)境，惡意軟件往往將文件寫入到“/APPDATA”或“/TEMP”的資料夾里，因?yàn)閷懭脒@些資料夾無須管理員權(quán)限。接著，勒索軟件便開始悄悄地在后臺展開后續(xù)攻擊了。

第二步，連網(wǎng)至特定網(wǎng)站收發(fā)信息。一旦勒索軟件進(jìn)入操作系統(tǒng)，它會嘗試連接互聯(lián)網(wǎng)并且聯(lián)通特定服務(wù)器。在這個階段，勒索軟件會與命令和控制(C&C)服務(wù)器發(fā)送和接收設(shè)定文件。

第三步，搜索特定類型的文件進(jìn)行加密。

接下來，勒索軟件會進(jìn)入受感染系統(tǒng)的資料夾，搜索特定類型的文件進(jìn)行加密。當(dāng)然，會被加密的文件類型也取決于勒索軟件的種類分支，會刪除鏡像文件和備份的勒索軟件家族也會在加密過程前完成。

第四步，產(chǎn)生加密密鑰。

在開始加密文件前，勒索軟件會先產(chǎn)生用來加密的密鑰。根據(jù)勒索軟件種類的不同，加密受感染系統(tǒng)文件的方式也會有所差別，可能會使用AES、RSA或合并使用等情況。而且加密文件所需要花費(fèi)的時間也會根據(jù)文件數(shù)量、系統(tǒng)處理能力和加密方法而有所差異。

許多勒索軟件會建立自動啟動機(jī)制來繼續(xù)加密操作，防止在加密過程由于系統(tǒng)關(guān)機(jī)而中止執(zhí)行。

第五步，向用戶發(fā)送勒索通知和付款指示。

對于絕大多數(shù)的勒索軟件來說，出現(xiàn)勒索通知即代表文件的加密過程已經(jīng)成功。有些勒索通知是在加密過程完成后馬上出現(xiàn)，而有些會更改啟動磁區(qū)的勒索軟件則會在系統(tǒng)重新啟動后出現(xiàn)通知。不過，也有些勒索軟件則不會顯示勒索通知，至少不會自動顯示。還有些則會在受感染的資料夾內(nèi)生成勒索通知或顯示HTML頁面來告知勒索要求和付款指示。更有一些鎖屏幕勒索軟件則會用勒索通知鎖定屏幕，讓用戶無法操作電腦。

感染勒索軟件后的可疑征兆

既然勒索攻擊防不勝防，那么感染勒索軟件后一般有哪些可疑的征兆呢?

感染勒索軟件后的可疑征兆

應(yīng)該說，勒索軟件的攻擊行為依據(jù)其病毒家族或變種而各有不同，不過，當(dāng)然還是有些蛛絲馬跡可以讓用戶或IT管理員察覺到勒索軟件的感染情況。例如，

首先，在勒索軟件的加密過程中，由于其在后臺不斷執(zhí)行操作，受害者可能會發(fā)覺操作系統(tǒng)無故變慢。

其次，即便沒有執(zhí)行任何程序，硬盤指示燈還是會狂閃，這表示電腦硬盤正在被執(zhí)行讀寫操作中，而這很可能是中招勒索軟件后，搜索和加密文件程序開始的一個標(biāo)志。