勒索是一種常見的麻煩。一個勒索軟件感染了你的電腦，並要求支付釋放。在某些情況下，付款不能保護您的文件。個人照片、音樂、電影、作品等都被銷燬。勒索軟件感染率繼續上升——不幸的是，我們還沒有達到峰值——其複雜性正在增加。

這條規則有明顯的例外。在某些情況下，安全研究人員破解了勒索軟件加密，使他們能夠創建一個夢寐以求的解密工具。這些事件很少見，通常在惡意殭屍網絡被關閉時發生。然而，並不是所有的勒索軟件都像我們想象的那麼複雜。

攻擊的解剖

不同於一些常見的惡意軟件變種，勒索軟件試圖保持隱藏的時間儘可能長。這是為了給你的個人文件加密留出時間。勒索軟件的設計是為了保持用戶可用的系統資源的最大數量，而不是引起警報。因此，對於許多用戶來說，勒索軟件感染的第一個跡象是解釋發生了什麼的加密後消息。

與其他惡意軟件相比，勒索軟件的感染過程是相當可預測的。用戶將下載一個受感染的文件：其中包含勒索軟件的有效載荷。當被感染的文件被執行時，不會立即發生任何事情（取決於感染的類型）。用戶仍然不知道勒索軟件開始加密他們的個人文件。

除此之外，勒索軟件攻擊還有其他幾種不同的行為模式：

• 明顯的勒索記錄。
• 主機和控制服務器之間的後臺數據傳輸。
• 文件的熵會改變。

文件熵

文件熵可以用來識別用勒索軟件加密的文件。Rob VandenBrink為互聯網風暴中心撰文，簡要概述了文件熵和勒索軟件：

In the IT industry, a file's entropy refers to a specific measure of randomness called "Shannon Entropy," named for Claude Shannon. This value is essentially a measure of the predictability of any specific character in the file, based on preceding characters (full details and math here). In other words, it's a measure of the "randomness" of the data in a file -- measured in a scale of 1 to 8, where typical text files will have a low value, and encrypted or compressed files will have a high measure.

我建議你讀原著，因為它很有趣。

它與“普通”惡意軟件不同嗎？

勒索軟件和惡意軟件有一個共同的目標：保持隱蔽。如果不久被發現，使用者就有機會與感染作鬥爭。這個神奇的詞是“加密”。勒索軟件因使用加密而聲名狼藉，而加密在惡意軟件中已經使用了很長時間。

加密通過混淆特徵碼檢測，幫助惡意軟件在反病毒程序的監視下通過。它沒有看到一個可識別的字符串來提醒防禦屏障，而是不知不覺地傳染過去了。儘管反病毒套件越來越善於注意這些字符串（通常稱為哈希值），但對於許多惡意軟件開發人員來說，解決這些問題並不重要。

常見的模糊處理方法

下面是一些更常見的模糊處理方法：

• 檢測——許多惡意軟件變種可以檢測它們是否在虛擬化環境中使用。這使得惡意軟件可以通過簡單地拒絕執行或解包來逃避安全研究人員的注意。反過來，這會阻止創建最新的安全簽名。
• 時機——最好的防病毒套件會不斷髮出警報，檢查新的威脅。不幸的是，一般的防病毒程序不能保護您的系統的每一個方面在任何時候。例如，某些惡意軟件只會在系統重新啟動、轉義（並可能在此過程中禁用）防病毒操作後部署。
• 通信——惡意軟件會打電話到其指揮控制（C&C）服務器獲取指令。並非所有惡意軟件都是如此。然而，當他們這樣做，反病毒程序可以發現特定的IP地址已知的主機C&C服務器，並試圖阻止通信。在這種情況下，惡意軟件開發人員只需旋轉C&C服務器地址，即可逃避檢測。
• 假操作——一個精心設計的假程序可能是惡意軟件感染最常見的通知之一。不知情的用戶認為這是他們操作系統（通常是Windows）的常規部分，並愉快地按照屏幕上的說明操作。這些對不熟練的PC用戶來說尤其危險，雖然充當友好的前端，但可以允許大量惡意實體訪問系統。

這份清單並不詳盡。然而，它確實涵蓋了惡意軟件在你的電腦上保持隱藏的一些最常見的方法。

勒索軟件簡單嗎？

簡單也許是個錯誤的詞。勒索軟件是不同的。一個勒索軟件變種使用加密更廣泛，其對手，以及在一個不同的方式。勒索軟件感染的行為讓它引人注目，同時也**了一種氛圍：勒索軟件是一種令人恐懼的東西。

勒索軟件使用了一些新穎的功能，例如：

• 加密大量文件。
• 刪除通常允許用戶從備份還原的卷影副本。
• 在遠程C&C服務器上創建和存儲加密密鑰。
• 索要贖金，通常是無法追蹤的比特幣。

而傳統的惡意軟件“僅僅”竊取你的用戶憑據和密碼，勒索軟件直接影響你，擾亂你的即時計算環境。而且，它的後果非常直觀。

勒索軟件戰術：主文件表

勒索軟件的“哇！”這個因素當然來自於它對加密的使用。但它看起來就這麼複雜嗎？Lastline實驗室的聯合創始人兼首席架構師engkirda不這麼認為。他和他的團隊（利用Kirda博士生之一Amin kharaz的研究）完成了一項龐大的勒索軟件研究，分析了15個勒索軟件家族的1359個樣本。他們的分析探索了刪除機制，並發現了一些有趣的結果。

What are the deletion mechani**s? About 36 percent of the five most common ransomware families in the data set were deleting files. If you didn't pay up, the files were actually being deleted. Most of the deletion, in fact, was quite straightforward.How would a professional person do this? They would actually aim to wipe the disk so that it's difficult to recover the data. You would write over the disk, you would wipe that file off the disk. But most of them were, of course, lazy, and they were directly working on the Master File Table entries and marking things as deleted, but the data was still remaining on disk.

隨後，可以檢索已刪除的數據，在許多情況下，還可以完全恢復這些數據。

勒索軟件戰術：桌面環境

另一個典型的勒索軟件行為是鎖定桌面。這種類型的攻擊存在於更基本的變體中。勒索軟件沒有真正開始加密和刪除文件，而是鎖定桌面，迫使用戶離開機器。大多數用戶認為這意味著他們的文件不見了（加密或完全刪除），根本無法恢復。

勒索軟件戰術：強制信息

勒索軟件感染出了名的顯示他們的勒索筆記。它通常要求用戶為安全返回其文件而支付費用。除此之外，勒索軟件開發人員還會將用戶發送到特定的網頁，同時禁用某些系統功能——因此他們無法擺脫頁面/圖像。這類似於鎖定的桌面環境。這並不意味著用戶的文件已經被加密或刪除。

先想後付

勒索軟件感染可能是毀滅性的。這是毋庸置疑的。然而，被勒索軟件擊中並不意味著你的數據永遠消失。勒索軟件開發者並不都是了不起的程序員。如果有一個簡單的途徑立即獲得經濟利益，它將採取。這，在安全的知識，一些用戶將支付由於直接和直接的威脅。這是完全可以理解的。

最好的勒索軟件緩解方法仍然是：定期備份您的文件到一個非網絡驅動器，保持您的防病毒套件和互聯網瀏覽器的更新，警惕網絡釣魚電子郵件，並明智地從互聯網下載文件。

圖片來源：andras_csontos viaShutterstock.com網站