随着勒索软件(Ransomware)攻击的快速传播,导致其攻击触角已从一般用户个体,逐步拓展至企事业单位和政府机构,而其造成的恶劣影响更是逐年升级。对于政企机构来说,不仅面临着失去对数据文件的掌控能力,而且还有声誉遭受损失之虞,这就让勒索攻击者往往通过恐吓手段便能迫使受害者支付赎金。
助长勒索攻击愈发猖獗的原因,不外乎其攻击过程的隐蔽性,受害者们往往不知道自己的电脑已经中毒,当他们看到勒索信息弹出在电脑屏幕后,已然为时已晚了。那么,在受害者看到勒索信息之前,勒索软件实际都展开了哪些攻击呢?
勒索攻击五步走
实际上,自从受害者点击了钓鱼邮件中的一个恶意链接,或者下载了含有恶意附件的文件之后,勒索软件就已经进入了操作系统的大门了。
勒索软件攻击从恶意链接或恶意附件开始(图片来自网络)
第一步,勒索软件会先将自己复制到电脑用户的资料夹内,通常是以可执行文件的格式。在Windows环境,恶意软件往往将文件写入到“/APPDATA”或“/TEMP”的资料夹里,因为写入这些资料夹无须管理员权限。接着,勒索软件便开始悄悄地在后台展开后续攻击了。
第二步,连网至特定网站收发信息。一旦勒索软件进入操作系统,它会尝试连接互联网并且联通特定服务器。在这个阶段,勒索软件会与命令和控制(C&C)服务器发送和接收设定文件。
第三步,搜索特定类型的文件进行加密。
接下来,勒索软件会进入受感染系统的资料夹,搜索特定类型的文件进行加密。当然,会被加密的文件类型也取决于勒索软件的种类分支,会删除镜像文件和备份的勒索软件家族也会在加密过程前完成。
第四步,产生加密密钥。
在开始加密文件前,勒索软件会先产生用来加密的密钥。根据勒索软件种类的不同,加密受感染系统文件的方式也会有所差别,可能会使用AES、RSA或合并使用等情况。而且加密文件所需要花费的时间也会根据文件数量、系统处理能力和加密方法而有所差异。
许多勒索软件会建立自动启动机制来继续加密操作,防止在加密过程由于系统关机而中止执行。
第五步,向用户发送勒索通知和付款指示。
对于绝大多数的勒索软件来说,出现勒索通知即代表文件的加密过程已经成功。有些勒索通知是在加密过程完成后马上出现,而有些会更改启动磁区的勒索软件则会在系统重新启动后出现通知。不过,也有些勒索软件则不会显示勒索通知,至少不会自动显示。还有些则会在受感染的资料夹内生成勒索通知或显示HTML页面来告知勒索要求和付款指示。更有一些锁屏幕勒索软件则会用勒索通知锁定屏幕,让用户无法操作电脑。
感染勒索软件后的可疑征兆
既然勒索攻击防不胜防,那么感染勒索软件后一般有哪些可疑的征兆呢?
感染勒索软件后的可疑征兆
应该说,勒索软件的攻击行为依据其病毒家族或变种而各有不同,不过,当然还是有些蛛丝马迹可以让用户或IT管理员察觉到勒索软件的感染情况。例如,
首先,在勒索软件的加密过程中,由于其在后台不断执行操作,受害者可能会发觉操作系统无故变慢。
其次,即便没有执行任何程序,硬盘指示灯还是会狂闪,这表示电脑硬盘正在被执行读写操作中,而这很可能是中招勒索软件后,搜索和加密文件程序开始的一个标志。
作者:郑伟
来源:51CTO