什么是勒索軟件？勒索軟件是一種惡意軟件，旨在拒絕用戶或組織訪問(wèn)其計(jì)算機(jī)上的文件。通過(guò)加密這些文件并要求為解密密鑰支付贖金，網(wǎng)絡(luò)攻擊者將組織置于支付贖金是重新訪問(wèn)其文件的最簡(jiǎn)單和最便宜的方式的位置。一些變體增加了額外的功能——例如數(shù)據(jù)竊取——為勒索軟件受害者支付贖金提供進(jìn)一步的激勵(lì)。

勒索軟件已迅速成為最突出和最明顯的惡意軟件類型。最近的勒索軟件攻擊影響了醫(yī)院提供關(guān)鍵服務(wù)的能力，削弱了城市的公共服務(wù)，并對(duì)各種組織造成了重大損害。

勒索軟件是如何工作的？為了成功，勒索軟件需要訪問(wèn)目標(biāo)系統(tǒng)，加密那里的文件，并向受害者索要贖金。雖然實(shí)施細(xì)節(jié)因勒索軟件變體而異，但都共享相同的核心三個(gè)階段：

步驟1、感染和傳播媒介

與任何惡意軟件一樣，勒索軟件可以通過(guò)多種不同方式訪問(wèn)組織的系統(tǒng)。但是，勒索軟件運(yùn)營(yíng)商往往更喜歡一些特定的感染媒介。

其中之一是網(wǎng)絡(luò)釣魚電子郵件。惡意電子郵件可能包含指向托管惡意下載的網(wǎng)站的鏈接或具有內(nèi)置下載器功能的附件。如果電子郵件收件人陷入網(wǎng)絡(luò)釣魚，則勒索軟件將被下載并在其計(jì)算機(jī)上執(zhí)行。

另一種流行的勒索軟件感染媒介利用遠(yuǎn)程桌面協(xié)議 (RDP) 等服務(wù)。使用 RDP，竊取或猜測(cè)員工登錄憑據(jù)的攻擊者可以使用它們對(duì)企業(yè)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行身份驗(yàn)證和遠(yuǎn)程訪問(wèn)。通過(guò)這種訪問(wèn)，攻擊者可以直接下載惡意軟件并在他們控制的機(jī)器上執(zhí)行它。

其他人可能會(huì)嘗試直接感染系統(tǒng)，例如WannaCry如何利用 EternalBlue 漏洞。大多數(shù)勒索軟件變種都有多個(gè)感染媒介。

步驟2、數(shù)據(jù)加密

在勒索軟件獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)后，它可以開始加密其文件。由于加密功能內(nèi)置在操作系統(tǒng)中，這僅涉及訪問(wèn)文件，使用攻擊者控制的密鑰對(duì)其進(jìn)行加密，并用加密版本替換原始文件。大多數(shù)勒索軟件變種在選擇要加密的文件以確保系統(tǒng)穩(wěn)定性時(shí)都非常謹(jǐn)慎。一些變體還將采取措施刪除文件的備份和卷影副本，以使沒(méi)有解密密鑰的恢復(fù)更加困難。

步驟3、贖金要求

一旦文件加密完成，勒索軟件就準(zhǔn)備提出勒索要求。不同的勒索軟件變體以多種方式實(shí)現(xiàn)這一點(diǎn)，但將顯示背景更改為勒索說(shuō)明或放置在包含勒索說(shuō)明的每個(gè)加密目錄中的文本文件的情況并不少見。通常，這些筆記需要一定數(shù)量的加密貨幣來(lái)?yè)Q取對(duì)受害者文件的訪問(wèn)。如果支付了贖金，勒索軟件運(yùn)營(yíng)商將提供用于保護(hù)對(duì)稱加密密鑰的私鑰副本或?qū)ΨQ加密密鑰本身的副本。該信息可以輸入到解密程序（也由網(wǎng)絡(luò)犯罪分子提供）中，該程序可以使用它來(lái)反轉(zhuǎn)加密并恢復(fù)對(duì)用戶文件的訪問(wèn)。

雖然這三個(gè)核心步驟存在于所有勒索軟件變體中，但不同的勒索軟件可能包括不同的實(shí)現(xiàn)或附加步驟。例如，像Maze這樣的勒索軟件變種會(huì)在數(shù)據(jù)加密之前執(zhí)行文件掃描、注冊(cè)表信息和數(shù)據(jù)盜竊，而 WannaCry勒索軟件會(huì)掃描其他易受攻擊的設(shè)備以感染和加密。

以上是“什么是勒索軟件，它是如何工作的？”的介紹，希望能幫助到大家了解。