2025网络安全圈“顶流”预定：三大勒索软件，不火都难！从零基础到精通，收藏这篇就够了！_vmware漏洞被恶意利用以绕过安全控制并部署勒索软件

最新推荐文章于 2025-04-27 10:39:17 发布

程序员一粟

最新推荐文章于 2025-04-27 10:39:17 发布

阅读量882

点赞数 18

文章标签： web安全安全网络服务器网络安全 java 数据库

本文链接：https://blog.csdn.net/jennycisp/article/details/146939733

版权

都说“旧的不去，新的不来”，咱这数字世界也是一样，每天都上演着“长江后浪推前浪”的大戏，各种新技术、新应用层出不穷，简直就是一片欣欣向荣的景象！

但是，各位看官，别光顾着高兴，这数字世界的“阴暗面”——勒索软件，也在偷偷摸摸地搞事情，进化速度那叫一个“嗖嗖”的！

虽然像BlackCat、LockBit这些“老牌”勒索软件集团，时不时就被“正义的铁拳”锤一下，但这“勒索软件即服务(RaaS)”的模式，就像那打不死的小强，生命力顽强得让人害怕！ 你方唱罢我登场，新的组织一茬接一茬地冒出来，新的技术也是“你追我赶”，层出不穷。

而且，这勒索软件也不再“一条道走到黑”了，它们的技术越来越复杂，攻击目标和策略也来了个“乾坤大挪移”。从一开始的“加密就完事儿”，到现在的数据泄露“买一送一”；从“小打小闹”攻击小型企业，到“大张旗鼓”入侵跨国公司和政府机构，这勒索软件的进化史，简直就是一部惊险刺激的“碟中谍”！

#01

LockBit：王者归来？

别掉以轻心！

LockBit，这名字在勒索软件界，那可是响当当的！它以加密效率高、能躲过各种安全措施而“声名鹊起”。

虽然在2024年2月被“重点关照”了一下，但人家恢复得也快啊！再加上现在“勒索软件即服务(RaaS)”模式这么成熟，很多跟LockBit没啥关系的“黑客兄弟”，也能用LockBit 3.0来“搞钱”，简直是“野火烧不尽，春风吹又生”！

LockBit 3.0入侵的时候，会留下明显的“到此一游”的痕迹：它会把文件图标换成LockBit的logo，然后弹出一个勒索信，告诉你：“嘿，你的文件被我锁了，想解锁？交钱！”

图源：The Hacker News

LockBit 3.0的“拿手绝活”就是加密和双重勒索， 它的入侵技术和攻击手段，自动化程度高，还很隐蔽。具体来说，它会：

1、想方设法“溜”进你的系统， 比如从文件和浏览器里偷密码，或者利用远程桌面协议(RDP)的弱口令或漏洞来“开后门”。

2、想方设法“上位”， 绕过安全控制，结束杀软进程，把自己的权限提升到管理员级别。

3、在加密文件之前，先“踩点”，收集系统信息，然后用一些“正规工具”（比如rclone）把敏感数据上传到远程服务器，最后再加密数据，让你没法正常工作。

#02

Lynx：中小企业的噩梦

专挑“软柿子”捏！

去年年中，一个叫Lynx的“后起之秀”勒索软件组织，突然冒了出来，靠着激进的攻击手段，迅速“走红”。跟那些盯着大型企业“薅羊毛”的勒索软件团伙不一样，Lynx更喜欢欺负中小企业， 专门找北美和欧洲那些安全措施不到位的中小企业下手。

Lynx的勒索策略也很简单粗暴，就是双重勒索。一旦你的系统被感染，桌面壁纸立马变成勒索信，告诉你：“嘿，我们不仅要加密你的数据，如果你不给钱，我们还要把你的数据公开到网上，让你身败名裂！”

图源：The Hacker News

Lynx勒索软件之所以喜欢攻击中小企业，就是因为这些企业通常安全防护比较薄弱，所以这种“简单粗暴”的攻击方式，反而很有效：

1、Lynx的传播渠道很多， 比如钓鱼邮件、恶意下载、黑客论坛资源共享等等，可以轻松绕过安全防护，直接“贴脸”输出。

2、Lynx用的是先进的加密算法（比如AES-128和Curve25519 Donna）来加密文件，还会把文件名改掉，伪装成其他勒索软件病毒，让你傻傻分不清。

3、Lynx入侵的时候，还会扫描注册表， 收集系统信息和安全软件信息，甚至还会读取CPU信息，评估目标环境。很多企业收到勒索信的时候，才发现自己已经被“安排”了。

#03

Virlock：病毒式传播

自我复制，批量感染！

Virlock，这名字听起来就有点“病毒”的感觉。它最早出现在2014年，虽然不是什么新病毒，但在ALPHV和LockBit被“重点照顾”之后，Virlock又借助勒索软件即服务(RaaS)的“东风”，再次“火”了起来，成了RansomHub、Akira等黑客团伙的“新宠”。

最近，安全人员发现，Virlock通过云存储和协作应用来感染和加密文件，然后再把这些文件同步到公共云环境里。 只要用户不小心打开了被感染的文件，Virlock就会像病毒一样，自动复制到新的用户环境里，简直就是“一传十，十传百”！

Virlock最大的特点就是它的自我复制能力， 集感染、勒索、锁屏功能于一身。这种“多功能”的特性，让它传播速度极快，尤其是在云存储和云上协作平台里。它的入侵手段主要有以下几个特点：

1、难以彻底清除和阻止： 感染后，它会识别出自己独有的“互斥锁”，确保一次只运行一个实例，避免“内讧”。就算其中一个进程被杀软干掉了，其他进程也会自动重启它，让你防不胜防。

2、**自启动与持久化：**Virlock会修改Windows注册表，隐藏文件扩展名，骗你点击被感染的文件。同时，它还会把自己添加到系统启动项或者注册为系统服务，确保每次开机都能自动运行。

不管勒索软件怎么变，它们的“核心竞争力”始终是复杂且激进的网络勒索策略。从LockBit、Lynx到Virlock，这三种勒索软件在攻击流程上，都有一些“共同点”：

加密文件，锁定关键业务数据

这三种勒索软件都会加密你的关键文件和数据，让你没法正常访问业务系统，然后威胁你泄露数据，搞双重甚至三重勒索。

利用漏洞和工具，扩大感染

它们会利用系统漏洞（比如SMB协议漏洞）或者工具（比如PsExec）来进行横向移动和传播，扩大攻击范围，提高攻击效率，增加防御难度。

伪装、篡改和潜伏

它们会把恶意文件伪装成正常的文件，修改注册表，提升攻击的持久性。在加密文件之前，还会扫描系统，收集信息，以便更好地进行攻击。

当然，这三种勒索软件只是“冰山一角”，还有Medusa、BlackBasta等其他团伙在“蠢蠢欲动”。 勒索软件即服务(RaaS)平台的出现，更是让网络犯罪“平民化”，让技术水平不高的“菜鸟”也能发动复杂的攻击。

戴尔数据避风港：你的数据安全“诺亚方舟”

打造现代化的数据防线！

面对这种严峻的形势，企业必须构建现代化的网络安全防线，才能应对日益复杂且不断演变的网络威胁。 这不仅要建立可靠的备份与恢复机制，还要完善监测与响应体系，加强安全意识培训，尤其是在凭据管理、权限控制等关键领域。

作为业界领先的端到端IT解决方案供应商，戴尔科技的PowerProtect Cyber Recovery数据避风港，就是为了应对这些挑战而生的。它以强大的不可变性、隔离和智能化，全方位保护企业数据安全，简直就是数据安全的“诺亚方舟”！

#01

可靠的备份与恢复机制

防止业务“掉链子”！

数据备份是现代业务的基石，保护数据备份至关重要。戴尔数据避风港方案以强大的备份和恢复机制，实现网络弹性，确保本地和多云环境中的业务连续性。

在本地，数据避风港以自动化数据隔离的方式进行保护， 具有多层物理和逻辑安全保护。所有数据都存储在安全隔离的Cyber Recovery数据避风港存储区中，同时借助PowerProtect Data Domain，用户可以实现满足合规要求的硬件级不可变性，并获得NTP防篡改保护。

点击图片了解产品信息

咨询客服还可了解更多优惠活动

在云端，戴尔科技与AWS、Azure、Google Cloud等众多领先云服务提供商建立了紧密的合作关系。 戴尔数据避风港方案提供快速且易于部署的公有云存储区域，能够有效保护和隔离关键数据与系统，使其免受网络攻击的威胁。此外，该方案还支持在遭受攻击后快速恢复数据，并提供多种恢复选项，加速数据恢复流程，确保企业业务的连续性。

#02

强大的数据加密与隔离

避免勒索软件“搞事情”！

现代勒索软件迭代速度快，传染性强，一旦入侵，就能在短时间内迅速扩散至整个用户环境。因此，构建一套坚固且不可篡改的数据保险箱，迫在眉睫！

Cyber Recovery数据避风港存储区就是这样一套安全解决方案。企业的备份数据通过内部网络和专用接口，安全地与Cyber Recovery Vault存储设备建立复制链接。该区域对勒索软件“隐身”，大大降低了备份数据被感染的风险。