近年來，勒索軟件的威脅已經(jīng)變得相當(dāng)普遍，而想要預(yù)測(cè)制定穩(wěn)妥的防護(hù)策略，就需要對(duì)其原理展開深入分析。好消息是，在上周的一篇文章中，卡巴斯基在 SecureList 網(wǎng)站上分享了其對(duì)多款勒索軟件的調(diào)查報(bào)告，并揭示了一些常見的攻擊模式。

（來自：Kaspersky）

卡巴斯基重點(diǎn)介紹了八款活躍度勒索軟件，并指出幕后團(tuán)伙為其選用了非常相似的運(yùn)作模式。

據(jù)悉，該報(bào)告對(duì) Conti / Ryuk、Pysa、Clop（TA505）、Hive、Lockbit 2.0、RagnarLocker、BlackByte 和 BlackCat 的策略、技術(shù)和流程（TTP）展開了深入分析。

參考文中分享的框圖，分析 / 數(shù)字取證專家和其他安全工作者可借此來實(shí)施更有效的識(shí)別與打擊策略。

VentureBeat 指出，上述八個(gè)勒索軟件團(tuán)伙在去年攻擊了美國、英國和德國地區(qū)各個(gè)行業(yè)的 500+ 組織。

而從 Kaspersky 羅列的幾十個(gè)步驟來看，每款勒索軟件的攻擊套路都是其所獨(dú)有的。

比如幾乎所有勒索軟件團(tuán)伙都喜歡從外部遠(yuǎn)程服務(wù)器開始下手，且只有半數(shù)還在使用網(wǎng)絡(luò)釣魚的手段。

此外所有團(tuán)伙都傾向于支持 WMI、命令和腳本解釋器、應(yīng)用層協(xié)議、Web 協(xié)議、簽名二進(jìn)制執(zhí)行等目標(biāo)。

最近的勒索軟件受害者，包括了 QNAP、ASUStor 和 NVIDIA 。而 6 月初的時(shí)候，富士康在墨西哥的工廠也遭遇了 Lockbit 2.0 的攻擊。

防止系統(tǒng)恢復(fù)或加密最有影響的數(shù)據(jù)，依然是相當(dāng)常見的套路。不過一些不那么流行的策略，還涉及 BITS 作業(yè)。以及從密碼存儲(chǔ)、或通過 Web 瀏覽器獲取賬戶憑證。