何为勒索软件?
勒索软件是一种特定的、极其有害的恶意软件,网络犯罪分子用它来向个人、组织和企业勒索金钱。感染会阻止您访问数据,直到您付出赎金为止,此时您才能重获访问权
事实上,近 40% 支付赎金的受害人从未要回其数据,付赎金的那些受害人中有 73% 以后又再次成为勒索目标 – 这就是为什么每个人必须防范勒索软件。
臭名昭著的勒索软件类型
- Dharma
- Ryuk
- Sodinokibi
- Netwalker
- Maze
影响力:高状态:活动中Dharma
Dharma 于 2016 年由 CrySis 勒索软件演变而来,主要作为垃圾邮件中的恶意附件分发,采用的欺诈手段有多种,比如双文件扩展名或合法软件包的内部安装程序文件。最近,这种勒索软件毒株也通过攻击密码强度较弱或密码已泄露的 RDP 服务器进行分发。这种勒索软件针对每次感染索要的赎金一般约为 1 个比特币,其中许多受害者为中小型企业以及私人部门。据 FBI 估计,这种勒索软件的所有变体在 2019 年牟取的利润总额超过 800 万美元。2020 年 3 月,Dharma 的源代码在一些地下论坛中公开出售,这将导致更多变体的问世。
新闻内容
影响力:中等状态:活动中Ryuk Ransomware
据称,Ryuk 与国家资助的黑客组织 Lazarus 和较早的 Hermes 勒索软件变体有关。不同于通过大规模垃圾邮件攻击活动和漏洞利用工具包分发的常见勒索软件毒株,这种变体主要用于发起有针对性的攻击。Ryuk 使用三层加密模型:使用 RSA 加密方法对加密密钥进行加密,使用 AES 加密方法对用户文件进行加密,并使用进程注入技术隐藏自身以免被防病毒解决方案发现。Ryuk 攻击了一些非常知名的企业,并索要了数百万美元的赎金。据 FBI 估计,Ryuk 每月通过勒索赚取的收入约为 300 万美元,这表明该勒索软件团伙采取的策略是成功的。
新闻内容
影响力:中等状态:活动中Sodinokibi Ransomware
分发 Sodinokibi 的攻击者据说与分发臭名昭著的 GrandCrab 勒索软件的那些人密切相关。Sodinokibi 避免感染伊朗、俄罗斯和前苏联的其他国家的计算机。Sodinokibi 使用椭圆曲线综合加密方案 (ECIES) 进行密钥生成和交换(椭圆曲线 Diffie-Hellman 密钥交换算法)。此勒索软件使用 AES 和 Salsa20 算法分别加密会话密钥和用户文件,AES 还用于加密发送到控制服务器的网络数据。该勒索软件通常需要约 0.32806964 个比特币(约 2500 美元)来重获对加密的文件的访问权。
新闻内容- Sodinokibi 勒索软件可能会提醒 NASDAQ 进行攻击以损害股价
- Sodinokibi 勒索软件攻击导致 Gedia Automotive Group 的 IT 网络受损
- 对 Travelex 的攻击造成了惊人的影响
在 Acronis 上更多了解有关 Sodinokibi 的内容
影响力:高状态:活动中Netwalker
由 GrujaRS 发现的 NetWalker(又名 Mailto)是 Kokoklock 勒索软件的新型变体。该勒索软件通过入侵网络并加密所有连接的 Windows 设备来索要高额赎金。网络犯罪分子最近发起了一场与冠状病毒相关的垃圾邮件攻击活动,其目的是传播 NetWalker 勒索软件。2020 年 3 月底,该团伙发起了一项附属活动,以提供 NetWalker 作为勒索软件即服务 (RaaS)。
新闻内容
影响力:高状态:活动中Maze
Maze(之前称为 ChaCha)于 2019 年首次现身于勒索软件领域。该勒索软件团伙在全球范围内发起攻击,通过各种方法(包括垃圾邮件、漏洞利用工具包和使用弱密码的远程桌面连接)分发恶意软件。Maze 勒索软件非常复杂,它采用了各种反分析手段,例如终止调试器和逆向工程工具。Maze 是当受害者未能支付赎金时发布被盗数据的首批大型勒索软件家族之一。不同于许多其他勒索软件,Maze 勒索软件背后的团伙在社交媒体上非常活跃,他们经常嘲弄研究人员和记者。
新闻内容
勒索软件与加密劫持的联系
网络犯罪分子使用劫持计算资源的恶意软件感染 Windows 和 Linux 计算机,在用户不知情的情况下挖掘加密货币。加密劫持不仅会降低计算机性能、增加能源成本并损坏硬件,而且这种感染通常会注入勒索软件,以最大化恶意软件的盈利能力。
值得庆幸的是,Acronis 实时自动检测并阻止勒索软件和加密劫持者 – 通常比很多领先的端点网络安全解决方案更胜一筹。
公认的防勒索软件保护
独立实验室、网络安全分析师和行业团体一致认为,Acronis 针对现代网络威胁提供了一流防护。
不要成为牺牲品
Acronis 解决方案如何保护您的数据、应用程序和系统
- 检测攻击
Acronis 使用人工智能实时监视您的系统 – 检查进程堆栈来识别相应的活动,这些活动表现出通常在勒索软件和加密劫持攻击中出现的行为模式。.
- 阻止加密
如果有进程试图加密数据或注入恶意代码,Acronis 会立即将其阻止,并即刻通知您发现了可疑内容。然后您就可以阻止活动或允许其继续。
- 还原受影响的文件
如果在攻击受阻之前,任何文件被篡改或加密,Acronis Cyber Protection 解决方案会自动从备份或缓存中还原这些文件 – 几乎立即抵消任何攻击的影响。
- 针对网络保护的五个向量
现代网络保护必须确保所有数据的安全性、可访问性、隐私性和真实性(也称为 SAPAS)。只有 Acronis 将所有必要的技术 – 混合云、人工智能、加密和区块链 – 统一到一个轻松、有效且安全的解决方案中。
保护行业
值得自豪的 AMTSO 成员
作为反恶意软件测试标准组织 (AMTSO) 的一员,Acronis 正在帮助制定测试安全解决方案的正确标准,并且我们参与了符合 AMTSO 标准的测试。
VirusTotal 的机器学习贡献者
AMTSO 的成员身份让 Acronis 将机器学习引擎贡献给 VirusTotal,这使全世界的所有用户都能得益于我们的技术检测各种在线数据威胁的能力。
Joel S.
网络管理员
"通过防范勒索软件的 Acronis Active Protection 之类的创新功能,我们正在实现当今市场上最强大的网络保护解决方案。"
需要帮助?
常见问题
- 勒索软件是什么?
勒索软件是网络犯罪分子用于向个人、组织或企业敲诈钱财的一种恶意软件。虽然勒索软件的种类十分繁多,但最典型的攻击是加密受害者的数据,然后发送消息给该用户,提出支付赎金的要求 – 通常要求以数字货币(如比特币或门罗币)支付。
支付赎金后,犯罪分子应该提供解密密钥 – 不过需要注意的是,有将近 40% 支付了赎金的受害者永远没有取回其数据的访问权限。
- 如何防范勒索软件?
勒索软件通常通过电子邮件和受感染的网站进行分发。大部分勒索软件使用称为“网络钓鱼”的恶意软件感染技术分发,其中您会收到一封看似来自您认识或信任的人员发来的电子邮件。其目的是为了欺骗您打开该电子邮件中的附件或点击其中的链接,一旦您这样做,勒索软件就会注入您的系统。
请保持警惕,避免点击可疑的链接或打开可疑的附件是第一道防线,但网络犯罪分子非常善于欺骗,即便是最谨慎的人也可能百密一疏。利用勒索软件保护软件来防止系统遭到入侵才是关键。
遗憾的是,传统防病毒解决方案只能寻找已知的勒索软件系列,无法应对当今不断演变的威胁。不管是 Windows 10 还是 Mac 设备需要勒索软件保护,请务必使用根据可疑活动检测攻击的防勒索软件技术,因为基于行为的防御在识别和阻止零日攻击方面效果更佳。
- 如何删除勒索软件?
如果您是勒索软件受害者,将会发现删除勒索软件十分困难。您基本上只有三个选择:
首先,您可以从备份恢复系统。但是,您需要确保备份没有遭到篡改,因为新勒索软件系列会将备份文件和备份软件作为目标。
第二个选择是重新格式化硬盘驱动器,擦除所有数据(包括受感染的数据),然后重新安装操作系统和应用程序。但是,如果没有备份,您将丢失所有个人数据,而且还会面临未来的勒索软件攻击。
最后,您可以支付赎金,祈祷解密密钥有效,以便恢复数据。但您要知道,有 40% 支付了赎金的用户永远没有取回数据,所以在损坏发生之前阻止攻击才是更好的方法。
- 勒索软件背后的犯罪分子是谁?
一般来说,开发和分发勒索软件的犯罪分子是有组织的犯罪集团或民族国家的攻击者。
有组织的犯罪分子的动机是敲诈尽可能多的金钱。他们越来越频繁地将恶意软件作为勒索软件包分发给任何有能力使用的人 – 尽管这些人没有多少专业技术知识。这种勒索软件即服务 (RaaS) 模型可以迅速扩散其软件。这些犯罪分子为付款、解密和其他运营需求提供了便利,而他们也可以从获得的赎金中抽取一定的比例。
发起勒索软件攻击的民族国家通常是一些遭到国际社会严厉制裁的流氓国家/地区。一方面,他们使用勒索软件向受害者勒索钱财,另一方面,也可以破坏对手的经济、社会和政府福利。
- 如何解密文件?
考虑到勒索软件系列种类繁多,以及这些系列中单独的变种,攻击后如何解密数据会有所不同。
某些情况下,网上会提供针对特定种类的勒索软件的解密软件包。之所以会创建它们,是因为变种自出现以来得到了深入的研究,或者因为研究人员发现了犯罪分子使用的加密方法中的缺陷。如果您能确定加密您文件的勒索软件的类型,那么就可以了解解密器是否可用。
但是,很多情况下,流行的勒索软件变种有很强的加密功能,这使得解密文件毫无可能,很大程度上,现代勒索软件系列没有解密选项。
更好的选项是从安全备份还原系统 – 这会恢复文件,并且绝大多数情况下,会删除恶意软件,这样您就没有了再次感染的风险。
确保您有基于行为的勒索软件阻止程序也会防止将来受到感染。