勒索是一种常见的麻烦。一个勒索软件感染了你的电脑,并要求支付释放。在某些情况下,付款不能保护您的文件。个人照片、音乐、电影、作品等都被销毁。勒索软件感染率继续上升——不幸的是,我们还没有达到峰值——其复杂性正在增加。
这条规则有明显的例外。在某些情况下,安全研究人员破解了勒索软件加密,使他们能够创建一个梦寐以求的解密工具。这些事件很少见,通常在恶意僵尸网络被关闭时发生。然而,并不是所有的勒索软件都像我们想象的那么复杂。
不同于一些常见的恶意软件变种,勒索软件试图保持隐藏的时间尽可能长。这是为了给你的个人文件加密留出时间。勒索软件的设计是为了保持用户可用的系统资源的最大数量,而不是引起警报。因此,对于许多用户来说,勒索软件感染的第一个迹象是解释发生了什么的加密后消息。
与其他恶意软件相比,勒索软件的感染过程是相当可预测的。用户将下载一个受感染的文件:其中包含勒索软件的有效载荷。当被感染的文件被执行时,不会立即发生任何事情(取决于感染的类型)。用户仍然不知道勒索软件开始加密他们的个人文件。
除此之外,勒索软件攻击还有其他几种不同的行为模式:
文件熵可以用来识别用勒索软件加密的文件。Rob VandenBrink为互联网风暴中心撰文,简要概述了文件熵和勒索软件:
In the IT industry, a file's entropy refers to a specific measure of randomness called "Shannon Entropy," named for Claude Shannon. This value is essentially a measure of the predictability of any specific character in the file, based on preceding characters (full details and math here). In other words, it's a measure of the "randomness" of the data in a file -- measured in a scale of 1 to 8, where typical text files will have a low value, and encrypted or compressed files will have a high measure.
我建议你读原著,因为它很有趣。
勒索软件和恶意软件有一个共同的目标:保持隐蔽。如果不久被发现,使用者就有机会与感染作斗争。这个神奇的词是“加密”。勒索软件因使用加密而声名狼藉,而加密在恶意软件中已经使用了很长时间。
加密通过混淆特征码检测,帮助恶意软件在反病毒程序的监视下通过。它没有看到一个可识别的字符串来提醒防御屏障,而是不知不觉地传染过去了。尽管反病毒套件越来越善于注意这些字符串(通常称为哈希值),但对于许多恶意软件开发人员来说,解决这些问题并不重要。
下面是一些更常见的模糊处理方法:
这份清单并不详尽。然而,它确实涵盖了恶意软件在你的电脑上保持隐藏的一些最常见的方法。
简单也许是个错误的词。勒索软件是不同的。一个勒索软件变种使用加密更广泛,其对手,以及在一个不同的方式。勒索软件感染的行为让它引人注目,同时也**了一种氛围:勒索软件是一种令人恐惧的东西。
勒索软件使用了一些新颖的功能,例如:
而传统的恶意软件“仅仅”窃取你的用户凭据和密码,勒索软件直接影响你,扰乱你的即时计算环境。而且,它的后果非常直观。
勒索软件的“哇!”这个因素当然来自于它对加密的使用。但它看起来就这么复杂吗?Lastline实验室的联合创始人兼首席架构师engkirda不这么认为。他和他的团队(利用Kirda博士生之一Amin kharaz的研究)完成了一项庞大的勒索软件研究,分析了15个勒索软件家族的1359个样本。他们的分析探索了删除机制,并发现了一些有趣的结果。
What are the deletion mechani**s? About 36 percent of the five most common ransomware families in the data set were deleting files. If you didn't pay up, the files were actually being deleted. Most of the deletion, in fact, was quite straightforward.How would a professional person do this? They would actually aim to wipe the disk so that it's difficult to recover the data. You would write over the disk, you would wipe that file off the disk. But most of them were, of course, lazy, and they were directly working on the Master File Table entries and marking things as deleted, but the data was still remaining on disk.
随后,可以检索已删除的数据,在许多情况下,还可以完全恢复这些数据。
另一个典型的勒索软件行为是锁定桌面。这种类型的攻击存在于更基本的变体中。勒索软件没有真正开始加密和删除文件,而是锁定桌面,迫使用户离开机器。大多数用户认为这意味着他们的文件不见了(加密或完全删除),根本无法恢复。
勒索软件感染出了名的显示他们的勒索笔记。它通常要求用户为安全返回其文件而支付费用。除此之外,勒索软件开发人员还会将用户发送到特定的网页,同时禁用某些系统功能——因此他们无法摆脱页面/图像。这类似于锁定的桌面环境。这并不意味着用户的文件已经被加密或删除。
勒索软件感染可能是毁灭性的。这是毋庸置疑的。然而,被勒索软件击中并不意味着你的数据永远消失。勒索软件开发者并不都是了不起的程序员。如果有一个简单的途径立即获得经济利益,它将采取。这,在安全的知识,一些用户将支付由于直接和直接的威胁。这是完全可以理解的。
最好的勒索软件缓解方法仍然是:定期备份您的文件到一个非网络驱动器,保持您的防病毒套件和互联网浏览器的更新,警惕网络钓鱼电子邮件,并明智地从互联网下载文件。
图片来源:andras_csontos viaShutterstock.com网站
紧跟着最著名的恶意软件WannaCry,新的勒索软件威胁锁定你的设备,并发送私人信息给你的家人和朋友。 ...
...里当瓦纳加密机在全球各地激增?这种高毒力的自我复制勒索软件(一种勒索蠕虫)席卷了欧洲、中东和亚洲的大部分地区,在这个过程中对有价值的重要文件进行了加密。 ...
...的网络攻击袭击了全世界的电脑。这种高毒力的自我复制勒索软件——被称为WanaCryptor、Wannacry或Wcry——部分盗用了****局(NSA)上个月发布到野外的一个黑客组织“影子掮客”(Shadow Brokers)。 ...
...。虽然老式病毒在Linux上可能不是问题,但特洛伊木马、勒索软件和浏览器安全都是您需要注意的问题。 ...
11月下旬,网络犯罪分子用勒索软件攻击旧金山交通局。旅行者们没有抱怨,他们在城里免费乘车了几个小时。但对该机构来说,这是一场财务和公关灾难。 ...
勒索软件是阴险的,而且还在蔓延。据统计,你可能至少收到了一封勒索软件电子邮件,如果不是实际的攻击,已经被你的安全软件阻止。 ...
勒索软件——用来勒索你的电脑或**的软件——正在上升。骗子们知道,通过锁定受害者的有价值数据,他们很有可能会花钱将其发布。 ...
... 个人网络保险有助于降低安全漏洞的成本,如勒索勒索要求、数据恢复、数据销毁、在线欺诈和身份盗窃。整个网络保险市场还很年轻,因此很难准确界定。针对个人的政策侧重于防范潜伏在网上的无数攻击所带来的...