什么是勒索軟件？勒索軟件是一種惡意軟件，旨在拒絕用戶或組織訪問其計算機上的文件。通過加密這些文件并要求為解密密鑰支付贖金，網絡攻擊者將組織置于支付贖金是重新訪問其文件的最簡單和最便宜的方式的位置。一些變體增加了額外的功能——例如數據竊取——為勒索軟件受害者支付贖金提供進一步的激勵。

勒索軟件已迅速成為最突出和最明顯的惡意軟件類型。最近的勒索軟件攻擊影響了醫(yī)院提供關鍵服務的能力，削弱了城市的公共服務，并對各種組織造成了重大損害。

勒索軟件是如何工作的？為了成功，勒索軟件需要訪問目標系統(tǒng)，加密那里的文件，并向受害者索要贖金。雖然實施細節(jié)因勒索軟件變體而異，但都共享相同的核心三個階段：

步驟1、感染和傳播媒介

與任何惡意軟件一樣，勒索軟件可以通過多種不同方式訪問組織的系統(tǒng)。但是，勒索軟件運營商往往更喜歡一些特定的感染媒介。

其中之一是網絡釣魚電子郵件。惡意電子郵件可能包含指向托管惡意下載的網站的鏈接或具有內置下載器功能的附件。如果電子郵件收件人陷入網絡釣魚，則勒索軟件將被下載并在其計算機上執(zhí)行。

另一種流行的勒索軟件感染媒介利用遠程桌面協(xié)議 (RDP) 等服務。使用 RDP，竊取或猜測員工登錄憑據的攻擊者可以使用它們對企業(yè)網絡中的計算機進行身份驗證和遠程訪問。通過這種訪問，攻擊者可以直接下載惡意軟件并在他們控制的機器上執(zhí)行它。

其他人可能會嘗試直接感染系統(tǒng)，例如WannaCry如何利用 EternalBlue 漏洞。大多數勒索軟件變種都有多個感染媒介。

步驟2、數據加密

在勒索軟件獲得對系統(tǒng)的訪問權后，它可以開始加密其文件。由于加密功能內置在操作系統(tǒng)中，這僅涉及訪問文件，使用攻擊者控制的密鑰對其進行加密，并用加密版本替換原始文件。大多數勒索軟件變種在選擇要加密的文件以確保系統(tǒng)穩(wěn)定性時都非常謹慎。一些變體還將采取措施刪除文件的備份和卷影副本，以使沒有解密密鑰的恢復更加困難。

步驟3、贖金要求

一旦文件加密完成，勒索軟件就準備提出勒索要求。不同的勒索軟件變體以多種方式實現這一點，但將顯示背景更改為勒索說明或放置在包含勒索說明的每個加密目錄中的文本文件的情況并不少見。通常，這些筆記需要一定數量的加密貨幣來換取對受害者文件的訪問。如果支付了贖金，勒索軟件運營商將提供用于保護對稱加密密鑰的私鑰副本或對稱加密密鑰本身的副本。該信息可以輸入到解密程序（也由網絡犯罪分子提供）中，該程序可以使用它來反轉加密并恢復對用戶文件的訪問。

雖然這三個核心步驟存在于所有勒索軟件變體中，但不同的勒索軟件可能包括不同的實現或附加步驟。例如，像Maze這樣的勒索軟件變種會在數據加密之前執(zhí)行文件掃描、注冊表信息和數據盜竊，而 WannaCry勒索軟件會掃描其他易受攻擊的設備以感染和加密。

以上是“什么是勒索軟件，它是如何工作的？”的介紹，希望能幫助到大家了解。