网络安全
    作者:郑伟

    遭受勒索攻击后,勒索软件接下来做什么?

         [ 中关村在线 原创 ] 暂无评论

      随着勒索软件(Ransomware)攻击的快速传播,导致其攻击触角已从一般用户个体,逐步拓展至企事业单位和政府机构,而其造成的恶劣影响更是逐年升级。对于政企机构来说,不仅面临着失去对数据文件的掌控能力,而且还有声誉遭受损失之虞,这就让勒索攻击者往往通过恐吓手段便能迫使受害者支付赎金。

    遭受勒索攻击后,勒索软件接下来做什么?

      然而助长勒索攻击愈发猖獗的原因,不外乎其攻击过程的隐蔽性,受害者们往往不知道自己的电脑已经中毒,当他们看到勒索信息弹出在电脑屏幕后,已然为时已晚了。那么,在受害者看到勒索信息之前,勒索软件实际都展开了哪些攻击呢?

        勒索攻击五步走

      实际上,自从受害者点击了钓鱼邮件中的一个恶意链接,或者下载了含有恶意附件的文件之后,勒索软件就已经进入了操作系统的大门了。

    遭受勒索攻击后,勒索软件接下来做什么?
    勒索软件攻击从恶意链接或恶意附件开始(图片来自网络)

      第一步,勒索软件会先将自己复制到电脑用户的资料夹内,通常是以可执行文件的格式。在Windows环境,恶意软件往往将文件写入到“/APPDATA”或“/TEMP”的资料夹里,因为写入这些资料夹无须管理员权限。接着,勒索软件便开始悄悄地在后台展开后续攻击了。

      第二步,连网至特定网站收发信息。一旦勒索软件进入操作系统,它会尝试连接互联网并且联通特定服务器。在这个阶段,勒索软件会与命令和控制(C&C)服务器发送和接收设定文件。

      第三步,搜索特定类型的文件进行加密。

      接下来,勒索软件会进入受感染系统的资料夹,搜索特定类型的文件进行加密。当然,会被加密的文件类型也取决于勒索软件的种类分支,会删除镜像文件和备份的勒索软件家族也会在加密过程前完成。

      第四步,产生加密密钥。

      在开始加密文件前,勒索软件会先产生用来加密的密钥。根据勒索软件种类的不同,加密受感染系统文件的方式也会有所差别,可能会使用AES、RSA或合并使用等情况。而且加密文件所需要花费的时间也会根据文件数量、系统处理能力和加密方法而有所差异。

      许多勒索软件会建立自动启动机制来继续加密操作,防止在加密过程由于系统关机而中止执行。

      第五步,向用户发送勒索通知和付款指示。

      对于绝大多数的勒索软件来说,出现勒索通知即代表文件的加密过程已经成功。有些勒索通知是在加密过程完成后马上出现,而有些会更改启动磁区的勒索软件则会在系统重新启动后出现通知。不过,也有些勒索软件则不会显示勒索通知,至少不会自动显示。还有些则会在受感染的资料夹内生成勒索通知或显示HTML页面来告知勒索要求和付款指示。更有一些锁屏幕勒索软件则会用勒索通知锁定屏幕,让用户无法操作电脑。

    提示:支持键盘“← →”键翻页
    本文导航
    • 第1页:勒索攻击五步走

    周关注排行榜

    防火墙UTM上网行为防毒墙

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询