勒索软件是一种通过加密数据或锁定设备向受害者勒索赎金的恶意软件,攻击目标涵盖个人、企业及政府机构。其攻击方式包括网络钓鱼、漏洞利用、恶意广告及远程桌面入侵等多种途径。现代勒索软件的运作模式已发展为勒索软件即服务(RaaS)的商业化形态,攻击流程涵盖初始访问、横向移动、数据窃取、文件加密及勒索通知等阶段,形成完整的犯罪产业链。

勒索软件是什么

1.基本定义与核心特征

勒索软件(Ransomware)是一种恶意软件,攻击者利用它加密受害者的数据或锁定其设备,以此要挟受害者支付赎金来换取解密密钥或恢复访问权限。这种攻击方式被归类为“阻断访问式攻击”,其核心特征是攻击者通过技术手段使受害者无法正常使用自己的数据或系统,从而制造勒索筹码。

勒索软件的攻击目标涵盖个人用户、企业、医院、机场和政府机构等各类实体。攻击者通常要求以加密货币(如比特币)支付赎金,因其具备难以追踪的特性。需要注意的是,支付赎金并不能保证受害者能够恢复数据——攻击者可能在收到赎金后消失,或提供的解密密钥无法正常工作。

2.主要类型

根据攻击方式与目标的不同,勒索软件可分为以下几种主要类型。

加密型勒索软件是最为常见的一类,通过特定的加密算法(如AES、RSA等)对设备中存储的文件进行加密处理,导致用户无法正常打开和编辑文件。攻击者持有解密密钥,以此要挟赎金。2017年的WannaCry攻击即属此类,其在四天内感染了超过30万台计算机。

锁定型勒索软件则通过阻止受害者访问操作系统来锁定整个设备,受影响设备无法正常启动,屏幕显示赎金要求。移动设备上的勒索软件多属此类,因为自动化云备份功能可反向加密攻击。

数据窃取类勒索软件(又称Doxware或Leakware)是2020年后兴起的新型勒索软件,在加密文件之前先窃取敏感数据,并威胁若不支付赎金将公开这些数据。这种“双重勒索”策略进一步增加了受害者的压力,因为即使有备份恢复文件,数据泄露仍可能带来法律风险与声誉损失。

假冒安全软件通过恐吓用户使其支付赎金,可能冒充执法部门指控受害者犯罪并要求缴纳罚款,或伪装成病毒感染警报怂恿用户购买虚假的防病毒软件。

3.发展演进简史

勒索软件的历史可追溯至1989年,哈佛大学毕业的Joseph Popp创建了“AIDS”勒索软件,通过分发给国际卫生组织与会者的软盘传播,加密文件后要求支付189美元赎金。这是历史上第一个勒索软件,采用了对称加密方式。

2006年,首款利用非对称加密(RSA)算法加密的勒索软件Archiveus Trojan出现,自此大量勒索软件开始采用非对称加密,一旦文件被加密,在现有算力下基本无法暴力破解。2011年起,加密货币的兴起为勒索软件提供了理想的支付工具,推动其进入快速增长期。

2017年是勒索软件普及程度明显增长的关键年份,WannaCry、NotPetya等全球性攻击事件引发广泛关注。此后,勒索软件持续进化,攻击策略从广撒网式向定向高价值目标转变,勒索方式从单一加密发展为双重勒索、三重勒索,商业模式也演化出勒索软件即服务(RaaS)。

勒索软件如何攻击系统

勒索软件的攻击途径多样化,攻击者综合利用技术漏洞与人性弱点来渗透目标系统。以下是主要的感染方式。

1.网络钓鱼攻击

网络钓鱼是最常见的勒索软件传播方式之一。攻击者发送伪装成正常通信的电子邮件,附件中携带恶意代码,或包含指向恶意网站的链接。附件格式多为word文档、excel表格、PDF文件或javaScript脚本文件,利用用户对信任发件人的惯性心理,诱使其打开附件。

2025年9月,一起针对乌克兰政府机构的定向钓鱼活动展示了更复杂的手法:攻击者使用可缩放矢量图形(SVG)文件作为初始载体,用户打开后浏览器自动重定向至恶意下载页面,进而触发多阶段载荷投递链。这种利用SVG格式规避邮件安全检测的策略,体现了攻击技术的持续演进。

2.漏洞利用攻击包

漏洞利用攻击包是由各种恶意工具和编写好的漏洞利用代码组成的工具包,旨在利用应用程序和操作系统中未修补的安全漏洞传播恶意软件。运行过时软件的不安全系统是最常见的目标。

攻击者通过遭入侵的网站扫描访问者的浏览器,查找可用于插入勒索软件的Web应用程序漏洞。漏洞利用包因其自动化特性受到网络犯罪组织青睐,且可在不写入磁盘的情况下直接注入内存,传统杀毒软件难以检测。

3.恶意广告

恶意广告是指攻击者入侵合法的数字广告网络,在正常广告位中植入包含恶意代码的广告。用户即使不点击广告,仅浏览包含该广告的页面,也可能触发恶意代码下载并安装勒索软件。这种“路过式下载”方式让用户在毫不知情的情况下感染。

4.远程桌面协议入侵

远程桌面协议(RDP)允许用户远程访问计算机,但也为攻击者提供了可乘之机。攻击者使用端口扫描器搜索互联网上暴露的RDP端口,通过暴力破解或窃取的凭证获得访问权限。一旦进入系统,他们可随意部署勒索软件、留下后门。弱口令攻击是最常见的入侵方式之一,远程桌面弱口令和数据库弱口令等占比超过60%。

5.供应链攻击

攻击者通过入侵可信的第三方供应商,进而攻击与该供应商有业务往来的多个机构。2021年,REvil黑客组织入侵一家软件公司,将恶意代码植入其IT管理软件的分发更新中,自动推送给了数千家机构。

6.受感染的移动介质

USB和其他可移动媒体为攻击者提供了一种在未直接连接网络的电脑之间传播勒索软件的途径。攻击者将勒索软件存入受感染的U盘,当用户将其插入电脑并打开文件时,勒索软件即被安装,进而通过网络复制传播。

勒索软件的运作模式是什么

勒索软件的运作模式已从单一的技术攻击演变为完整的犯罪产业链,其商业模式和攻击流程日益专业化、系统化。

1.勒索软件即服务模式

勒索软件即服务(Ransomware as a Service, RaaS)是近年来最具影响力的商业模式创新。RaaS的运作机制使勒索攻击变得更加普遍和高效:技术开发人员负责编写和维护勒索软件,运营人员将这些工具整合包装后在暗网等渠道推广,招募附属成员并达成收益分成协议。

附属成员无需具备高级技术能力,即可使用专业团队开发的攻击工具执行攻击。这种模式降低了网络犯罪的技术门槛,使得勒索软件攻击事件大量增加。赎金支付后,RaaS运营方抽取一定比例分成(如20%),剩余归附属成员所有。

2025年3月出现的VanHelsing勒索软件即是一个典型案例,其面向Windows、Linux、ARM和ESXi系统发起攻击,附属成员可保留80%的赎金,新手需支付5000美元押金加入。

2.典型攻击流程

现代勒索软件攻击通常经历以下阶段。

第一阶段:初始访问。攻击者通过网络钓鱼、漏洞利用、弱口令破解等方式获得目标系统的初始立足点。在此阶段,攻击者可能部署远程访问工具(RAT)以维持访问权限。

第二阶段:权限提升与横向移动。攻击者侦察当前可访问的本地系统和域,寻找机会获得更高权限的账户,并向网络内的其他系统扩散。UNC3944组织的攻击显示,攻击者会遍历SharePoint、Confluence等协作平台,搜索IT运维文档和特权账户清单。

第三阶段:数据窃取。在加密文件之前,攻击者识别并导出有价值的数据(登录凭证、客户个人信息、知识产权等),为双重勒索做准备。这一阶段可能持续数天至数周,而传统安全设备往往难以感知。

第四阶段:文件加密。加密型勒索软件开始识别并加密目标文件,通常会禁用系统恢复功能,删除或加密备份文件,以增加支付赎金的压力。部分勒索软件采用ChaCha20、AES等算法进行文件加密。

第五阶段:勒索通知。加密完成后,勒索软件向受害者发出感染警报,通常通过桌面文本文件或弹窗通知,包含支付赎金的说明,一般要求以加密货币支付。攻击者威胁若不按时付款,将永久删除或公开窃取的数据。

勒索软件作为当前具有经济破坏力的恶意软件威胁,其攻击手段持续演进,从单一文件加密发展为双重勒索、三重勒索等复合策略,勒索软件即服务模式大幅降低了网络犯罪的技术门槛。2025年VanHelsing等新型变种的出现表明,攻击者正向Windows、Linux等多系统平台扩散。对于个人用户而言,定期备份文件、谨慎处理邮件附件、保持系统更新是基础防护措施;企业机构则需建立覆盖身份治理、基础设施隔离与行为检测的纵深防御体系。支付赎金无法保证数据恢复,反而可能助长攻击势头。

关键词标签:勒索软件,勒索软件是什么,勒索软件如何攻击系统