勒索软件需知

勒索软件的历史

1989年:Joseph Popp 撰写了第一个已知的勒索软件--1989年的艾滋病特洛伊木马(也被称为“PC Cyborg”)
2005年:五月份出现敲诈勒索软件
2006年:2006年中,Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive等蠕虫病毒开始使用更复杂的RSA加密方案,同时密钥大小不断增加。
2011年:出现一款模仿Windows产品激活通知的勒索软件蠕虫
2013年:出现一款基于Stamp.EK漏洞套件表面的勒索软件蠕虫和Mac OS X特定的勒索软件蠕虫。CryptoLocker在该年最后四个月中迅速敛财约500万美元
2015年:多个平台上的多种变体病毒造成重大损失

勒索软件类型

  • 加密勒索软件

它使个人文件和文件夹(文档、电子表格、图片和视频)被加密。

受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件。

当您尝试打开其中一个加密文件时,您才可能会发现问题。

某些(但非所有)类型的加密软件会显示“锁屏”:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • 锁屏勒索软件 - WinLocker

WinLocker会锁定电脑屏幕并要求付款。

它会呈现一个阻止所有其它视窗开启的全屏图像。

没有个人文件被加密。

Polyransom2

  • 主引导记录(MBR)勒索软件

主引导记录(MBR)是电脑硬盘驱动器的一部份,影响操作系统的启动功能。

主引导记录勒索软件会更改电脑的主引导记录,中断电脑的正常启动。

屏幕上反而会显示要求赎金的内容。

Master-Boot.jpg

  • 网络服务器加密勒索软件

它专门对网络服务器上的文件进行加密。

它通常使用内容管理系统中的已知漏洞在网络服务上部署勒索软件。

Ransomware encrypting web servers

  • 移动设备勒索软件(安卓)

移动设备(主要为安卓)可通过“路过式下载”受感染,

同时也可通过伪装成类似Adobe Flash或防病毒产品等受欢迎服务的假冒应用程序被感染。

Mobile Ransomware

我该支付赎金吗?

我们从不建议您支付赎金,因为这并不能保证就能解决问题,同时还可能存在许多意想不到的问题。例如,即使使用正确的密钥,恶意软件中也可能存在使加密数据无法恢复的漏洞。

此外,支付赎金将向网络罪犯证明勒索软件是有效的。网络犯罪分子将因此继续开展更多活动,以新的方式利用系统的漏洞,感染更多的用户,并谋取更多不义之财。

勒索软件如何攻击用户?

勒索软件攻击通常通过可执行文件、存档或图像等电邮附件来传递。打开附件后,恶意软件将被释放到用户的系统中。网络罪犯也可以在网站上种植恶意软件。当用户不知不觉浏览该网站时,恶意软件已被释放到系统中。

用户将不会立即发现设备被感染。恶意软件将在后台静默运行,直到部署系统或数据锁定机制被启动。届时会弹出一个对话框,告诉用户数据已被锁定,并要求赎金以解锁。这时候采取任何安全措施都将为时已晚。

有关更多信息,请参阅以下视频:

谁可能成为勒索软件的受害者?

任何消费者和任何企业都可能成为勒索软件的受害者。网络犯罪分子不选择下手的目标,希望尽可能吸引更多用户,从而获得最高的利润。

勒索软件对企业的攻击是否正在增加?

是的,网络犯罪分子知道企业组织更有可能付费,因为锁定的数据通常都是敏感信息,对业务连续性也至关重要。此外,恢复备份有时可能比支付赎金更昂贵。

为什么很难找到针对勒索软件的单一解决方案?

勒索软件正在兴起 - 现在已经有超过50种这类恶意软件类型在流通 - 且正在快速发展。每个新变体都拥有加强的新功能。这是您不能忽视的事实!

找到单一解决方案的难处之一在于加密软件本身并不是恶意软件。它实际上是一个很好的开发软件,且许多良性的程序都会使用它。

第一个加密恶意软件使用了对称密钥算法,加密和解密均使用相同的密钥。损坏的信息通常可在保安公司的协助下成功破解。渐渐的,网络犯罪分子开始使用非对称加密算法,他们使用两个单独的密钥,即加密文件的公开密钥,以及解密公开密钥所需的私有密钥。

CryptoLocker木马病毒是最著名的勒索软件之一。它也使用公开密钥。电脑被感染时会连接到指挥和控制服务器以下载公开密钥。私有密钥则只有编写CryptoLocker软件的犯罪分子才拥有。通常,受害人必须在72小时内支付赎金,否则私有密钥将永久删除,如果没有私有密钥,就不可能解密任何文件。

所以您必须防患于未然。大多数防毒软件已经包含一个组件,可以在感染的早期阶段识别勒索软件威胁,避免丢失任何敏感数据。用户必须确保在防毒解决方案中启用此功能。

帮助勒索软件受害者重新还原他们的文件的机率有多高?

“拒绝勒索软件”计划刚刚开始,但我们也不断与其他保安公司和执法机构合作,尽可能识别更多的密钥以对更多的勒索软件变体进行解锁。 如果您认为有任何对我们有帮助的信息,欢迎与我们分享。

什么是“解码刑警” (Crypto Sheriff)?如何使用它?

“解码刑警” (Crypto Sheriff)是一个工具,可协助我们确定影响您设备的勒索软件类型,并检查是否有可用的解密方案。请参阅以下的视频,了解它如何运作:

我确信我已使用正确的工具,但为什么解密工具还是起不了作用?

这是有可能的。有时我们只能获得一小部分密钥,所以请继续访问网站。

什么时候可以解密用勒索软件加密的文件?

以下情况皆有可能:

  • 恶意软件编写者犯了一个执行上的错误,因此被加密的文件得以破解。例如Petya 勒索软件和 CryptXXX 勒索软件。
  • 恶意软件编写者(如 TeslaCrypt 案例)感到内疚,因此发布了密钥或主密钥。
  • 执法机构搜获一台带有密钥的服务器并进行了分享,如 CoinVault


有时支付赎金也是有效的,但不能保证付款后能够确保您的文件会被解密。此外,您这么做是在支持犯罪活动,因而间接导致越来越多人受到勒索软件的感染。

为什么决定启动“拒绝勒索软件”计划?

对用户系统上的数据进行加密,然后要求赎金的勒索软件在过去几年已经成为众所周知的网络安全问题。其普遍程度已让它堪称流行病毒。受勒索软件攻击的用户数量正在飙升,2015年4月至2016年3月期间,共有718,000名用户受到攻击,比2014至2015年同期增长了4.5倍。

警方无法仅凭一已之力对抗网络罪案,特别是勒索软件。保安研究人员如果没有执法机构的支持和配合也无法取得成功。打击勒索软件需要各方(包括警方、司法部门、欧洲刑警组织和信息技术保安公司)共同合作。我们将竭尽所能地捣毁犯罪分子的阴谋,让合法所有人在无需付钱的情况下取回属于他们的文件。

我所在的国家有类似的措施吗?

“拒绝勒索软件”是突显公共机构及私人企业协作打击网络犯罪的重要性的一项国际倡议。这项合作超越了地理界限。计划的主要目的是分享知识和教育全球用户如何预防勒索软件攻击。我们相信这将让我们在修复全球受害者所遭受的损失方面获得支持。我们通过恢复用户的系统访问权,从而让用户知道他们无需支付赎金,也有能力和网络犯罪分子抗衡。

本网站在初始阶段包含四种不同类型的恶意软件解密工具。网站上所提供的所有工具都是免费的,它们可以为世界各地被网站上所提及的网络威胁感染的用户提供服务。