查字网-字源字典字源网-汉字源流-字源字典-chaziwang.cn

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

勒索病毒传播途径

据火绒监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。

通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞，而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统，因此也成为病毒攻击的重灾区，病毒可以通过漏洞在局域网中无限传播。相反，win10系统因为强制更新，几乎不受漏洞攻击的影响。

通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少，但对于有收发邮件、网页浏览需求的企业而言，依旧会受到威胁。

此外，对于某些特别依赖U盘、记录仪办公的局域网机构用户来说，外设则成为勒索病毒攻击的特殊途径。

勒索病毒攻击对象

勒索病毒一般分两种攻击对象，一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。

勒索病毒规律

该类型病毒的目标性强，主要以邮件为传播方式。

勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，将加密公钥写入到注册表中，遍历本地所 有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

勒索病毒分析

一般勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为：

1、调用加密算法库；

2、通过脚本文件进行Http请求；

3、通过脚本文件下载文件；

4、读取远程服务器文件；

5、通过wscript执行文件；

6、收集计算机信息；

7、遍历文件。

勒索病毒样本运行流程

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。

同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。

勒索病毒应对方案

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：

1、通过脚本文件进行Http请求；

2、通过脚本文件下载文件；

3、读取远程服务器文件；

4、收集计算机信息；

5、遍历文件；

6、调用加密算法库。

为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

3、需要的软件从正规（官网）途径下载，不要双击打开.js、.vbs等后缀名文件；

4、升级到最新的防病毒等安全特征库；

5、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；

6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。