今天,勒索软件(Ransomware)已经成为网络攻击者们“快速致富”的新途径,从CryptoWall到Locky,勒索软件的攻击成本越来越低,但带来的收益却越来越高,其幕后的网络犯罪集团正不断尝试各种手段推出不同的变种版本,让企业网络安全防护疲于奔命。
勒索软件防不胜防
那么这个感觉让人防不胜防的勒索软件究竟是什么?它又有哪些攻击流程呢?下面就一起来了解下吧。
勒索软件是一种禁止终端正常运行的恶意软件,一般分为两种类型,即加锁型勒索软件和加密型勒索软件。
加锁型勒索软件能够禁止设备运行,中招此类勒索软件后,骚扰页面会持续展示,不让设备正常使用,或者干脆直接禁止设备的启动操作。加密型勒索软件则会加密用户的文档、邮件等文件,如果用户没有备份的话,设备上加密档将不会被恢复。
其实早在2005年勒索软件就已经出现,只不过最初是通过锁定电脑屏幕作为勒索手段的。不过到了2013年,才开始出现了加密型的勒索软件,而这些勒索软件能够通过网页恶意广告、电子邮件附件等方式入侵电脑,此后便可以利用加密密钥来恶意加密电脑中的重要文件。
那么,勒索软件的攻击流程又是怎样的呢?一般来说,勒索软件通过长久有效的垃圾邮件传播方式侵入设备终端后,会先提取设备的系统信息,用来识别是否这是一台已经付过款的用户设备。随后,就是识别系统语言,获取公有IP地址,比如在某些国家或地区不感染等等。有些勒索软件可能还会从C&C服务器获取Payload,之后添加一条自动运行的注册表项,然后删除影子文件,关闭启动修复等等。此后,会联系C&C服务器. 获取公钥,并基于文件类型和目录加密文件。最后,向受害者展示出勒索信息。
目前针对勒索软件的安全防护仍显不足
目前来看,全球范围内不论企业规模大小,甚至是个人用户,都纷纷中招勒索软件,这为企业和个人都带来了不小的麻烦。究其原因,不仅仅是勒索软件变种极多,更新十分快速,导致能够有效地对抗检出率不佳的反病毒软件,而且还具备简单对抗虚拟环境和沙箱环境的能力。当然,更为关键的还是,电子邮件的收信人自身对于勒索软件的认知不足而造成的,需要引起更多的关注。
作者:郑伟
来源:51CTO