勒索病毒简介及处理

Cryptowall、locky、cerber等勒索病毒

的运行原理及预防杀毒普及贴

勒索病毒概述：

勒索病毒从2014年开始兴起，2015年开始逐步流行，到2016年已经开始波及全球了。黑客勒索的金额估计已经超过4亿。对企业公司造成了巨大损失。美国FBI悬赏300万缉拿比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫。

从2015年开始，国内陆续发现勒索病毒，到2015年底开始达到高峰，日中病毒数超千台。有很多企业局域网内电脑集体中毒，造成巨大损失。

由于被加密文件都是用的比较高级的加密算法，所以受害者除了付款买回，没有别的办法解密文件。

勒索病毒传播

黑客通过邮件、漏洞或者挂马网站，传播病毒。一但用户点击中毒，病毒便加密客户的文档，然后上传私钥，留下勒索信息，限期付款赎回，否则中毒者的文档将永远无法找回。

勒索病毒图解

1、关于病毒传播方式：

由于现在技术的发展，黑客也开始讲求分工合作。制作病毒跟传播病毒都开始由专门的人士负责，CERBER就是典型，根据最新的病毒样本分析，CERBER附带的一个.json格式的配置文件。通过研究这个文件，我们发现这种特别的勒索软件是可以定制的，黑客自己可以改变赎金的数额大小，定制特定的文件扩展列表，当然还有需要感染国家的黑名单。这表明CERBER本身就是为了卖给二手黑客贩子而设计，量身定制勒索需求服务的。

现在的病毒传播一般黑客都是外包给专门的病毒传播机构，一般通过邮件钓鱼、网站挂马和电脑漏洞传播。

2、关于加密算法：

现在的勒索病毒加密方式一般用的RSA算法和AES算法。

AES算法（英语：Advanced Encryption Standard简写），在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院（NIST）于2001年11月26日发布于FIPS PUB197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。

RSA算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA 是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。

理论上，这2种算法只要超过15位数就基本无法破解，而黑客一般用的是128位，用现在的电脑技术破解的话需要几十万年。这也是黑客之所以嚣张的底气。

3、关于文件解密

既然知道了，我们自行解密基本是无望的，所以说，如果我们需要解密文件的话只能付款，别无他法。

当然黑客，需要你支付的也不是一般的美元或人民币，而是比特币，不同的的勒索病毒勒索的比特币数量不等。因为比特币无法被追踪的特殊性，也就造成了黑客抓捕的困难。

我们不建议大家去付款，因为这样只会助长黑客继续犯罪。

杀毒

1、为什么很多杀毒软件不起作用？

很多中毒的网友反映，明明我开着杀毒软件，为什么中毒的时候一点反映也没有？

首先，因为勒索病毒是近几年才兴起的，很多杀毒软件都没有收录他的样本其次，勒索病毒的变种很多，也许你中的是杀毒软件正好还没防御的类型。

2、哪些杀毒软件效果好

因为勒索病毒大多数是从国外传来的，所以要说杀毒效果的话肯定是国外的杀毒软件，比如说卡巴斯基、SpyHunter等，因为他们采集的样本早，所以能具有更好的杀毒效果。不知道地址的可以搜索新浪博客--勒索病毒狙击者，去里面下。

国内的话现在360安全卫士、腾讯管家都开始针对这种勒索病毒开启了文档保护功能，不过从网友反映来看，360做的更好一些

如何预防

1、不要打开表面上看来是来自政府机关的可疑电邮或垃圾电邮。我们已经观察到恶意软件比较喜欢通过电邮来传播，这些电邮都带有Word或JavaScript 附件，请小心处理标题为“标题：J-98223100发票”的类似电邮。

2、定期备份你的系统文件。你可以使用外部驱动器、在线备份解决方案、云端储存等类似解决方案，将你价值不菲的数据安全保存。请注意，大部分在线

储存解决方案(Dropbox,Google Drive或Microsoft OneDrive)的数据也可能被勒索软件侵入，因为它们是通过网络连接到你的计算机。

3、安装杀毒软件。这是有需要的，因为你可能会忽略受感染的文件，特别是木马程序，这是一个会特别伪装自己的程序。杀毒软件是你的最后一道防线。

4、更新你的系统软件，打好补丁。这个更新是至关重要的。

5、禁用宏指令设置。Locky勒索软件的其中一个特点是如果系统启用了宏指令设置，它就会自我激活。