當(dāng)前位置:
  1. 首頁
  2. 業(yè)界資訊

勒索病毒的分類有哪些?感染勒索病毒后該怎么辦?

cc 業(yè)界資訊

勒索病毒是目前最主流的電腦病毒之一,它會利用各種加密算法對被感染者電腦中的文件進(jìn)行加密,影響文件的打開和使用,進(jìn)而勒索贖金。下面我們就來了解一下勒索病毒的分類,以及感染勒索病毒后的解決辦法。

勒索病毒的分類

勒索病毒并不是某一個病毒,而是一類病毒的統(tǒng)稱,主要以郵件、程序、木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。以下就是勒索病毒的常見分類:

  • 文件加密類勒索病毒:該類勒索病毒以RSA、AES等多種加密算法對用戶文件進(jìn)行加密,并以此索要贖金,一旦感染,極難恢復(fù)文件。
  • 數(shù)據(jù)竊取類勒索病毒:該類勒索病毒與文件加密類勒索病毒類似,但在勒索環(huán)節(jié),攻擊者通過甄別和竊取用戶重要數(shù)據(jù),以公開重要數(shù)據(jù)脅迫用戶支付勒索贖金。
  • 系統(tǒng)加密類勒索病毒:該類勒索病毒同樣通過各類加密算法對系統(tǒng)磁盤主引導(dǎo)記錄、卷引導(dǎo)記錄等進(jìn)行加密,阻止用戶訪問磁盤,影響用戶設(shè)備的正常啟動和使用,并向用戶勒索贖金。
  • 屏幕鎖定類勒索病毒:該類勒索病毒對用戶設(shè)備屏幕進(jìn)行鎖定,通常以全屏形式呈現(xiàn)涵蓋勒索信息的圖像,導(dǎo)致用戶無法登錄和使用設(shè)備,進(jìn)而勒索贖金,但該類勒索病毒未對用戶數(shù)據(jù)進(jìn)行加密,具備數(shù)據(jù)恢復(fù)的可能。

勒索病毒

勒索病毒的攻擊流程

第一步:攻擊

勒索病毒的攻擊手法五花八門,系統(tǒng)漏洞、惡意郵件、U盤、釣魚網(wǎng)站、廣告彈窗、僵尸網(wǎng)絡(luò)等都可能成為勒索病毒傳播的載體。

勒索病毒的主要攻擊手段有弱口令攻擊、橫向滲透、釣魚郵件、利用系統(tǒng)漏洞或應(yīng)用軟件漏洞攻擊、網(wǎng)站掛馬攻擊、破解軟件與激活工具、僵尸網(wǎng)絡(luò)和供應(yīng)鏈攻擊等。

在這些攻擊手段中,利用系統(tǒng)漏洞是最為常見的,它的最大特點是被動性。病毒會自動掃描網(wǎng)絡(luò)中存在系統(tǒng)漏洞的主機(jī),只要沒有安裝補(bǔ)丁,即使沒有點開郵件、沒有訪問惡意網(wǎng)站,也可能被攻擊。

第二步:擴(kuò)散

在感染某一臺主機(jī)后,病毒往往不急著開始“工作”,而是盡可能利用各種手法來自我復(fù)制,進(jìn)行不同文件、不同主機(jī)間的相互感染,最終將病毒擴(kuò)散到整個局域網(wǎng)。等病毒爆發(fā)時,往往就是整個單位、整個企業(yè)的電腦全部被鎖。

第三步:竊取

完成了“熱身”,病毒開始“大顯身手”。一方面,它會通過格式篡改的方式,加密電腦中的文檔、圖片等文件;另一方面,它會將感染電腦上的機(jī)密文件上傳到黑客服務(wù)器上。

第四步:勒索

在成功加密、竊取文件之后,病毒會在桌面或醒目位置生成一個提醒用戶文件已被鎖定/竊

取,指引其交贖金的文件。對于一些知名企業(yè),如果不及時交贖金,黑客會在暗網(wǎng)陸續(xù)公開竊得的機(jī)密文件,以實現(xiàn)施壓的目的。

勒索病毒

勒索病毒的處置方法

物理隔離

物理隔離被感染的主機(jī),最好是直接拔網(wǎng)線,云環(huán)境及時修改安全組策略,將被感染的機(jī)器隔離,確保被感染的機(jī)器不能和內(nèi)網(wǎng)其他機(jī)器通信,防止內(nèi)網(wǎng)感染,如果被勒索的機(jī)器和未被勒索的機(jī)器存在相同的登陸口令,及時修改未感染機(jī)器的登陸口令。

防止擴(kuò)散

保障被感染主機(jī),與內(nèi)網(wǎng)其他主機(jī)進(jìn)行隔離。及時關(guān)閉未感染機(jī)器遠(yuǎn)程桌面、共享端口,盡快排查業(yè)務(wù)系統(tǒng)與備份系統(tǒng)是否受到影響,確定病毒影響范圍。

及時備份

對于未感染的機(jī)器進(jìn)行備份,備份后及時物理隔離開備份數(shù)據(jù),如硬盤或者U盤備份后需要及時拔掉。

排查業(yè)務(wù)系統(tǒng)

在已經(jīng)隔離被感染主機(jī)后,應(yīng)對局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查,檢查核心業(yè)務(wù)系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。

勒索病毒

不要破壞被勒索的服務(wù)器環(huán)境

對于十分重要、無備份且不能恢復(fù)的機(jī)器,應(yīng)禁止殺毒、關(guān)機(jī)、重啟、修改后綴等操作,最好保持原封不動,在不了解的情況下,任何動作都可能導(dǎo)致數(shù)據(jù)永遠(yuǎn)無法恢復(fù)。對于有備份,或者實在不能恢復(fù)的機(jī)器,最好重裝系統(tǒng),或者將業(yè)務(wù)遷移到其他服務(wù)器上。

不要輕易聯(lián)系黑客

在不了解勒索病毒的情況下,不要直接聯(lián)系黑客,容易錢財兩空??蛇x擇使用解密工具進(jìn)行恢復(fù),通常的解密工具是通過已公開的密鑰快來解密。使用解密工具之前,務(wù)必要備份加密的文件,防止解密不成功導(dǎo)致無法恢復(fù)數(shù)據(jù)。

無論是個人還是企業(yè),一旦被勒索病毒感染后,都不建議支付贖金。支付贖金不但鼓勵了勒索攻擊行為,還可能會留下“后遺癥”。因此,我們可以嘗試通過備份、數(shù)據(jù)恢復(fù)、數(shù)據(jù)修復(fù)等手段挽回部分損失。總之,勒索病毒重在防范,日常進(jìn)行合理的數(shù)據(jù)備份,避免數(shù)據(jù)受損。

相關(guān)閱讀

勒索病毒是怎么傳播的?該如何進(jìn)行預(yù)防?

警惕!盜版、破解軟件成為勒索病毒肆意的重災(zāi)區(qū)

免責(zé)聲明:素材源于網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系刪稿。