勒索软件的发展演进与攻击特征分析.pdfVIP

网事焦点

Feature

勒索软件的发展演进与攻击特征分析

文│国家计算机网络应急技术处理协调中心韩志辉

当前，在政府和企业大力推动数字化快处置方法，勒索软件可分为“系统锁定类”“数据

速增长的背景下，对IT和运营系统的破坏类”“文件加密类”和“数据窃取类”四个大类。

依赖日益增加。与此同时，网络犯罪的收益不断一是系统锁定类。通过修改磁盘MBR、VBR、

上涨，攻击者不断采取先进的网络犯罪技术与策分区表、原始数据等方式实现对整个磁盘的加密操

略。其中，勒索软件已经成为全球组织面临的主作，阻止用户访问整个磁盘；或者加密UEFI或设

要网络威胁，攻击者的数量不断增加，勒索手段置锁屏程序，使计算机基本功能无法进行，导致用

也愈发多样化和复杂化。户无法正常使用计算机。

二是数据破坏类。该类型勒索软件不是加密文

一、勒索软件的定义与分类件，而是用随机字符覆写文件，永久性地破坏用户

数据，但在破坏数据之后仍会索要赎金。

勒索软件通过加密用户数据或锁定用户设备的三是文件加密类。文件加密类勒索软件是最早

方式，迫使受害者支付赎金以恢复访问权限，这种出现，也是最为典型的一类勒索病毒。此类勒索

犯罪行为不仅给个人用户带来损失，也让企业面临软件通过特定的加密算法（如AES、RSA、DES和

巨大的运营和财务风险。为了更有效地防范和应对RC4等）对设备中存储的文件进行加密处理，导致

勒索软件攻击，我们有必要理解其定义及多样化的用户无法正常打开和编辑文件，并以此要挟索要赎

分类。金。大多数勒索软件在未得到对应密钥的解密工具

（一）勒索软件的定义时暂时无法解密，而部分则因算法逻辑错误导致文

勒索软件（Ransomware），也被称为勒索病件可以解密。

毒，是指以加密数据、锁定设备、损坏文件为主要四是数据窃取类。数据窃取类勒索软件是2020

攻击方式，使计算机无法正常使用或者数据无法正年以后出现的一类新型勒索软件。此类勒索软件在发

常访问，并以此向受害者勒索钱财的恶意软件，动勒索攻击前，会在受害系统内驻留一段时间，在此

也被归类为“阻断访问式攻击”（denial-of-access期间窃取数据文件。在窃取工作完成后，它会发动勒

attack）。索攻击，加密系统中的文件，并通知受害者文件被窃

勒索软件的攻击手段多种多样。它会遍历本地取，如不按期支付勒索赎金，则会公开窃取到的数据

磁盘文件，加密除系统文件外的各种重要格式文件，文件，给予受害者压力，从而迫使受害者尽早支付赎

例如数据库文件、Office文档、图片和源代码，并金。该类型的勒索软件强调的是获取受害者的数据，

在加密后留下勒索提示信息。攻击者通常会先窃取并以泄露这些数据为要挟，迫使受害者交付赎金。

内网中重要数据，攻陷一台机器后作为跳板尝试攻勒索攻击类型的网络犯罪将会影响企业和组织的

击内网的其他机器，以加密更多设备并勒索更高赎正常运营。自2020年以来，越来越多的勒索团伙使用

金。为防止受害者通过备份数据恢复，勒索软件还双重勒索策略攻击目标企业，即加密文件并窃取公司

会删除备份