当前位置：首页 > news >正文

勒索病毒是什么？如何防勒索病毒

news 2025/9/19 7:22:53

勒索病毒并不是某一个病毒，而是一类病毒的统称，主要以邮件、程序、木马、网页挂马的形式进行传播，利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

已知最早的勒索软件出现于 1989 年，名为“艾滋病信息木马”（Trojan/DOS.AidsInfo，亦称“PC Cyborg木马”），其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件，挂马，社交网络方式传播，使用转账等方式支付赎金，其攻击范畴和持续攻击能力相对有限，相对容易追查。2006 年出现的 Redplus 勒索木马（Trojan/Win32.Pluder），是国内首个勒索软件。2013下半年开始，是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密，使破解几乎不可能。同时要求用户使用虚拟货币支付，以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker，CTBLocker等。自2016年开始，WannaCry勒索蠕虫病毒大爆发，且目的不在于勒索钱财，而是制造影响全球的大规模破坏行动。

戏剧性的是，在此阶段，勒索病毒已呈现产业化、家族化持续运营状态。

自2018年开始，勒索木马技术日益成熟，已将攻击目标从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。比如直接攻击医疗行业，企事业单位、政府机关服务器，包括制造业在内的传统企业面临着日益严峻的安全形势。

勒索病毒工作原理

勒索病毒文件一旦进入被攻击者本地，就会自动运行，同时删除勒病毒母体，以躲避查杀、分析和追踪（变异速度快，对常规的杀毒软件都具有免疫性）。接下来利用权限连接黑客的服务器，上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密（先使用 AES-128 加密算法把电脑上的重要文件加密，得到一个密钥；再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。）。除了病毒开发者本人，其他人是几乎不可能解密。如果想使用计算机暴力破解，根据目前的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件。（当然，理论上来说，也可以尝试破解被 RSA-2048 算法加密的总密钥，至于破解所需要的时间，恐怕地球撑不到那个时候。）加密完成后，还会锁定屏幕，修改壁纸，在桌面等显眼的位置生成勒索提示文件，指导用户去缴纳赎金。

值得一提的是，有的勒索方式索要赎金是比特币，如果你不会交易流程，可能会遭到勒索者的二次嘲讽：自己上网查！( Ĭ ^ Ĭ )

以下为APT沙箱分析到勒索病毒样本载体的主要行为：

1、调用加密算法库；

2、通过脚本文件进行Http请求；

3、通过脚本文件下载文件；

4、读取远程服务器文件；

5、通过wscript执行文件；

6、收集计算机信息；

7、遍历文件。

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。

如何防勒索病毒？

青铜段位

不要打开陌生人或来历不明的邮件，防勒索病毒通过邮件的攻击；

需要的软件从正规（官网）途径下载；

升级杀毒软件到最新版本，阻止已存在的病毒样本攻击；

Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁；

定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复；

定期进行安全培训，日常安全管理可参考“三不三要”（三不：不上钩、不打开、不点击。三要：要备份、要确认、要更新）思路。

钻石段位

1. 物理，网络隔离染毒机器；

2. 对于内网其他未中毒电脑，排查系统安全隐患：

a）系统和软件是否存在漏洞

b）是否开启了共享及风险服务或端口，如135、137、139、445、3389

c）只允许办公电脑，访问专门的文件服务器。使用FTP，替代文件夹共享。

d）检查机器ipc空连接及默认共享是否开启

e）检查是否使用了统一登录密码或者弱密码

3. 尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

4. 尽量不要双击打开.js、.vbs等后缀名文件；

5. 事后处理

在无法直接获得安全专业人员支持的情况下，可考虑如下措施：

通过管家勒索病毒搜索引擎搜索，获取病毒相关信息。搜索引擎地址（勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家

若支持解密，可直接点击下载工具对文件进行解密

王者段位

在如何防勒索病毒这个话题中，人们常规的防御思维综上所述。虽然没什么毛病，但怎么看都像是“坐以待毙”，被动挨打。不过也无可厚非，毕竟见招拆招是惯性思维。

正确的防勒索病毒手段，一定是以不变应万变。

举个栗子：

农场主养了一群羊，毛发油亮，膘肥体壮，卖相极好，农场主甚是欣慰。

有一天农场主发现少了几只羊，还发现了狼的踪迹，便明白了有狼偷羊。

农场主跟踪狼的踪迹，设置陷阱，日夜监督，身心俱疲，但还是没有捉到狼，羊的数量还在减少。

最后，农场主把茅草的羊圈换成了花岗岩羊圈，羊再也没少过，农场主也再也不用去寻找狼。

主机加固的概念便是如此。

所以如何防勒索病毒，主机加固的思路才是良策。

主机加固的核心要点：

系统加固

将调试好的系统锁定，变成可信系统。

在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过

拒绝启动，并且可信程序无法被伪装。

文件加固

保护指定类型的文件不被篡改。

磁盘加密

创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

数据库加固

第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连

接字符串的IP+端口+账号密码中，追加进程身份识别。

第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库

内数据被非法访问，防止数据库表单的危险操作行为。

很多问题换一种思维可能就迎刃而解。如何防勒索病毒，显然用主机加固的策略更佳。至于主机加固产品如何选型，各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了，而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。

勒索病毒是什么？如何防勒索病毒

相关文章：

勒索病毒是什么？如何防勒索病毒

SpringBoot+VUE+Axios 【链接超时】后端正常返回结果，前端却出现错误无法接收数据

【状态估计】基于增强数值稳定性的无迹卡尔曼滤波多机电力系统动态状态估计（Matlab代码实现）

快速排序的简单理解

短视频多平台发布软件功能详解

谷歌人机验证Google reCAPTCHA

VB+ACCESS电脑销售系统的设计与实现

嵌入式开发：硬件和软件越来越接近

亲测：腾讯云轻量应用服务器性能如何？

编程语言，TIOBE 4 月榜单：黑马出现了

基于DSP+FPGA的机载雷达伺服控制系统(二）电源仿真

SpringBoot整合Redis、以及缓存穿透、缓存雪崩、缓存击穿的理解分布式情况下如何添加分布式锁【续篇】

优漫动游告诉你：平面设计适合你吗？

在Vue中，为什么从 props 中解构变量之后再watch它，无法检测到它的变化？

[源码解析]socket系统调用上

Jenkins部署与自动化构建

网络编程三要素

如何编写一个自己的web前端脚手架

计算机网络第1章（概述）

grid布局

SpringBoot-17-MyBatis动态SQL标签之常用标签

java_网络服务相关_gateway_nacos_feign区别联系

树莓派超全系列教程文档--(61)树莓派摄像头高级使用方法

Day131 | 灵神 | 回溯算法 | 子集型子集

UR 协作机器人「三剑客」：精密轻量担当（UR7e）、全能协作主力（UR12e）、重型任务专家（UR15）

Map相关知识

高效线程安全的单例模式：Python 中的懒加载与自定义初始化参数

比较数据迁移后MySQL数据库和OceanBase数据仓库中的表

什么是VR全景技术

JS红宝书笔记 - 3.3 变量