勒索病毒是目前最主流的電腦病毒之一，它會利用各種加密算法對被感染者電腦中的文件進行加密，影響文件的打開和使用，進而勒索贖金。下面我們就來了解一下勒索病毒的分類，以及感染勒索病毒后的解決辦法。

勒索病毒的分類

勒索病毒并不是某一個病毒，而是一類病毒的統(tǒng)稱，主要以郵件、程序、木馬、網頁掛馬的形式進行傳播。以下就是勒索病毒的常見分類：

• 文件加密類勒索病毒：該類勒索病毒以RSA、AES等多種加密算法對用戶文件進行加密，并以此索要贖金，一旦感染，極難恢復文件。
• 數據竊取類勒索病毒：該類勒索病毒與文件加密類勒索病毒類似，但在勒索環(huán)節(jié)，攻擊者通過甄別和竊取用戶重要數據，以公開重要數據脅迫用戶支付勒索贖金。
• 系統(tǒng)加密類勒索病毒：該類勒索病毒同樣通過各類加密算法對系統(tǒng)磁盤主引導記錄、卷引導記錄等進行加密，阻止用戶訪問磁盤，影響用戶設備的正常啟動和使用，并向用戶勒索贖金。
• 屏幕鎖定類勒索病毒：該類勒索病毒對用戶設備屏幕進行鎖定，通常以全屏形式呈現涵蓋勒索信息的圖像，導致用戶無法登錄和使用設備，進而勒索贖金，但該類勒索病毒未對用戶數據進行加密，具備數據恢復的可能。

勒索病毒的攻擊流程

第一步：攻擊

勒索病毒的攻擊手法五花八門，系統(tǒng)漏洞、惡意郵件、U盤、釣魚網站、廣告彈窗、僵尸網絡等都可能成為勒索病毒傳播的載體。

勒索病毒的主要攻擊手段有弱口令攻擊、橫向滲透、釣魚郵件、利用系統(tǒng)漏洞或應用軟件漏洞攻擊、網站掛馬攻擊、破解軟件與激活工具、僵尸網絡和供應鏈攻擊等。

在這些攻擊手段中，利用系統(tǒng)漏洞是最為常見的，它的最大特點是被動性。病毒會自動掃描網絡中存在系統(tǒng)漏洞的主機，只要沒有安裝補丁，即使沒有點開郵件、沒有訪問惡意網站，也可能被攻擊。

第二步：擴散

在感染某一臺主機后，病毒往往不急著開始“工作”，而是盡可能利用各種手法來自我復制，進行不同文件、不同主機間的相互感染，最終將病毒擴散到整個局域網。等病毒爆發(fā)時，往往就是整個單位、整個企業(yè)的電腦全部被鎖。

第三步：竊取

完成了“熱身”，病毒開始“大顯身手”。一方面，它會通過格式篡改的方式，加密電腦中的文檔、圖片等文件；另一方面，它會將感染電腦上的機密文件上傳到黑客服務器上。

第四步：勒索

在成功加密、竊取文件之后，病毒會在桌面或醒目位置生成一個提醒用戶文件已被鎖定/竊

取，指引其交贖金的文件。對于一些知名企業(yè)，如果不及時交贖金，黑客會在暗網陸續(xù)公開竊得的機密文件，以實現施壓的目的。

勒索病毒的處置方法

物理隔離

物理隔離被感染的主機，最好是直接拔網線，云環(huán)境及時修改安全組策略，將被感染的機器隔離，確保被感染的機器不能和內網其他機器通信，防止內網感染，如果被勒索的機器和未被勒索的機器存在相同的登陸口令，及時修改未感染機器的登陸口令。

防止擴散

保障被感染主機，與內網其他主機進行隔離。及時關閉未感染機器遠程桌面、共享端口，盡快排查業(yè)務系統(tǒng)與備份系統(tǒng)是否受到影響，確定病毒影響范圍。

及時備份

對于未感染的機器進行備份，備份后及時物理隔離開備份數據，如硬盤或者U盤備份后需要及時拔掉。

排查業(yè)務系統(tǒng)

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業(yè)務系統(tǒng)是否受到影響，生產線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

不要破壞被勒索的服務器環(huán)境

對于十分重要、無備份且不能恢復的機器，應禁止殺毒、關機、重啟、修改后綴等操作，最好保持原封不動，在不了解的情況下，任何動作都可能導致數據永遠無法恢復。對于有備份，或者實在不能恢復的機器，最好重裝系統(tǒng)，或者將業(yè)務遷移到其他服務器上。

不要輕易聯系黑客

在不了解勒索病毒的情況下，不要直接聯系黑客，容易錢財兩空?？蛇x擇使用解密工具進行恢復，通常的解密工具是通過已公開的密鑰快來解密。使用解密工具之前，務必要備份加密的文件，防止解密不成功導致無法恢復數據。

無論是個人還是企業(yè)，一旦被勒索病毒感染后，都不建議支付贖金。支付贖金不但鼓勵了勒索攻擊行為，還可能會留下“后遺癥”。因此，我們可以嘗試通過備份、數據恢復、數據修復等手段挽回部分損失。總之，勒索病毒重在防范，日常進行合理的數據備份，避免數據受損。

相關閱讀

勒索病毒是怎么傳播的？該如何進行預防？

警惕！盜版、破解軟件成為勒索病毒肆意的重災區(qū)

免責聲明：素材源于網絡，如有侵權，請聯系刪稿。

cc

收藏 海報分享