?譯者 | 陳峻

審校 | 孫淑娟

本文和你全面討論鎖屏類勒索軟件的基本特征、工作原理、以及如何有效地保護自己的計算機免受此類侵害。  

大多數(shù)人都聽說過勒索軟件，這類最具危險性的惡意軟件類型。它可以瞬間完全加密你設(shè)備上的數(shù)據(jù)，直至繳納贖金方可獲得解密。目前，勒索軟件有著包括：Cryptolocker、Locky和Petya等多種類型。近年來，隨著勒索軟件類型不斷上升，你是否遭受過鎖屏類勒索軟件的攻擊呢？

下面，我將和你全面討論鎖屏類勒索軟件的基本特征、工作原理、以及如何有效地保護自己的計算機免受此類侵害。

1、什么是鎖屏勒索軟件?

顧名思義，鎖屏類勒索軟件會在啟動時，直接接管或“凍結(jié)”你的屏幕，以阻止你對設(shè)備的后續(xù)訪問與使用。有時，它會顯示一條虛假的消息或警告，聲稱是來自FBI或DHS（United States Department of Homeland Security，美國國土安全部）等執(zhí)法機構(gòu)。當(dāng)然，它也可能會捏造相關(guān)法律，聲稱用戶“涉嫌違法、需要繳納罰款，才能解鎖屏幕，實現(xiàn)必要的申辯”。簡而言之，這些都只是敲詐受害者、并從中騙取錢財?shù)姆绞?。此類勒索軟件往往攻擊的是安全措施薄弱、或易于繞過的操作系統(tǒng)。

2、鎖屏勒索軟件如何感染你的設(shè)備？

通常，鎖屏類勒索軟件可以通過多種方式去感染設(shè)備。最常見的便是通過惡意電子郵件附件的形式進行傳播。這些附件可以是文檔、圖像、甚至是鏈接的形式。一旦用戶打開了此類附件，惡意代碼便會傳入設(shè)備，伺機執(zhí)行鎖屏、鎖文件等操作。

鎖屏類勒索軟件也可以通過針對各種安裝在設(shè)備上的應(yīng)用、Web瀏覽器、甚至是操作系統(tǒng)的虛假更新，來感染設(shè)備。此外，它們還會通過惡意網(wǎng)站進行傳播。此類站點可能包含了各種漏洞利用工具包、惡意鏈接、以及偷渡式下載（drive-by downloads）。它們可以神不知鬼不覺地感染目標(biāo)設(shè)備，而且很難被刪除或查殺。

3、鎖屏勒索軟件如何工作的？

如下圖所示，這是在設(shè)備感染了鎖屏勒索軟件后，最直觀的屏幕顯示。警告的內(nèi)容通常會告知你需要支付一定的金額，才能解鎖屏幕。有時，除了勒索信息，它還會顯示一個倒計時的畫面。不過，經(jīng)典的鎖屏勒索軟件并不鎖死設(shè)備上的文件，但是在某些情況下，勒索軟件也會加密你的文件，以索取更高的贖金。

4、如何識別鎖屏勒索軟件

在屏幕上看到勒索的界面時，請你不要慌張。讓我們試著從如下方面來進行進一步的確定：

請檢查你是否還能夠訪問到任務(wù)管理器。如果可以的話，則意味著勒索軟件尚未完全地接管你的系統(tǒng)。

請查看你是否可以在安全模式下重新啟動計算機。如果可以的話，則意味著勒索軟件尚未感染計算機的啟動過程。

請檢查你是否有最近的一次數(shù)據(jù)備份。如果你備份過，那么你至少可以格式化操作系統(tǒng)，并從備份中恢復(fù)自己的數(shù)據(jù)。

由于大多數(shù)勒索軟件的目標(biāo)不只是本機，而是要傳播和感染更多的設(shè)備，因此你需要盡快斷開本機與網(wǎng)絡(luò)的連接。這將能夠防止勒索軟件傳播到連接在同一網(wǎng)絡(luò)的其他設(shè)備上。當(dāng)然，如果有任何外接移動硬盤、或USB驅(qū)動器連接在你的計算機上，也請立即斷開它們。

5、如何刪除鎖屏勒索軟件

如果上面提到的重啟計算機有效的話，你應(yīng)當(dāng)立即使用反惡意軟件或防病毒程序，通過全面掃描的方式，從計算機上刪除任何惡意軟件。如果重啟無效的話，你需要使用帶有反惡意軟件程序的可啟動USB驅(qū)動器，來進行查殺。

總的說來，如果你可以重啟進入Windows的安全模式的話，那么刪除鎖屏勒索軟件相對比較容易。你只需在安全模式下，運行必要的Windows應(yīng)用和服務(wù)，便可追查到罪魁禍?zhǔn)?，并將其從設(shè)備中完全刪除。

當(dāng)然，如果在安全模式下仍無法找到并刪除惡意軟件的話，你可以試著將系統(tǒng)恢復(fù)到未被感染之前的狀態(tài)。通常，Windows會自動創(chuàng)建系統(tǒng)的還原點。據(jù)此，你可以將系統(tǒng)切換回曾經(jīng)的“干凈”狀態(tài)。

6、如何防止鎖屏勒索軟件的感染

常言道：“預(yù)防勝于治療?！倍遥诶账鬈浖舻膱鼍爸?，預(yù)防可能是唯一行之有效的治療方法。畢竟，一旦你的系統(tǒng)感染了勒索病毒，就很難實現(xiàn)“毫發(fā)無損”。而且，在大多數(shù)情況下，用戶要么不得不乖乖地交上贖金，要么選擇放棄被加密的文件系統(tǒng)。就預(yù)防而言，我們可以盡早采取如下措施，來免受勒索軟件的侵害：

（1）備份你的數(shù)據(jù)

作為最佳的預(yù)防方法，良好的備份系統(tǒng)能夠確保即使在系統(tǒng)受到感染時，你仍然可以從備份中恢復(fù)數(shù)據(jù)。為此，你必須定期將數(shù)據(jù)備份到外部硬盤或云服務(wù)處，然后及時中斷兩者之間的連接，以免備份設(shè)備與本機設(shè)備同時被感染。

（2）保持軟件為最新

你必須持續(xù)更新你的操作系統(tǒng)和所有已安裝的軟件。各種安全補丁不但有助于修復(fù)系統(tǒng)和應(yīng)用層面的漏洞，而且能夠防止大多數(shù)勒索軟件的攻擊。

（3）使用良好的安全程序

良好的安全程序不僅有著實力雄厚的開發(fā)企業(yè)作為安全水平的加持，而且能夠及時地得到安全補丁的持續(xù)推送。這些都能夠有效地保護你的系統(tǒng)，免受任何惡意軟件的攻擊。

（4）不要下載可疑的文件

你不但應(yīng)該只從受信任的來源去下載文件，而且請記住在打開已下載的文件之前，應(yīng)使用良好的安全工具對其進行掃描。

（5）打開電子郵件和附件時要小心

如前所述，勒索軟件通常會通過電子郵件的附件進行傳播，因此請不要隨意打開來自陌生發(fā)件人的電子郵件附件。同樣，在打開附件之前，請確保使用良好的安全工具對其進行掃描。

（6）避免點擊可疑鏈接

正如你時常聽到的那樣，各種被安插在電子郵件、或在線平臺中的可疑鏈接，往往會將你重定向到易于傳播勒索軟件的惡意網(wǎng)站上。你在不確定某個鏈接時，可以請專業(yè)的安全人員來檢查。

（7）避免使用盜版軟件

常言道：天下沒有免費的午餐。當(dāng)你仔細考慮那些免費讓你使用的盜版軟件提供者，是靠什么牟利時，可能就會自覺地去使用正版軟件，并購買其許可證了。

（8）保持防火墻開啟

顧名思義，主機版防火墻不但對內(nèi)可以防止任何未經(jīng)授權(quán)流量，去訪問你的系統(tǒng)；對外，它也能夠阻止將勒索軟件傳播到與該設(shè)備相連接的網(wǎng)絡(luò)之中。

7、小結(jié)

相比其他類型的勒索，雖然經(jīng)典的鎖屏勒索軟件只是鎖定用戶的屏幕，并不加密所有的數(shù)據(jù)。但是誰又能保證攻擊者真的會按照套路來實施攻擊呢？因此，請參照上面提到的8項建議，保持你的計算機具有良好的安全態(tài)勢與數(shù)據(jù)備份。

原文鏈接：https://www.makeuseof.com/what-is-screen-locker-ransomware/

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。