一文看完勒索病毒之所有

目录：

一、勒索病毒的历史

二、勒索病毒的类型

三、勒索病毒如何工作

四、为什么勒索病毒难以解决

五、如何防范对抗（个人、企业）

正文：

    勒索病毒可以将电脑和移动设备上的文件、数据或系统、应用锁定，要求支付赎金后解锁，我们从不建议您支付赎金，因为这并不能保证就能解决问题，同时还可能存在许多意想不到的问题。例如，即使使用正确的密钥，恶意软件中也可能存在使加密数据无法恢复的漏洞。

此外，支付赎金将向网络罪犯证明勒索软件是有效的。网络犯罪分子将因此继续开展更多活动，以新的方式利用系统的漏洞,感染更多的用户，并谋取更多不义之财。

一、勒索病毒的历史

1989年:Joseph Pop写了第一个已知的勒索软件--1989年的艾滋病特洛伊木马（也被称为“PC Cyborg”）

2005年:五月份出现敲诈勒索软件

2006年: 2006年中，Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive等蠕虫病毒开始使用更复杂的RSA加密方案，同时密钥大小不断增加

2011年:出现一款模仿Windows产品激活通知的勒索软件蠕虫

2013年:出现一款基于Stamp.EK漏洞套件表面的勒索软件蠕虫和Mac OS X特定的勒索软件蠕虫。CryptoLocker在该年最后四个月中迅速敛财约500万美元

2015年:多个平台上的多种变体病毒造成重大损失

二、勒索病毒的类型

加密勒索软件

• 它使个人文件和文件夹（文档、电子表格、图片和视频）被加密。

• 受感染的文件被加密后会被删除，用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件。

• 当您尝试打开其中一个加密文件时,您才可能会发现问题。

• 某些（但非所有）类型的加密软件会显示“锁屏”：

锁屏勒索软件 - WinLocker

• WinLocker会锁定电脑屏幕并要求付款。

• 它会呈现一个阻止所有其它视窗开启的全屏图像。

• 没有个人文件被加密。

主引导记录(MBR)勒索软件

• 主引导记录(MBR)是电脑硬盘驱动器的一部份，影响操作系统的启动功能。

• 主引导记录勒索软件会更改电脑的主引导记录，中断电脑的正常启动。

• 屏幕上反而会显示要求赎金的内容。

网络服务器加密勒索软件

• 它专门对网络服务器上的文件进行加密。

• 它通常使用内容管理系统中的已知漏洞在网络服务上部署勒索软件。

移动设备勒索软件（安卓）

• 移动设备（主要为安卓）可通过“路过式下载”受感染。

• 同时也可通过伪装成类似Adobe Flash或防病毒产品等受欢迎服务的假冒应用程序被感染。

三、勒索病毒如何工作

    任何消费者和任何企业都可能成为勒索软件的受害者。网络犯罪分子不选择下手的目标，希望尽可能吸引更多用户，从而获得最高的利润。勒索软件攻击通常通过可执行文件、存档或图像等电邮附件来传递。打开附件后，恶意软件将被释放到用户的系统中。网络罪犯也可以在网站上种植恶意软件。当用户不知不觉浏览该网站时，恶意软件已被释放到系统中。

    用户将不会立即发现设备被感染。恶意软件将在后台静默运行，直到部署系统或数据锁定机制被启动。届时会弹出一个对话框，告诉用户数据已被锁定，并要求赎金以解锁。这时候采取任何安全措施都将为时已晚。

四、为什么勒索病毒难以解决

勒索软件正在兴起 - 现在已经有超过50种这类恶意软件类型在流通 - 且正在快速发展。每个新变体都拥有加强的新功能。这是您不能忽视的事实！

找到单一解决方案的难处之一在于加密软件本身并不是恶意软件。它实际上是一个很好的开发软件，且许多良性的程序都会使用它。

第一个加密恶意软件使用了对称密钥算法，加密和解密均使用相同的密钥。损坏的信息通常可在保安公司的协助下成功破解。渐渐的，网络犯罪分子开始使用非对称加密算法，他们使用两个单独的密钥，即加密文件的公开密钥，以及解密公开密钥所需的私有密钥。

CryptoLocker木马病毒是最著名的勒索软件之一。它也使用公开密钥。电脑被感染时会连接到指挥和控制服务器以下载公开密钥。私有密钥则只有编写CryptoLocker软件的犯罪分子才拥有。通常，受害人必须在72小时内支付赎金，否则私有密钥将永久删除，如果没有私有密钥，就不可能解密任何文件。

所以您必须防患于未然。大多数防毒软件已经包含一个组件，可以在感染的早期阶段识别勒索软件威胁，避免丢失任何敏感数据。用户必须确保在防毒解决方案中启用此功能。

五、如何防范对抗（个人、企业）

如何防范勒索软件攻击？

勒索软件的感染以不同的方式進行，例如通过不安全和欺诈网站、软件下载和恶意附件。任何人都可以成为目标——个人和各种规模的公司。

幸运的是，您可以做好准备，减低笔记本电脑或文件被锁定的可能性。通过采取安全措施和注意网络风险，您可以显着降低受感染的几率。

以下指南将帮助您保持警惕和准备，还包括设备或系统受感染时应采取的步骤。

1、个人：

定期备份存储在计算机上的数据，这样勒索软件感染不会永远破坏您的个人数据。

最好创建两个备份副本：一个存储在云中（记住使用一个自动备份文件的服务），另一个物理存储（便携式硬盘、拇指驱动器、额外的笔记本电脑等）。完成后，请将它们与计算机断开。

Windows和Apple在其电脑上提供了内置的云备份功能，如常规Windows备份或Apple Time Machine。如果您不小心删除了一个关键文件或遇到硬盘故障，您的备份副本也会派上用场。

不要点击垃圾邮件、不知名或可疑电子邮件中的链接。

千万不要打开不知名电子邮件中的附件。网络犯罪分子经常发送虚假电子邮件，这些邮件与网店、银行、警察、法院或税务机构发出的电子邮件通知非常相似。他们诱使收件人点击恶意链接，从而将恶意软件放到他们的系统中。

请注意，任何帐户都可能被泄露，恶意链接可能会从朋友、同事或在线游戏合作伙伴的电子邮件和社交媒体帐户发送。如果您收到的附件看起来可疑，最好通过可靠的渠道，比如电话，询问发件人。

避免共享个人数据。

计划勒索软件攻击的网络罪犯会试图提前收集您的个人数据，以使他们的陷阱更像真。例如，他们会通过专门针对您的网络钓鱼邮件来实现这一目标。

• 如果您收到电话、短信或电子邮件是不可信或未经证实来源而要求您提供个人信息。请记住，不要理会这些要求。要确认联系人的真实身分。

• 如果有公司向您询问信息，请忽略该请求。相反，通过该公司官网上的联系方式去联系该公司，以核实该请求是否属实。

对敏感数据要一丝不苟。

敏感数据必须与日常数据区别对待。

• 将图片、商业文档、个人数据等存储在別的设备上，以便长期存储。

• 删除不再需要的数据，例如临时文件、浏览器历史记录、旧图片/文本等。

• 确保所有帐户使用专属的强密码，以减轻凭据(credentials)被释放时的损害。

• 经常更新密码，并考虑使用密码管理器。

• 此外，考虑應否存储已加密的敏感文件在普通用户上（超过全磁盘加密）。

考虑在您的重要线帐户上使用多因素身份验证。

多因素身份验证 (MFA) 是一个额外的安全层，用于确保试图访问在线服务（如银行、电子邮件或社交媒体帐户）的人的身分。

输入用户名和密码后，您需要提供另一条信息确认身份（第二步）。这些信息应该是只有您才能访问的信息，例如，通过文本消息发送的代码，或由验证器生成的代码。

大多数主要的在线服务都需要多因素身份验证 (MFA)。虽然其中一些默认情况下会激活它，但在其他一些情况下，您需要手动打开它。查看您账户的安全设置（也可以称为“两步验证”）。

浏览互联网时要小心，不要点击可疑链接、弹出窗口或对话框。

您對这些链接，或者不包含任何有意义的单词。点击它们可能会将恶意软件下载到您的系统中，链接通常不会指向预期的网站。如果您不确定，首先通过搜索引擎访问该网站，看看它是否真的存在。

只浏览和下载官方版本的软件，或从受信任的网站下载。

如果您要下载内容至手机或平板电脑，请确保使用声誉良好的来源和商店，如App Store（Apple苹果）或Google Play Store（安卓Android）。判断网站是否欺诈的最佳方法是仔细留意其URL。URL中的域名应与网站名称匹配。HTTPS连接和显示挂锁图标是安全连接的标志，但这并不意味着您可以信任它。

使用强大的安全产品保护您的系统免受包括來自勒索软件有威胁。

不要关闭“启发式函数”，因为这些函数有助于捕获尚未正式发现的勒索软件。

不要将不知名的U盘连接到系统。

请不要将来源不名的USB或其他移动存储设备插入您的计算机。网络犯罪分子可能已经用感染了勒索软件的设备留在公共空间以引诱您使用它。

使用公共Wi-Fi时启动虚拟专用网络（VPN）。

当您连接到公共Wi-Fi网络时，您的设备更容易受到攻击。为确保安全，请避免使用公共Wi-Fi进行机密交易，或应使用安全VPN。

确保您的安全软件和操作系统是最新版本的。

当您的操作系统（OS）或应用程序发布新版本时，请安装它。如果软件提供了自动安装更新的选项，请使用它。

不要使用高权限帐户 （具有管理员权限的帐户）处理日常业务。

管理员权限允许用户安装新软件并控制系统的运行方式。而日常任务应由标准用户帐户处理。这将有助于防止在点击可执行恶意文件或黑客侵入网络时对系统造成损害。

在计算机的Windows设置中启用“显示文件扩展名”选项。

这将更容易发现潜在的恶意程式。远离文件扩展名，例如 ’exe'，'vbs’ 和 ‘scr'。骗子可以加入多个扩展名，以隐藏恶意可执行文件，如视频、照片或文档（如hot-chics.avi.exe或doc.scr）

启动本地防火墙。

启动本地防火墙以防止未经授权的访问。

• 在苹果设备上：系统首选项>安全和隐私。

• 在Windows设备上：开始>设置>更新和安全>Windows安全>防火墙和网络保护。

感染了…下一步该怎么办？

1. 1） 如果发现机器上有恶意或未知进程，请立即将其与internet或其他网络连接（如家庭Wi-Fi）断开，这样可以防止感染传播。

2. 2） 不要付赎金。否则您将资助罪犯并鼓励他们继续他们的非法活动。付款不能保证您取回您的数据或设备，而且您将来更有可能再次成为目标。

3. 3） 拍摄屏幕上显示的赎金通知的照片或截图。

4. 4） 可以的话，请使用防毒或反恶意软件清除设备上的勒索软件。您可能需要重新启动系统进入安全模式。

5. 5） 删除勒索软件不会替您的文件解锁，但它会让您执行以下步骤，而不会对新文件进行加密。

6. 6） 如果您有备份，请用备份重新安装，并阅读我们的建议，以防止您再次成为受害者。

7. 7） 如果您没有备份，请访问www.nomoreransom.org以检查您的设备是否感染了勒索软件变体，我们免费提供解密工具。在这个过程中，有关勒索软件上所说明的信息将会非常有用。

8. 8） 报警吧。您提供的信息越多，执法机关就能更有效地打击犯罪活动。

2、个人：

为公司的作业系统和应用程序保持为更新版本。

• 应用最新的安全补丁，确保关键软件是最新的，移动设备亦一样。

• 可以的话，启用自动更新选项。定時更新将确保设备更安全，性能亦更好。

• 评估是否需要安装防病毒和反恶意软件产品，并使其保持最新。

• 定期扫描以确保操作系统高效运行。

• 考虑使用集中式补丁管理系统，并使用风险评估策略来确定哪些系统应该是补丁管理程序的一部分。

• 定期创建在线和离线备份系统。最新备份是从勒索软件攻击中恢复的最有效方法。

• 确保创建离线备份，这些备份保存在与网络和系统中，和/或在为此目的设计的云服务中的不同的位置（最好是离线）。请记住，勒索软件会主动将备份作为目标，以增加受害者付费检索其数据的可能性。

了解您的资产并将其划分。

敏感数据必须与日常数据区别对待。

• 将敏感数据存储在分隔的位置。

• 实施并确保有效的网络隔离，以限制对手从网络的一个部分转移到另一个部分的能力。

• 确保具有不同特征和安全等级的区域划分，隔离并限制对容易受到威胁的区域的访问。

对远程桌面协议(Remote Desktop Protocols / RDPs)实行安全限制登入

限制通过网络访问资源，尤其是通过限制RDP。经过适当的风险评估后，如果您的组织认为RDP是绝对必要的，请严格要求原始来源并要求多因素身份验证。

监控数据外泄。

许多勒索软件活动都以威胁发布数据的手段来怂恿企业支付赎金。数据外泄发现得越早，泄漏造成的损害就越小。研究数据外泄的可能性可以准确地了解哪些数据存在暴露风险。

付款无法保证攻击者不会发布外泄的数据或重复使用相同的数据进行其他勒索。无论是否支付赎金，都要考虑在这两种情况下会发生的事。

测试您的系统。

定期对网络安全进行渗透测试，并在关键信息恢复过程中执行测试，以确保其按预期工作。

降低恶意内容进入网络的可能性。

• 停用脚本环境 (scripting environments) 及巨集 (macros)。

• 将系统配置为主动检查内容，只允许某些文件类型，并阻止已知恶意的网站、应用程序、协议等。

• 在网络层面，考虑过滤网络流量，执行策略去监视、过滤和阻止非法或恶意流量到达您的网络。

• 基于实时威胁情报源实施黑名单/白名单规则，以防止用户访问恶意网站、恶意IP地址、钓鱼URL、匿名代理、Tor网络和其他匿名服务等。

使用强密码并定期更改密码。

• 利用数字、符号和大小写组合能帮助您创建强密码。

• 培训并鼓励员工在工作和私人生活中使用强密码，并推广使用密码管理器。

使用强身份验证。

需要多因素身份验证才能访问关键网络上的帐户，以最大限度地降低通过被盗或被黑客攻击的凭据进行访问的风险。

管理特权帐户的使用。

• 限制员工在公司网络设备上安装和运行软件应用程序的能力。

• 确保通过帐户使用策略、用户帐户控制和特权用户访问管理来限制用户和系统帐户。

• 根据最低权限、需要知道(need to know)原则和职责来决定访问权。与普通用户帐户相比，特权用户帐户的潜在危害将导致更大的风险敞口。

保护您的远程工作设备。

• 实施硬盘加密、非活动超时、隐私屏幕、强身份验证、蓝牙禁用和可移动媒体控制和加密（例如USB驱动器）等措施。

• 对丢失或被盗设备实施远程禁用访问的程序。

仅从受信任的来源安装应用程式。

公司应只允许安装来自官方来源的应用程式的移动设备连接到企业网络。可以考虑建立一个企业应用程式商店，供终端用户访问、下载和安装公司批准的应用程式。咨询您的供应商以获取安全建议，或在公司内设立一支负责安全的团队。

避免透过公共Wi-Fi网络访问公司数据。

一般来说，公共Wi-Fi网络并不安全。如果员工在机场或咖啡馆使用免费Wi-Fi连接访问公司数据，这些数据可能会暴露给恶意用户。建议公司在这方面制定有效的使用政策。

为员工提供网络安全教育和意识培训。

• 让员工了解公司的在线安全政策。提高员工对网络威胁的意识，尤其是网络钓鱼和社交工程，以及当他们遇到可疑活动时的处理方法。

• 考虑实施用户培训程序，包括针对鱼叉式网络钓鱼的模拟攻击，以阻止员工访问恶意网站或打开恶意附件。

• 为您的员工提供一种无缝的方式来报告钓鱼电子邮件，并在他们这样做时给予奖励。一个简单的「谢谢」弹出窗口或积分系统有助激励员工提高警惕，并报告他们发现的可疑情况。

考虑网络安全保险。

考虑寻找一个保险代理人，在网络攻击的情况下提供保障。

打开本地防火墙。

打开本地防火墙以防止未经授权的访问。

停用Windows PowerShell。

如果未使用，停用Windows PowerShell。一些勒索软件变体需要使用PowerShell执行。

感染了…下一步该怎么办？

1. 1） 立即断开受感染设备与所有网络连接的连接，但不要将其关闭，无论是以有线、无线还是移动电话连接。

2. 2）在非常严重的情况下，考虑是否关闭您的Wi-Fi，可能有需要禁用任何核心网络连接（包括交换机），以及断开与Internet的连接。

3. 3） 重置凭据，包括密码（尤其是管理员和其他系统帐户），但请确认您没有将自己锁定在恢复所需的系统之外。

4. 4） 将事件报告给您国家的警察或其他主管部门。

5. 5） 与调查攻击的主管部门协调，保存任何证据：创建受影响系统的法医图像（或系统快照），创建受影响系统的RAM转储，并保存任何netflow或其他网络流量日志。

6. 6） 访问www.nomoreransom.org以检查您的企业是否感染了任何勒索软件变体，我们免费提供解密工具。如果情况并非如此，请继续执行恢复步骤。

7. 7） 安全地处理受感染的设备并重新安装操作系统。

8. 8） 在从备份中恢复之前，请确认已没有任何恶意软件。只有在确信备份和连接到的设备是干净的情况下，才应该恢复。

9. 9） 将设备连接到干净的网络，以下载、安装和更新操作系统和所有其他软件。

10. 10） 安装、更新和运行防病毒软件。

11. 11） 重新连接到您的网络。

12. 12） 监控网络流量并运行防病毒扫描，以确定是否仍存在任何感染。

写到最后：

    执法部门和信息技术保安公司已携手合作打击与勒索软件有关的网络犯罪行为。

“拒绝勒索软件”网站（/www.nomoreransom.org）是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基實驗室 和英特尔公司（英特尔安全）网络保安全公司所推动的计划，旨在帮助勒索软件的受害者重新取回其加密数据，而无需支付赎金。

由于预防胜于治疗，与其等到系统受到感染，本计划也希望向用户宣导勒索软件的工作原理以及如何采取有效的预防对策。计划的支持者越多，收获的效果也会更好。本计划也开放给其他公共和私人组织。

原文始发于微信公众号（KK安全说）：一文看完勒索病毒之所有