蓝盟-系统集成-蓝盟官网

勒索病毒其实不是病毒！

发布者：上海IT外包来源：www.linemore.com

自2017年5月12日勒索病毒突然大爆发以来至今，影响已经遍及全球，中国校园网和多家能源企业、政府机构也中招，至今余波仍未消除，2013年勒索病毒就出现了，为何至今仍频频发作？
蓝盟IT外包观点，勒索病毒其实不是病毒，而是一套严谨的以黑客攻击行为为基础勒索赎金为目的的闭环产业！
传统电脑病毒为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基于这个原因，许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。主要特征就是传播性，隐蔽性，感染性，潜伏性，可激发性，表现性，防病毒软件的特征码识别机制主要是针对以上特性进行识别，因为只要是电脑病毒感染了宿主之后，就一定会坚定执行编写好的脚本，展现出以上的特性。

传统的电脑病毒很像导致拿破仑失败的罪魁祸首格鲁希一样，一方面与中央失联，另一方面又无法根据战场的现实情况灵活变通，只是傻傻的执行制定好的计划，破坏力非常有限。而危害更大的勒索病毒，往往是通过黑客攻击者远程下发指令的方式进行遥控操作，也就避免了传统电脑病毒经常会犯的“格鲁希”问题，当只有少部分电脑中毒的时候，加密的攻击是不会被发起的，攻击者会观察中毒电脑的数量，当电脑数量达到计划数字的时候，才会发起攻击，同时会很巧妙的将攻击时间指定为半夜2点-3点之间，这个时候如果有电脑在开机，马上就会被攻击成功，因为是在半夜也不会被人发现，进行断网隔离的操作，避免感染扩大，到了早上上班时间，更多的电脑会开机，但是从使用习惯角度来说，很多人到公司后第一时间会开启电脑，但是往往不会第一时间操作电脑，这又给了病毒继续感染的时间和空间，当大量人员发现电脑文件被加密的时候再进行电脑断网隔离处理，已经为时已晚了。

接下来你就会收到以比特币支付赎金的勒索信息，在勒索页面附有教程，直接可以通过网银从分销商那里购买比特币，并且它支持十几种语言，根据每个国家的国情不一样，做非常完整的提示。很贴心的支持多国语言，以及比特币购买流程，个别勒索者还设置了一个更贴心的服务，那就是对半年没付款的搞抽奖活动，抽中就可以免费给你解除，但没有抽中就是运气不好了。这俨然就是一种商品的售卖和营销模式，一整套勒索的“商业闭环”。
勒索病毒严格来说，应该叫做勒索软件，又被人归类为“阻断访问式攻击”（denial-of-access attack），其与传统病毒最大的不同在于手法以及中毒方式。勒索软件通常透过木马程序的形式传播，将自身为掩盖为看似无害的文件，通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载，同时也会针对操作系统已存在的漏洞进行直接的攻击，比如说永恒之蓝漏洞，弱口令直接爆破等方式获取最高权限。

勒索病毒是一套围绕加密进行的攻击模式，现在无论是从攻击还是加密等过程使用的软件还是脚本都在向合法软件及常规操作脚本靠拢，免杀技术越来越成熟，安全软件绕过已经逐渐变成了勒索病毒的常规特性，传统防病毒软件特征库匹配的模式已经越来越难以应对勒索病毒的不断升级更新了，防范勒索病毒就是防范网络攻击，勒索病毒的兴起，显著提高了企业信息安全基础防范的门槛！

微软云

IT采购

弱电工程

系统集成

客户故事

勒索病毒其实不是病毒！

400-635-8089