随着勒索软件攻击的快速传播，导致其攻击触角已从一般用户个体，逐步拓展至企事业单位和政府机构，而其造成的恶劣影响更是逐年升级。对于政企机构来说，不仅面临着失去对数据文件的掌控能力，而且还有声誉遭受损失之虞，这就让勒索攻击者往往通过恐吓手段便能迫使受害者支付赎金。

助长勒索攻击愈发猖獗的原因，不外乎其攻击过程的隐蔽性，受害者们往往不知道自己的电脑已经中毒，当他们看到勒索信息弹出在电脑屏幕后，已然为时已晚了。那么，在受害者看到勒索信息之前，勒索软件实际都展开了哪些攻击呢

勒索攻击五步走

实际上，自从受害者点击了钓鱼邮件中的一个恶意链接，或者了含有恶意附件的文件之后，勒索软件就已经进入了操作系统的大门了。

勒索软件攻击从恶意链接或恶意附件开始（图片来自网络）

第一步，勒索软件会先将自己复制到电脑用户的资料夹内，通常是以可执行文件的格式。在Windows环境，恶意软件往往将文件写入到或“TEMP”的资料夹里，因为写入这些资料夹无须管理员权限。接着，勒索软件便开始悄悄地在后台展开后续攻击了。

第二步，连网至特定网站收发信息。一旦勒索软件进入操作系统，它会尝试连接互联网并且联通特定服务器。在这个阶段，勒索软件会与命令和控制（CampC）服务器发送和接收设定文件。

第三步，搜索特定类型的文件进行加密。

接下来，勒索软件会进入受感染系统的资料夹，搜索特定类型的文件进行加密。当然，会被加密的文件类型也取决于勒索软件的种类分支，会删除镜像文件和备份的勒索软件家族也会在加密过程前完成。

第四步，产生加密密钥。

在开始加密文件前，勒索软件会先产生用来加密的密钥。根据勒索软件种类的不同，加密受感染系统文件的方式也会有所差别，可能会使用AES、RSA或合并使用等情况。而且加密文件所需要花费的时间也会根据文件数量、系统处理能力和加密方法而有所差异。

许多勒索软件会建立自动启动机制来继续加密操作，防止在加密过程由于系统关机而中止执行。

第五步，向用户发送勒索通知和付款指示。

对于绝大多数的勒索软件来说，出现勒索通知即代表文件的加密过程已经成功。有些勒索通知是在加密过程完成后马上出现，而有些会更改启动磁区的勒索软件则会在系统重新启动后出现通知。不过，也有些勒索软件则不会显示勒索通知，至少不会自动显示。还有些则会在受感染的资料夹内生成勒索通知或显示HTML页面来告知勒索要求和付款指示。更有一些锁屏幕勒索软件则会用勒索通知锁定屏幕，让用户无法操作电脑。

感染勒索软件后的可疑征兆

既然勒索攻击防不胜防，那么感染勒索软件后一般有哪些可疑的征兆呢

感染勒索软件后的可疑征兆

应该说，勒索软件的攻击行为依据其病毒家族或变种而各有不同，不过，当然还是有些蛛丝马迹可以让用户或IT管理员察觉到勒索软件的感染情况。例如，

首先，在勒索软件的加密过程中，由于其在后台不断执行操作，受害者可能会发觉操作系统无故变慢。

其次，即便没有执行任何程序，硬盘指示灯还是会狂闪，这表示电脑硬盘正在被执行读写操作中，而这很可能是中招勒索软件后，搜索和加密文件程序开始的一个标志。

转载自：

江苏国骏提供网络安全方案：网络防病毒系统、防火墙UTMVPV入侵防御系统防病毒网关、网站安全防护、内网安全管理系统、流量整形、负载均衡、数据容灾备份等