什么是勒索软件

news2024/12/24 9:17:51

勒索软件

    • 1. 定义
    • 2. 勒索软件的类型
    • 3. 勒索软件的工作方式
    • 4. 如何处置勒索软件

1. 定义

勒索软件又称勒索病毒,是一种特殊的恶意软件。勒索软件的特殊之处在于,它采用加密等技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),受害者需要支付一定数量的赎金,才有可能重新取得数据控制权,从而达到勒索的目的。这种攻击方式,被称为拒绝访问式攻击(denial-of-access attack)。

勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

任何组织和个人都可能成为勒索软件攻击的目标。网络犯罪分子可能无差别攻击,也可能针对更有价值的组织,如政府机构、医院等更有意愿支付赎金的组织,拥有敏感数据的机构。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。企业为恢复业务运行支付赎金,还会带来直接的财务影响。受害企业可能会严重退步或者完全关闭。

网络犯罪分子利用技术手段挟持用户数据作为“人质”,以向个人或组织敲诈勒索钱财,效率高,获利快。因此可以说,勒索软件不仅是一种恶意软件,还是一种非常“成功”的网络犯罪商业模式。

2. 勒索软件的类型

(1)加密型勒索软件

勒索软件进入用户系统以后,通常会搜索系统中的数据文件,如文本文件、电子表格、图片、PDF文件等,使用复杂的加密算法(如AES、RSA)加密。网络犯罪分子会要求受害者在指定时间内以比特币的形式支付一定数额的赎金,否则数据文件可能失去解密的可能。2017年5月爆发的WannaCry及其变种WanaCrypt0r 2.0,就是典型的加密型勒索软件。加密型勒索软件并不会影响系统运行。因为勒索软件选择的加密算法无法破解,电子货币交易不可追溯,加密型勒索软件已经发展成为当今最为流行的勒索软件。

在这里插入图片描述

(2)锁屏型勒索软件

锁屏型勒索软件并不对文件加密,而是锁定操作系统、浏览器或键盘,使受害者不能正常使用。典型的锁屏型勒索软件如WinLock,使用色情图片遮挡受害者的屏幕,并要求受害者利用短信支付10美元以换取解锁密码。锁屏型勒索软件多带有欺骗和恐吓性质,网络犯罪分子通常伪装成执法机构,声称发现用户下载或传播了非法内容(多以儿童色情为名),并要求受害者支付赎金,否则将被“逮捕”。

在这里插入图片描述

(3)Doxware型勒索

近年来,随着勒索软件不断发展,Doxware型勒索开始出现。网络犯罪分子宣称掌握受害者的个人隐私数据或隐私行为,如果受害者不按时交纳赎金,就公开到社交媒体或者发送给受害者通信录上的联系人。有些网络犯罪分子还会在暗网售卖这些数据。这种以受害者个人声誉为威胁的犯罪行为,造成的危害尤为严重。

3. 勒索软件的工作方式

在这里插入图片描述

(1)网络共享文件

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。

此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。

典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。

(2)捆绑传播

勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。

(3)垃圾邮件

这是勒索软件最为广泛的攻击方式。利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。

典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。

(4)水坑攻击
勒索者利用有价值、有权威或
访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。

典型代表有:Cerber、GandCrab等。

(5)软件供应链传播

勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。

典型代表有:Petya等。

(6)暴力破解(定向攻击)

针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。

典型代表有:NotPetya、Crysis、GlobeImposter等。

(7)利用已知漏洞攻击

利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。

典型代表有:WannaCry、Satan等

(8)利用高危端口攻击

利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。

典型代表有:WannaCry等。

4. 如何处置勒索软件

如果不幸被勒索,请按照如下建议处理。

在这里插入图片描述

  • 不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
  • 严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
  • 如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。

常见的勒索软件处置建议,相关措施包括但不局限于:

  • 隔离被勒索的设备
    • 拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。
    • 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
  • 清除勒索软件**:尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。

勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。

解密
保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。

访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。

调查取证
求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。

在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。

确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。

重装系统
最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1275659.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

wps备份功能 救了我一命

感谢wps备份功能 救了我一命 文章目录 感谢wps备份功能 救了我一命**📝场景回现,往后再不干了**🧣灵光一现📇备注中心的设置流程🖊️最后总结 📝场景回现,往后再不干了 小🐮今天接到…

数字人可以为文化传播带来什么?

近日,由哈萨克斯坦驻华大使馆、中国外文局文化传播中心、中关村科幻产业创新中心联合发起的中哈青年友谊数字人怡漾和苏路(Сұлу)正式发布。其中,代表中方形象的数字人怡漾,不仅将成为中哈青年文化交流的标志与代言…

如何在 AdsPower 浏览器中设置代理

AdsPower是一款反检测指纹浏览器,来自中国开发团队的一款对电子商务营销人员非常有用的强大工具,同时具有出色的英语支持。AdsPower浏览器的主要优势是其价格便宜,与竞争对手相比,但其功能和整体工作表现甚至不逊于Indigo。 AdsP…

2023开发者必备iOS开发工具

​ 工欲善其事,必先利其器。进行开发工作时,利用并熟练使用恰当的工具可以让工作效率得到大幅度提高。下边会介绍一些在进行iOS开发工作时常用的一些工具,本文并不对其进行展开,对使用方法及工作原理感兴趣的同学可以自行进行更深…

【多线程】-- 08 线程状态观测、线程优先级、守护线程

多线程 5 线程状态 5.5 线程状态观测 Thread.State线程可以处于以下状态之一: NEW:尚未启动的线程处于此状态RUNNABLE:在Java虚拟机中执行的线程处于此状态BLOCKED:被阻塞等待监视器锁定的线程处于此状态WAITING:正…

快手获客技巧:轻松获取高转化率的潜在客户!

**一、引言** 随着互联网的发展,越来越多的企业开始关注短视频平台,尤其是快手。作为中国最大的短视频平台之一,快手拥有庞大的用户群体和丰富的视频内容。通过掌握快手获客技巧,企业不仅可以获取更多潜在客户,还能提高…

Django回顾【四】之模型层

目录 一、基本使用 1、ORM框架 2、创建表 二、常用和非常用字段 三、常用和非常用字段参数 四、settings配置 五、基本操作 5.1 增加表记录 5.2 删除表纪录 5.3 更新表纪录 5.4 查询表纪录 六、 多表操作-创建关系 七、基于对象的跨表查询 八、基于链表的跨表…

Elasticsearch:为现代搜索工作流程和生成式人工智能应用程序铺平道路

作者:Matt Riley Elastic 的创新投资支持开放的生态系统和更简单的开发者体验。 在本博客中,我们希望分享 Elastic 为简化你构建 AI 应用程序的体验而进行的投资。 我们知道,开发人员必须在当今快速发展的人工智能环境中保持灵活性。 然而&a…

【沐风老师】3DMAX一键多曲线生成工具ChaosLine插件使用方法详解

3DMAX一键多曲线生成工具ChaosLine插件使用教程 3DMAX一键多曲线生成工具ChaosLine插件,沿着引导线路径形状生成规则(螺旋线等)和不规则(随机)形状的曲线。它允许你沿着任何引导形状创建有趣的图案和效果。这包括电线、…

【寒武纪(6)】MLU推理加速引擎MagicMind,最佳实践(一)

文章目录 MagicMind 依赖 示例C 编程模型sample_ops/sample_add 算子操作 混合精度部署多模型部署单模型多实例部署多卡部署 最佳实践1、性能指标吞吐率延时工具 mm_run性能优化 2内存工具Profiler工具3性能和精度差异说明 MagicMind 依赖 MM 是将训练好的模型转换成统一计算图…

异常详解~

Java提供的异常机制使程序的变得更加健壮【健壮性】,程序不会那么容易崩溃 异常详解 1.异常的基本概念 Java语言中,将程序执行过程中发生的不正常的情况称为异常 注:程序中的语法错误和逻辑错误不是异常 2.一个小case快速了解异常 public c…

FileInputStream 与 FileOutputStream

IO流:存贮和解决数据的存储方案 以上都是抽象类,不能创建实例 FileOutputStream 操作本地的文件,把文件写入本地磁盘 步骤: 1.创建字节输出流对象 参数是字符串表示的路径或者是File对象都是可以的如果文件不存在会创建一个新的…

ChatGPT探索:提示工程详解—程序员效率提升必备技能【文末送书】

文章目录 一.人工智能-ChatGPT1.1 ChatGPT简介1.2 ChatGPT探索:提示工程详解1.2 提示工程的优势 二.提示工程探索2.1 提示工程实例:2.2 英语学习助手2.3 Active-Prompt思维链(CoT)方法2.4 提示工程总结 三.文末推荐与福利3.1《Cha…

防孤岛装置在光伏发电、燃气发电等新能源并网供电系统的应用

• AM5SE-IS防孤岛保护装置主要适用于35kV、10kV及低压380V光伏发电、燃气发电等新能源并网供电系统。 • 当发生孤岛现象时,可以快速切除并网点,使本站与电网侧快速脱离,保证整个电站和相关维护人员的生命安全**。 保护功能** ● 三段式过流…

【2024年趋势】推荐5个好用的产品手册制作工具

随着科技的快速发展,人们对于网站产品手册的需求也日益增加。一份详细且易用的产品手册可以帮助用户更好地了解和使用产品,提高用户满意度和忠诚度。之前整理了一期关于2023年我推荐的一些知识库软件,已经12月了,最近我也去关注了…

Ranger安装和使用

Ranger部署 1.准备 1.1 编译 Ranger编译(已经编译过的话,直接看1.2) 1.1.1 准备到Ranger官网下载ranger的源码:http://ranger.apache.org/download.html 1.1.2 Ranger编译的过程实在非虚拟机环境下完成的,下载好r…

简单了解下IP的全球划分【笔记】

国际互联网号码分配机构 (The Internet Assigned Numbers Authority,简称IANA)。它是互联网名称与数字地址分配机构(The Internet Corporation for Assigned Names and Numbers,简称ICANN)旗下的一个机构,主…

wpf devexpress 使用IDataErrorInfo实现input验证

此处下载源码 当form初始化显示,Register按钮应该启动和没有输入错误应该显示。如果用户点击注册按钮在特定的输入无效数据,form将显示输入错误和禁用的注册按钮。实现逻辑在标准的IDataErrorInfo接口。请查阅IDataErrorInfo接口(System.Com…

机器学习(2)回归

0.前提 上一期,我们简单的介绍了一些有关机器学习的内容。学习机器学习的最终目的是为了服务我未来的毕设选择之一——智能小车,所以其实大家完全可以根据自己的需求来学习这门课,我做完另一辆小车后打算花点时间去进行一次徒步行&#xff0…

【ONNX】多个ONNX 模型合并为一个模型

ONNX 模型直接合并,输入和输出不一致也可以,各自输入输出各自的 示例代码 import onnxruntime# version : 1.16.0 import onnxdef log_model(model):model_1_outs {o.name for o in model.graph.output}model_1_ins {i.name for i in model.graph.in…