常见的勒索病毒特征

常见的勒索病毒特征

勒索病毒（Ransomware）是一类通过加密或锁定用户文件、系统，并勒索赎金以恢复访问的恶意软件。其常见特征包括以下方面：

1. 文件加密行为

文件后缀被篡改：加密后文件通常会被添加特定后缀（如 .locky, .crypt, .cerber 等），例如 WannaCry 会将文件后缀改为 .wncry。

无法正常访问文件：文档、图片、数据库等常用文件被加密后无法打开，提示文件损坏或格式错误。

删除备份文件：可能清除系统备份（如 Shadow Volume Copies），阻止用户通过备份恢复。

2. 勒索提示信息

弹窗或文本警告：桌面弹出勒索通知（如 LockBit 的黑色弹窗），或生成 README.txt、HOW_TO_DECRYPT.html 等文件。

勒索金额与时限：要求支付比特币（BTC）、门罗币（XMR）等加密货币，并威胁逾期删除密钥或提高赎金。

双重勒索（Double Extortion）：近年常见手法，攻击者不仅加密数据，还会窃取并威胁公开数据（如 Conti、REvil 等）。

3. 传播方式

钓鱼邮件附件：伪装成发票、订单的恶意附件（如 .docm, .js, .zip）。

漏洞利用：利用系统或软件漏洞传播（如 WannaCry 利用 Windows SMB 漏洞“永恒之蓝”）。

恶意链接或下载：通过虚假网站、广告（Malvertising）诱导下载恶意程序。

远程桌面（RDP）攻击：暴力破解弱密码，入侵后手动部署勒索病毒（如 Dharma 家族）。

供应链攻击：感染合法软件更新渠道（如 2023 年 MOVEit Transfer 漏洞事件）。

4. 技术特征

强加密算法：使用 AES-256、RSA-2048 等加密算法，部分结合两者（先 AES 加密文件，再用 RSA 加密密钥）。

对抗分析：混淆代码、反调试、关闭安全软件（如终止杀毒软件进程）。

横向移动：在局域网内扫描并感染其他设备（如利用 PsExec 或 Mimikatz 窃取凭证）。

无文件攻击（Fileless）：通过内存驻留或合法工具（如 PowerShell）执行加密，减少磁盘痕迹。

5. 典型家族示例

WannaCry：利用 EternalBlue 漏洞，全球性爆发，加密后缀 .wncry。

LockBit：以快速加密著称，支持勒索即服务（RaaS），近年活跃。

Ryuk：针对企业的高针对性攻击，赎金通常超百万美元。

Phobos：通过 RDP 入侵，常见于中小型机构。

6. 防御建议

定期备份：离线备份关键数据，避免被加密或删除。

更新补丁：及时修复系统及软件漏洞。

安全意识培训：警惕钓鱼邮件，禁用宏脚本，避免点击不明链接。

启用安全防护：部署杀毒软件、防火墙，限制 RDP 暴露。

最小权限原则：限制用户和服务的权限，防止横向扩散。

勒索病毒不断进化，防御需结合技术与管理措施，降低被攻击风险

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

扫码领取