ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

勒索软件是什么?

2017 年 03 月 13 日
作者: Dave Piscitello

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

null

勒索软件是一种用于勒索钱财的网络攻击(病毒)。最初,犯罪分子利用勒索软件向个人索取用于恢复个人信息的费用。现在,网络攻击者向企业勒索用于恢复敏感信息的费用。每个人都会受到勒索软件的影响。犯罪分子已经将手伸向医疗保健服务提供商,向他们勒索用于恢复医疗或个人资料的费用,他们还将房客锁在酒店房间门外。即使是工业化系统也被证实易于受到勒索软件的攻击。

早期的勒索软件称为 锁定型勒索软件,会阻止受害者访问计算机桌面或浏览器。网络攻击者快速进化出更加成熟的加密型勒索软件,可加密计算机或移动设备上的信息。这两种类型的勒索软件都会向用户发出勒索通知:购买解密软件或解密密钥,否则数据会永远丢失。

勒索软件攻击剖析

勒索软件的常见传送形式是通过电子邮件传送恶意附件。用户会被社交工程说服,放弃自己更理智的判断,打开附件。附件通常是某种形式的自行安装恶意软件,常被称为木马或病毒植入程序文件。安装后,植入程序会联系僵尸网络的命令与控制 (C2) 服务器,注册网络攻击者的僵尸网络。连接后,C2 会为勒索软件植入程序(以及可能的其他恶意代码)生成并返回加密密钥内容。勒索软件植入程序会使用密钥内容来加密受感染设备上的个人文件。然后,它会发出勒索通知,要求受害者支付赎金来换取密钥,用于解密现在无法访问的数据。

许多勒索软件攻击者会威胁受害者:如果不在 24 小时内支付赎金,个人文件就会永久丢失。为增强欺骗性,一些勒索软件通知还会冒充执法机构或政府机关,并将勒索以罚款的形式体现。

勒索软件漏洞利用和公共域名系统

勒索软件植入程序有时使用硬编码互联网协议 (IP) 地址连接到 C2。如果植入程序使用静态配置的 IP 地址,调查人员可使用这类地址快速确定勒索软件僵尸网络 C2 并断开连接。为达到躲避目的,更加高级的勒索软件会通过使用算法生成域名来确定 C2。现代勒索软件植入程序使用域名系统 (DNS) 来解析网络攻击者频繁更改的域名,从而有效躲避调查人员。

不要支付赎金!

执法机构和安全专家均认为不应该支付赎金!没有理由相信网络攻击者会在您支付赎金后提供用于解密个人文件的方法。网络攻击者会消失、继续勒索或发送不起作用的解密密钥

主动防御勒索软件

通过“备份”来防御勒索软件。在外部设备或云中定期存档个人资料或敏感数据,可让网络攻击者的威胁变得毫无意义。旅行时请特别注意备份文件。

接下来,请安全地使用互联网。考虑采取以下措施来最大限度地降低感染勒索软件的可能性:

  • 始终给笔记本电脑“打上最新的补丁”。
  • 不要共享文件夹。
  • 始终将反病毒软件数据库最新到最新。
  • 使用受信任的 DNS 解析器。
  • 禁止执行宏。
  • 尝试使用反勒索软件保护。

之后,确保在设备感染勒索软件时,能够将操作系统、应用程序和存档数据快速恢复到设备。企业和个人都应该了解映像恢复服务

您还可以使用其他方式保护自己;请参阅 22 个恶意软件防护技巧

如果您被勒索…

请记住不要支付赎金!您可以联系懂技术的朋友、声誉良好的计算机维修服务提供商或所在组织的 IT 部门来帮助您识别勒索软件。他们还可以帮助您寻找受信任的存储库(用于恢复删除的文件)、救援磁盘软件、勒索软件删除套件或解密器,以及恢复密钥在线存储库。其中一个资源是 https://www.nomoreransom.org/,尽管看上去与众不同,但很可靠。

不要成为受害者

随着网络攻击者发起勒索软件攻击的方式越来越成熟,用户更需要掌握主动,尽自己所能防止这些攻击发生。关注动态。保持警惕。

Authors

Dave Piscitello