勒索软件:2024 年的趋势和例子

勒索软件是一种恶意软件,它加密受害者计算机上的文件,然后要求支付赎金。勒索软件注入是最危险的网络攻击形式之一。

您可能有兴趣查看我们的其他防病毒产品:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

什么是勒索软件?2024 年勒索软件的趋势和例子 | Gridinsoft

什么是勒索软件?

May 01, 2023

发现您的计算机上的文件被加密很可能是最可怕的噩梦。您正在检查您的电子邮件,单击附加的文件以查看它们包含什么内容。看起来不怀疑的奇怪文件除了要求启用宏之外什么都没有。但是突然间,在您打开该文档不到15分钟后,您会发现您计算机上的所有文件都有奇怪的扩展名,并且每个文件夹中都有至少一个readme.txt文件。它是怎么发生的?

勒索软件的简短定义隐藏在其名称中,就像许多其他病毒一样。"勒索软件"是一种程序,它注入到您的计算机中,加密您的文件,然后要求您支付赎金以恢复您的文件。某些勒索软件的例子可能会威胁受害者,如果您不支付赎金,他们将删除您的文件或公开一些敏感数据。虽然第一个威胁是100%的谎言,但第二个观点可能是真实的,因为勒索软件经常伴随着间谍软件或窃取者而传播。

不同的勒索软件示例使用不同的加密方法。大多数情况下使用AES-256和RSA-1024加密原则,但有时也可以遇到使用RSA-2048标准的情况。最后的数字主要表示您需要带来两个数字才能获得可能的密钥数。即使在AES-256的情况下,密钥数也是一个78位数字。 您能够通过暴力破解吗?如果您有多余的200万年,或者拥有比目前任何现有的量子计算机性能更好的量子计算机,也许可以。 ~ Gridinsoft团队

对于每个受害者,勒索软件会生成唯一的在线密钥。该密钥存储在由网络犯罪分子维护的服务器上。如果病毒无法连接到该服务器,则使用存储在受感染计算机上的离线密钥加密文件。离线密钥的数量是有限的,因此您与其他几个受害者共享一个解密密钥。

不幸的是,无法百分之百地保证恢复您的文件。 如果您很幸运,勒索软件使用离线密钥,则可以更快地解密数据。不过,获取密钥需要相当长的时间,您可能需要等待几个星期。文件解密所使用的解密应用程序将在分析师找到适合您的密钥后即时接收更新。

在线密钥要解密则更加困难。由于每个此类密钥都是唯一的,您可能需要等待数月之久。如果勒索软件分发者被抓获并被迫揭示他们在服务器上拥有的所有密钥,那么所有密钥都可能被公开。另一种情况是,当勒索软件的创建者决定停止其恶意活动时,所有密钥都会被公开。这种情况只发生了一次 - 在2018年,GandCrab开发人员声称他们赚了20亿美元并暂停了他们的活动。

勒索软件攻击的阶段

大多数分析师定义了勒索软件攻击的六个主要阶段。它们可能在一天内或一个月内发生。但是,这些步骤的顺序和意义始终保持不变。

侵入。 有时也称为初始注入。在这个阶段,攻击者将恶意软件注入网络(或者如果针对个人用户则注入设备)。通常通过RDP漏洞、垃圾邮件或未经许可的软件使用进行攻击。

感染。 在这个阶段,罪犯利用他们在网络中获得的初始存在来注入恶意负载。他们很少使用直接下载 - 这很容易被安全解决方案检测和预防。这就是为什么恶意软件下载通常利用Windows和应用程序软件漏洞。但是,如果攻击了未受保护的网络或单个用户,它甚至可能更喜欢直接下载。

升级。 所有恶意软件都依赖于以管理员权限运行。这个属性使得通过使用用户权限帐户来减少恶意软件的危险成为可能。但即使在这种情况下,网络犯罪分子也能找到一种方法。在公司网络中,大多数升级阶段是通过漏洞利用完成的,特别是那些升级权限的漏洞。

扫描。 这一步骤假设扫描受感染的机器,以检测所有勒索软件可以加密的文件。通常,勒索软件采用最敏感的数据格式 - 属于MS Office文件、图片和音乐的格式。然而,有些勒索软件的操作不同,无论它们到达什么文件,都会进行加密,即使这些文件可能会损害程序的功能。

加密。 加密可能需要几分钟或几个小时,这取决于被攻击机器上的文件数量以及加密软件的质量。例如,LockBit组因其最快的加密而闻名 - 它只需5分钟即可加密100GB的数据。

付款日。 当加密完成后,恶意软件会通知受害者发生攻击。它通常在桌面和每个加密文件夹中生成一个勒索说明文件。此外,它还可以更改桌面壁纸为勒索说明。在最极端的情况下(例如Petya勒索软件),恶意软件将感染引导加载程序,并在按电源按钮而非操作系统加载时显示勒索说明横幅。

勒索软件攻击阶段
勒索软件攻击阶段

勒索软件类型

目前存在几种类型的勒索软件。在网络安全界,所有用户都知道一种被称为加密型勒索软件。这正是上面提到的病毒。另一种勒索软件早在2014年之前就已经活跃。它被称为锁定型勒索软件。从其名称中就可以理解,这种病毒会锁定您的系统,并要求您支付赎金以解锁桌面。让我向您展示锁定型和加密型勒索软件之间的关键区别:

锁屏勒索软件:


  • 封锁您的桌面;
  • 在桌面上覆盖勒索通知横幅;
  • 修改负责 Windows 资源管理器运行的注册表键;
  • 挂起 explorer.exe 进程;
  • 封锁大多数系统组合键(Ctrl+Alt+Del,Ctrl+Shift+Esc);
  • 有些版本可以感染 BIOS,使系统无法启动;
  • 有时,通过对系统功能进行巧妙操作,可以轻松删除它;
  • 要求您支付赎金,作为手机话费充值,以及通过在线支付系统(PayPal、WebMoney、Qiwi等);

加密勒索软件:


  • 加密最常见的扩展名的文件(.docx、.png、.jpeg、.gif、.xslx),并添加其特定扩展名;
  • 更改负责网络和启动程序启动的注册表键;
  • 在每个加密文件所在的文件夹中添加一个包含赎金支付说明的 .txt 文件;
  • 可能会封锁某些网站的访问;
  • 防止安装反恶意软件软件的安装文件启动;
  • 可以更改您的桌面壁纸为勒索通知;
  • 赎金支付只能使用加密货币,主要是比特币;

最新勒索软件攻击

最新勒索软件攻击列表,截至2024年02月:

  • Avaddon 勒索软件 短暂但非常活跃:其开发者于2021年5月决定关闭其活动
  • STOP Djvu 勒索软件 是最广泛传播的勒索软件之一。该病毒类型的首次活动是在2018年被检测到,至今其活动非常高。该勒索软件主要针对普通用户,是一个“经典”勒索软件的完美例子
  • Conti 勒索软件。该犯罪团伙攻击IT中断可能会造成生命威胁的组织:医院、911调度运营商、紧急医疗服务和执法机构
  • Matrix 勒索软件 是勒索软件领域的老手,在2016年12月出现
  • MedusaLocker 勒索软件 在2019年9月出现,以对来自世界各地的公司的攻击迅速启动
  • Snatch 勒索软件 使用 Windows 安全模式和特权服务的技巧
  • VoidCrypt 勒索软件 使用几个更适用于企业定向病毒的特点
  • Xorist 勒索软件 使用加密构造器,可以改变自身的方式,使其难以识别
  • Dharma 勒索软件 于 2016 年左右出现,这种勒索软件主要瞄准中小型企业。几乎 77% 的所有 Dharma 案件与 RDP 漏洞的利用有关
  • Egregor 勒索软件 已攻击全球大型企业
  • HiddenTear - 最初是为教育目的创建的
  • LockBit 是一种极快的勒索软件
  • Magniber 勒索软件试图利用已知的 PrintNightmare 漏洞来攻击受害者
  • Makop 不仅仅停留在单一的加密算法上
  • Ryuk 是一个老牌的勒索软件,可能与朝鲜黑客有关

是否支付赎金是一个解决方案?

勒索软件开发者获得的大部分收入用于资助各种非法活动,如恐怖主义、其他恶意软件分发活动、毒品贩卖等等。由于所有赎金支付都是用加密货币进行的,因此无法揭示罪犯的身份。然而,电子邮件地址有时可以指出中东地区的勒索软件分发者。

正如您已经得出的结论,支付赎金等同于参与非法活动。当然,没有人会因为资助恐怖主义而指责您。但是,了解到为了公平的工作所得的钱财被用于恐怖主义或毒品是一件不愉快的事情。通常,即使是受到威胁要公开某些内部数据的大型企业,也不会向这些罪犯支付一分钱。

我该如何保护我的计算机免受勒索软件的攻击?

通常,反恶意软件程序每天更新其检测数据库。GridinSoft Anti-Malware可以提供每小时更新,这可以减少全新勒索软件样本渗透您的系统的机会。但是,利用反恶意软件软件并不是万无一失的解决方案。您应该小心处理所有危险的地方,包括:

  • 电子邮件信息。 大多数勒索软件事件,无论是哪个家族,都与恶意电子邮件信息有关。人们习惯相信通过电子邮件发送的所有信息,并且不认为附加文件中可能存在恶意内容。与此同时,网络入侵者利用这种弱点,引诱人们启用Microsoft Office文件中的宏。宏是一种特定的应用程序,允许增加与文档的交互。您可以在Visual Basic上构建任何内容,并将其作为宏添加到文档中。黑客毫不犹豫地添加勒索软件代码。
  • 可疑的工具和不可信的程序。在浏览网络时,您可能会看到各种建议。在线论坛,社交网络和种子网络-这些地方都是各种特定工具的来源。这些软件并没有什么不好的-有时候,人们需要不被公司生产要求(或接受)的功能。这些工具被称为各种应用程序的密钥生成器,许可证密钥激活程序(KMS Activator是其中最为人知的),以及用于调整系统元素的实用程序。大多数反恶意软件引擎都将这些应用程序检测为恶意软件,因此您可能会禁用防病毒软件或将应用程序添加到白名单中。与此同时,该实用程序可能是干净的,也可能被感染了特洛伊木马或勒索软件。

最大勒索软件攻击时间表: