勒索软件解析：其运作方式以及如何预防它

勒索软件是一种恶意软件，它通过加密用户的数据来阻止他们访问这些数据。网络犯罪分子利用这种软件从被黑客入侵的个人或组织那里索要赎金，同时还会扣留这些数据，直到支付赎金为止。如果网络犯罪分子在规定的时间内未能支付赎金，那么这些数据可能会被泄露出去，或者遭到永久性的破坏。对于企业来说，勒索软件是最严重的威胁之一。

自2000年代中期以来，各种企业、个人以及政府机构都曾遭受过勒索软件攻击的困扰。这些系统的恢复工作需要耗费大量的资金。

计算机是如何被勒索软件感染的呢？

最常用的攻击手段之一就是网络钓鱼。攻击者通过电子邮件、社交媒体、广告以及网页弹窗等方式来传播恶意内容。下面我们来详细了解一下这些手段吧。

• 电子邮件钓鱼：恶意链接或附件会诱使用户运行恶意软件，这些软件会加密文件，并进一步在连接的系统中传播。
• 恶意弹出窗口：这些虚假的更新或警告弹窗在用户点击后会携带恶意代码，或者诱使用户访问攻击者控制的页面。
• 受损的远程桌面连接（RDP）：攻击者通过暴力破解或利用暴露的RDP端口（端口号为3389）来获取管理员权限，从而禁用防御措施，并部署勒索软件。
• 通过驱动式下载方式获取文件：访问被感染或受攻击者控制的网站时，恶意软件会在没有用户干预的情况下被自动下载或执行。

勒索软件是如何运作的？

勒索软件在发挥作用的过程中，会经历一个特定的循环。在目标用户完全意识到自己感染了恶意软件之前，这个过程就已经开始了。

• 感染：据认为，主要的攻击途径是通过钓鱼邮件以及其他诱骗手段来进行的。目标用户会在不知情的情况下被诱导将勒索软件安装到自己的系统中。
• 执行：在安装了恶意软件之后，该程序会发送一个可加载的恶意程序到系统中。该恶意程序会搜索具有价值的文件，然后用几乎无法破解的加密方式对这些文件进行加密。
• 加密：这些文件受到只有攻击者才知道的密钥的保护。受害者会收到消息或警告，说明攻击者希望以赎金来换取解密密钥。
• 赎金要求：攻击者向受害者展示如何支付赎金。通常情况下，赎金会以匿名货币形式进行支付，比如比特币。
• 解密（如果支付了赎金）：如果受害者同意支付费用，那么解密密钥就会被发送给攻击者。不过，这些数据可能无法被恢复出来。

如何阻止勒索软件的攻击？

• 请避免点击来自不可信来源的链接或下载附件。不要打开来自未知发件人的电子邮件或点击其中的链接。请先确认一下邮件的来源是否可靠。
• 请保持操作系统和软件的更新。请及时应用安全补丁，以修复那些可能被利用的漏洞。
• 务必保持可靠的备份。同时保留本地备份以及离线或云端的备份（在可能的情况下，尽量实现离线或不可更改的备份）。此外，定期测试恢复功能。
• 限制访问权限，并对网络进行划分。实施“最小权限”原则，隔离敏感系统，并对网络进行分割，以阻止恶意软件的横向扩散。
• 禁用或更新那些存在风险的插件。请移除或替换那些已不再被使用的插件（如 Flash、Java 等），同时尽量减少在浏览器中使用的插件数量。
• 请确认文件的来源和扩展名是否正确。请仅从可信的网站下载文件，并在打开文件之前确认文件的扩展名是否正确。
• 对员工进行勒索软件相关知识的培训。开展网络钓鱼模拟演练，教授用户如何安全浏览互联网，并强制实施安全的远程工作实践（避免使用公共Wi-Fi，或使用VPN来保障网络安全）。
• 实施严格的认证机制。请使用强度高且独特的密码，并尽可能启用多因素认证。

勒索软件有哪些不同的类型呢？

勒索软件有多种类型，每种类型的攻击手段也各不相同。

• 加密勒索软件：这种病毒会在受害者的系统上感染文件，然后要求支付费用以获取能够解密这些文件的密钥。由于这种病毒的加密强度很高，因此被攻击者广泛利用。
• Locker Ransomware：与那些会加密文件的网络威胁不同，这种勒索软件会让用户无法访问自己的设备或设备的任何功能，除非支付赎金。
• 恐怖软件：其中有一些人假装已经感染了你的电脑，然后要求你支付费用来解决问题。但实际上，可能根本就没有什么问题。
• 按需付费的勒索软件服务（RaaS）：这是一种被网络犯罪分子所采用的商业模式。在这种模式下，勒索软件的执行工作会被外包给其他网络犯罪分子来完成。这些网络犯罪分子在成功获取赎金后会获得一定的报酬。
• Doxware（敲诈软件）：那些犯罪分子利用自己的知识，向受害者勒索钱财。他们声称，如果要求支付的赎金没有按时到位的话，他们就会揭露各种新的信息。

勒索软件对企业会产生什么影响？

勒索软件对企业来说可能带来毁灭性的影响，具体表现包括：

• 财务损失：当然，实际支付赎金也会带来一定的成本。不过，企业还需要承担因系统停机、生产中断以及恢复工作而产生的各种费用。
• 数据丢失：如果这样的备份系统没有得到妥善的维护，那么企业就有可能永远失去这些重要信息。
• 声誉损害：消费者也可能不再信任那些曾经遭受过勒索软件攻击的企业，这就会给这些企业的形象带来负面影响。
• 法律责任：至于数据类型方面，有些公司可能会因为客户敏感数据的泄露而面临诉讼或罚款。
• 运营中断：在攻击发生期间，企业的运营会陷入停滞状态。因此，各种项目完成所需的时间会延长，同时企业的收入也会受到影响。

勒索软件的历史以及著名的勒索软件攻击案例

勒索软件已经存在了二十多年，其复杂程度也在不断上升。

艾滋病木马（1989年）：这是最古老的勒索软件之一。恶意软件这种方式试图通过传递某种信息来运作，即用户需要支付一定的费用，才能获得能够解锁这些文件的代码。

2. CryptoLocker（2013年）：这是一种由垃圾邮件活动所引发的勒索软件。它采用了一种较为独特的支付方式，要求用户用比特币来支付赎金。

3. WannaCry（2017年）：这是一场全球范围内的勒索软件攻击，涉及超过150个国家的23万台计算机。该攻击利用了微软操作系统中的漏洞，导致诸如英国国民健康服务体系等机构的运营受到严重影响。

4. Petya（2016年和2017年）：Petya的独特之处在于，与一般的勒索软件不同，它还会加密硬盘中的所有文件。其变种NotPetya的破坏力更为严重，而且很多人认为，NotPetya是由政府或机构所操控的。

5. Clop/MOVEit以及持续进行的现代运动（2021–2023年）这些具有巨大破坏性的数据窃取和勒索活动（例如，利用文件传输软件进行攻击）表明，数据盗窃与加密技术被结合在一起了——也就是所谓的“双重勒索”。具体细节请参阅相关供应商的报告或事件报道。

6. LockBit（2020–2024）——曾经非常活跃，但后来陷入了停滞状态（2024年）LockBit成为了以攻击数量而言最为活跃的RaaS家族。在2024年初，国际执法部门成功破坏了其基础设施，并查封了其勒索网站的部分区域。这一成就标志着全球合作在执法领域的重大突破。

如何判断勒索软件正在发起攻击？

及早发现勒索软件攻击是减少损失的关键。

异常的文件活动：在文件名末尾添加的任何新扩展名、数量庞大的、以前不存在的文件，或者被锁定或加密的文件，都可能是勒索软件在作祟的迹象。

2. 系统性能下降：如果应用程序不再响应，或者更具体地说，如果系统的运行速度逐渐变慢，那么很可能 ransomware已经在后台活跃着了。

3. 突如其来的赎金要求：在屏幕上显示勒索信是一种明显的迹象，不过通常情况下，你其实已经过了这个阶段了。

4. 安全警报：防火墙或反病毒软件 or IDS可以通知用户系统中某些可能属于勒索软件的活动。

如何阻止勒索软件攻击？

预防勒索软件攻击需要采取主动措施，包括：

定期备份：定期将重要数据备份到其他设备上，最好是在网络之外进行备份。这样，即使黑客要求支付赎金，我们仍然可以恢复这些数据。

2. 安全软件：使用最新的防病毒软件。反恶意软件旨在识别并防止勒索软件进入您的系统。

3. 用户培训：请向工作场所的员工通报有关电子邮件钓鱼诈骗行为的信息，以及那些看起来可疑的网站上的链接。同时，提醒他们不要从未知来源下载任何软件。

4. 补丁管理：切勿允许任何软件或系统在没有安装必要的安全补丁和更新的情况下运行。

5. 网络分割：通过分割网络来限制勒索软件的传播，这样，如果某个部分被攻击，其他部分仍然可以正常工作。