勒索病毒是目前最主流的电脑病毒之一,它会利用各种加密算法对被感染者电脑中的文件进行加密,影响文件的打开和使用,进而勒索赎金。下面我们就来了解一下勒索病毒的分类,以及感染勒索病毒后的解决办法。

勒索病毒的分类

勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播。以下就是勒索病毒的常见分类:

  • 文件加密类勒索病毒:该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。
  • 数据窃取类勒索病毒:该类勒索病毒与文件加密类勒索病毒类似,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。
  • 系统加密类勒索病毒:该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金。
  • 屏幕锁定类勒索病毒:该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。

勒索病毒

勒索病毒的攻击流程

第一步:攻击

勒索病毒的攻击手法五花八门,系统漏洞、恶意邮件、U盘、钓鱼网站、广告弹窗、僵尸网络等都可能成为勒索病毒传播的载体。

勒索病毒的主要攻击手段有弱口令攻击、横向渗透、钓鱼邮件、利用系统漏洞或应用软件漏洞攻击、网站挂马攻击、破解软件与激活工具、僵尸网络和供应链攻击等。

在这些攻击手段中,利用系统漏洞是最为常见的,它的最大特点是被动性。病毒会自动扫描网络中存在系统漏洞的主机,只要没有安装补丁,即使没有点开邮件、没有访问恶意网站,也可能被攻击。

第二步:扩散

在感染某一台主机后,病毒往往不急着开始“工作”,而是尽可能利用各种手法来自我复制,进行不同文件、不同主机间的相互感染,最终将病毒扩散到整个局域网。等病毒爆发时,往往就是整个单位、整个企业的电脑全部被锁。

第三步:窃取

完成了“热身”,病毒开始“大显身手”。一方面,它会通过格式篡改的方式,加密电脑中的文档、图片等文件;另一方面,它会将感染电脑上的机密文件上传到黑客服务器上。

第四步:勒索

在成功加密、窃取文件之后,病毒会在桌面或醒目位置生成一个提醒用户文件已被锁定/窃

取,指引其交赎金的文件。对于一些知名企业,如果不及时交赎金,黑客会在暗网陆续公开窃得的机密文件,以实现施压的目的。

勒索病毒

勒索病毒的处置方法

物理隔离

物理隔离被感染的主机,最好是直接拔网线,云环境及时修改安全组策略,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通信,防止内网感染,如果被勒索的机器和未被勒索的机器存在相同的登陆口令,及时修改未感染机器的登陆口令。

防止扩散

保障被感染主机,与内网其他主机进行隔离。及时关闭未感染机器远程桌面、共享端口,尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围。

及时备份

对于未感染的机器进行备份,备份后及时物理隔离开备份数据,如硬盘或者U盘备份后需要及时拔掉。

排查业务系统

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

勒索病毒

不要破坏被勒索的服务器环境

对于十分重要、无备份且不能恢复的机器,应禁止杀毒、关机、重启、修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致数据永远无法恢复。对于有备份,或者实在不能恢复的机器,最好重装系统,或者将业务迁移到其他服务器上。

不要轻易联系黑客

在不了解勒索病毒的情况下,不要直接联系黑客,容易钱财两空。可选择使用解密工具进行恢复,通常的解密工具是通过已公开的密钥快来解密。使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。


无论是个人还是企业,一旦被勒索病毒感染后,都不建议支付赎金。支付赎金不但鼓励了勒索攻击行为,还可能会留下“后遗症”。因此,我们可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。总之,勒索病毒重在防范,日常进行合理的数据备份,避免数据受损。

相关阅读

勒索病毒是怎么传播的?该如何进行预防?

警惕!盗版、破解软件成为勒索病毒肆意的重灾区

免责声明:素材源于网络,如有侵权,请联系删稿。