用简单的话解释勒索软件
搜索勒索软件的人通常有两个需求:想理解这种威胁,或者文件已经开始被锁定。本文同时覆盖这两种场景,不把页面变成新闻汇总。
什么是勒索软件?
勒索软件是一种用于勒索的恶意软件。它可能加密文档、照片、数据库和备份,锁定屏幕,或在索要赎金前窃取数据。勒索说明通常声称付款是恢复文件的唯一方式,但这并不总是真的,付款也不能保证恢复。
现代勒索软件攻击往往不只是加密。攻击者可能窃取文件、威胁公开、联系员工或客户,并逼迫受害者快速付款。对个人用户来说,常见损失是个人文件被加密;对企业来说,还可能包括停机、数据泄露、合规报告和恢复成本。
如果你认为勒索软件正在运行
- 断开设备网络。 拔掉网线并关闭 Wi-Fi,限制继续传播。
- 不要删除加密文件。 保留样本、勒索说明和文件扩展名,用于识别家族。
- 不要急着付款。 付款可能无效,还会资助犯罪者,并让你成为重复目标。
- 检查安全备份。 使用感染期间未连接的离线备份或云端历史版本。
- 恢复前先扫描。 先清除活动恶意软件,再恢复文件,否则文件可能再次被加密。
勒索软件如何工作
一次勒索软件事件通常包含多个阶段。你看到的勒索说明是攻击的最后阶段,而不是开始。
- 初始访问。 攻击者通过恶意附件、虚假下载、暴露的远程访问、被盗密码或漏洞进入系统。
- 执行。 加载器、脚本或木马启动勒索软件进程,或下载最终载荷。
- 准备。 恶意软件可能关闭安全工具、删除卷影副本、停止服务,或寻找共享文件夹和备份。
- 加密或锁定。 文件被加密,或设备被锁定。许多攻击还会在受影响文件夹中留下勒索说明。
- 勒索。 犯罪者要求付款,并可能威胁公开被盗数据,或在截止日期后提高价格。
勒索软件的警告迹象
有些攻击看似突然发生,但在完全锁定前通常会有早期线索。
- 文件突然出现奇怪扩展名,或无法打开。
- 文件夹中出现
README.txt、RECOVER-FILES.html或类似勒索说明。 - 安全工具、备份软件或系统还原功能停止工作。
- 电脑明显变慢,同时磁盘活动异常持续偏高。
- 未知进程从临时文件夹、下载目录或用户配置目录运行。
- 远程访问工具、脚本或计划任务突然出现。
- 共享文件夹或映射网络驱动器同时开始变化。
勒索软件清除与恢复步骤
安全顺序是先隔离,再清除,最后恢复。在清除活动感染前恢复文件,可能会让损害再次发生。
- 隔离受影响设备。 断开互联网和本地网络。如果多台电脑受影响,应尽快分离。
- 保留证据。 保存勒索说明、加密文件样本、可疑邮件和截图,这些有助于识别家族。
- 识别变种。 通过文件扩展名、勒索说明名称和扫描结果判断是否可能存在解密器。
- 清除恶意软件。 使用可信反恶意软件工具完整扫描,并检查启动项、计划任务、服务和远程访问工具。
- 检查解密选项。 在采取激进恢复措施前,先查询可信解密器来源。
- 从干净备份恢复。 只在系统清理后恢复,最好恢复到全新或已验证环境。
- 更换暴露凭据。 从干净设备更新密码,尤其是邮箱、云存储、VPN、RDP 和管理员账户。
Windows 清理和预防可从 反勒索软件流程 开始。如果设备还有更广泛的恶意软件症状,请先使用 恶意软件清除流程。
勒索软件加密的文件能解密吗?
有时可以,但并不总是。研究人员发现缺陷、执法机构获得密钥,或恶意软件使用离线/重复密钥时,可能存在免费解密。如果攻击使用正确实现的强加密和唯一在线密钥,可能没有免费解密工具。
在付款或重装系统前,先检查 No More Ransom 等可信来源,并保留加密样本。即使今天没有工具,某些家族以后也可能出现密钥或解密器。
常见勒索软件类型
| 类型 | 作用 |
|---|---|
| 加密型勒索软件 | 加密文件,并要求为解密密钥付款。 |
| 锁屏型勒索软件 | 阻止访问设备或屏幕,不一定加密每个文件。 |
| 泄露型勒索软件 | 窃取数据,并威胁在不付款时公开。 |
| 勒索软件即服务 | 将勒索软件基础设施出租给 affiliate,由其实施攻击并分成。 |
| 破坏型勒索软件 | 看似勒索软件,但主要目标是破坏数据或中断业务。 |
勒索软件如何传播
勒索软件很少凭空出现。常见入口并不神秘,因此预防仍然有效。
- 钓鱼邮件: 附件、链接、虚假发票、配送通知或诱导启用文档内容的提示。
- 恶意下载: 破解程序、keygen、假安装包、假浏览器更新和重新打包软件。
- 被盗凭据: 邮箱、云账户、VPN 或远程桌面的重复使用密码。
- 暴露的远程访问: 保护不足的 RDP、VPN、远程监控或管理工具。
- 未修补软件: 存在漏洞的服务器、插件、CMS 和网络设备。
- 其他恶意软件: 木马、dropper、间谍软件或 botnet 后续投递勒索软件。
如何防护勒索软件
有效防护不是单一产品或单个设置,而是一套分层习惯:减少入口,让备份远离攻击者,并尽早发现异常行为。
- 保留离线或不可变备份。 备份不应长期可被同一台可能感染的设备写入。
- 及时更新软件。 修补 Windows、浏览器、文档阅读器、VPN 客户端和面向互联网的系统。
- 使用强身份验证。 为邮箱、云存储、VPN、远程桌面和管理员账户启用 MFA。
- 限制远程访问。 尽可能关闭公网 RDP,并仅允许可信网络使用管理工具。
- 阻止高风险下载。 避免破解程序、盗版安装包、未知下载器和假更新提示。
- 关注早期行为。 大量文件变化、安全工具被关闭、卷影副本被删除都是紧急信号。
- 使用反恶意软件防护。 保留可完整扫描系统并清理可疑活动的工具。
需要检查 Windows 电脑?
Gridinsoft Anti-Malware 可扫描勒索软件、木马、间谍软件、dropper 以及维持感染的持久化组件。
使用 Gridinsoft Anti-Malware 扫描,或按照 反勒索软件流程 操作。
勒索软件家族和示例
勒索软件家族会变化,但许多技术会反复出现。以下示例有助于识别和研究:
- LockBit - 广为人知的勒索软件即服务家族。
- Conti 和 Ryuk - 历史上重要的企业勒索软件行动。
- Dharma - 常与暴露的远程访问和弱凭据有关。
- Magniber、MedusaLocker 和 Snatch - 具有可识别勒索说明和文件行为的示例。
近期勒索软件研究
- Dire Wolf (.direwolf) Ransomware Virus - Removal and Decryption
- PE32 Ransomware
- VerdaCrypt Ransomware
- D0glun Ransomware: Analysis and Protection Guide
- Moscovium Ransomware