勒索是一种常见的麻烦。一个勒索软件感染了你的电脑，并要求支付释放。在某些情况下，付款不能保护您的文件。个人照片、音乐、电影、作品等都被销毁。勒索软件感染率继续上升——不幸的是，我们还没有达到峰值——其复杂性正在增加。

这条规则有明显的例外。在某些情况下，安全研究人员破解了勒索软件加密，使他们能够创建一个梦寐以求的解密工具。这些事件很少见，通常在恶意僵尸网络被关闭时发生。然而，并不是所有的勒索软件都像我们想象的那么复杂。

攻击的解剖

不同于一些常见的恶意软件变种，勒索软件试图保持隐藏的时间尽可能长。这是为了给你的个人文件加密留出时间。勒索软件的设计是为了保持用户可用的系统资源的最大数量，而不是引起警报。因此，对于许多用户来说，勒索软件感染的第一个迹象是解释发生了什么的加密后消息。

与其他恶意软件相比，勒索软件的感染过程是相当可预测的。用户将下载一个受感染的文件：其中包含勒索软件的有效载荷。当被感染的文件被执行时，不会立即发生任何事情（取决于感染的类型）。用户仍然不知道勒索软件开始加密他们的个人文件。

除此之外，勒索软件攻击还有其他几种不同的行为模式：

• 明显的勒索记录。
• 主机和控制服务器之间的后台数据传输。
• 文件的熵会改变。

文件熵

文件熵可以用来识别用勒索软件加密的文件。Rob VandenBrink为互联网风暴中心撰文，简要概述了文件熵和勒索软件：

In the IT industry, a file's entropy refers to a specific measure of randomness called "Shannon Entropy," named for Claude Shannon. This value is essentially a measure of the predictability of any specific character in the file, based on preceding characters (full details and math here). In other words, it's a measure of the "randomness" of the data in a file -- measured in a scale of 1 to 8, where typical text files will have a low value, and encrypted or compressed files will have a high measure.

我建议你读原著，因为它很有趣。

它与“普通”恶意软件不同吗？

勒索软件和恶意软件有一个共同的目标：保持隐蔽。如果不久被发现，使用者就有机会与感染作斗争。这个神奇的词是“加密”。勒索软件因使用加密而声名狼藉，而加密在恶意软件中已经使用了很长时间。

加密通过混淆特征码检测，帮助恶意软件在反病毒程序的监视下通过。它没有看到一个可识别的字符串来提醒防御屏障，而是不知不觉地传染过去了。尽管反病毒套件越来越善于注意这些字符串（通常称为哈希值），但对于许多恶意软件开发人员来说，解决这些问题并不重要。

常见的模糊处理方法

下面是一些更常见的模糊处理方法：

• 检测——许多恶意软件变种可以检测它们是否在虚拟化环境中使用。这使得恶意软件可以通过简单地拒绝执行或解包来逃避安全研究人员的注意。反过来，这会阻止创建最新的安全签名。
• 时机——最好的防病毒套件会不断发出警报，检查新的威胁。不幸的是，一般的防病毒程序不能保护您的系统的每一个方面在任何时候。例如，某些恶意软件只会在系统重新启动、转义（并可能在此过程中禁用）防病毒操作后部署。
• 通信——恶意软件会打电话到其指挥控制（C&C）服务器获取指令。并非所有恶意软件都是如此。然而，当他们这样做，反病毒程序可以发现特定的IP地址已知的主机C&C服务器，并试图阻止通信。在这种情况下，恶意软件开发人员只需旋转C&C服务器地址，即可逃避检测。
• 假操作——一个精心设计的假程序可能是恶意软件感染最常见的通知之一。不知情的用户认为这是他们操作系统（通常是Windows）的常规部分，并愉快地按照屏幕上的说明操作。这些对不熟练的PC用户来说尤其危险，虽然充当友好的前端，但可以允许大量恶意实体访问系统。

这份清单并不详尽。然而，它确实涵盖了恶意软件在你的电脑上保持隐藏的一些最常见的方法。

勒索软件简单吗？

简单也许是个错误的词。勒索软件是不同的。一个勒索软件变种使用加密更广泛，其对手，以及在一个不同的方式。勒索软件感染的行为让它引人注目，同时也**了一种氛围：勒索软件是一种令人恐惧的东西。

勒索软件使用了一些新颖的功能，例如：

• 加密大量文件。
• 删除通常允许用户从备份还原的卷影副本。
• 在远程C&C服务器上创建和存储加密密钥。
• 索要赎金，通常是无法追踪的比特币。

而传统的恶意软件“仅仅”窃取你的用户凭据和密码，勒索软件直接影响你，扰乱你的即时计算环境。而且，它的后果非常直观。

勒索软件战术：主文件表

勒索软件的“哇！”这个因素当然来自于它对加密的使用。但它看起来就这么复杂吗？Lastline实验室的联合创始人兼首席架构师engkirda不这么认为。他和他的团队（利用Kirda博士生之一Amin kharaz的研究）完成了一项庞大的勒索软件研究，分析了15个勒索软件家族的1359个样本。他们的分析探索了删除机制，并发现了一些有趣的结果。

What are the deletion mechani**s? About 36 percent of the five most common ransomware families in the data set were deleting files. If you didn't pay up, the files were actually being deleted. Most of the deletion, in fact, was quite straightforward.How would a professional person do this? They would actually aim to wipe the disk so that it's difficult to recover the data. You would write over the disk, you would wipe that file off the disk. But most of them were, of course, lazy, and they were directly working on the Master File Table entries and marking things as deleted, but the data was still remaining on disk.

随后，可以检索已删除的数据，在许多情况下，还可以完全恢复这些数据。

勒索软件战术：桌面环境

另一个典型的勒索软件行为是锁定桌面。这种类型的攻击存在于更基本的变体中。勒索软件没有真正开始加密和删除文件，而是锁定桌面，迫使用户离开机器。大多数用户认为这意味着他们的文件不见了（加密或完全删除），根本无法恢复。

勒索软件战术：强制信息

勒索软件感染出了名的显示他们的勒索笔记。它通常要求用户为安全返回其文件而支付费用。除此之外，勒索软件开发人员还会将用户发送到特定的网页，同时禁用某些系统功能——因此他们无法摆脱页面/图像。这类似于锁定的桌面环境。这并不意味着用户的文件已经被加密或删除。

先想后付

勒索软件感染可能是毁灭性的。这是毋庸置疑的。然而，被勒索软件击中并不意味着你的数据永远消失。勒索软件开发者并不都是了不起的程序员。如果有一个简单的途径立即获得经济利益，它将采取。这，在安全的知识，一些用户将支付由于直接和直接的威胁。这是完全可以理解的。

最好的勒索软件缓解方法仍然是：定期备份您的文件到一个非网络驱动器，保持您的防病毒套件和互联网浏览器的更新，警惕网络钓鱼电子邮件，并明智地从互联网下载文件。

图片来源：andras_csontos viaShutterstock.com网站