2026-07-15 114 次
勒索病毒本质:黑客先拿到你电脑执行权限,在后台运行加密程序,采用非对称加密算法把你的文档、源码、图片、数据库文件加密;删除原有备份,只有黑客手里的私钥才能解密,以此胁迫你支付赎金。全程分为:入侵进驻‑持久驻留‑清除备份‑遍历加密‑投放勒索通知5个阶段。用到的加密方式主要是非对称RSA+对称AES组合。
黑客必须拿到程序运行权限,病毒才可以执行,常见获取方式:
文件诱骗(最普遍)客户发送压缩包、破解软件、补丁、激活工具、伪装成文档的exe文件;压缩包里嵌套js、hta、bat程序;你双击运行之后病毒就执行。很多源码压缩包里面夹带后门程序。
系统漏洞攻击Windows老旧漏洞(永恒之蓝EternalBlue)、老旧软件漏洞(旧版7‑Zip、旧版办公软件、PHP、旧版建站环境),黑客利用漏洞远程投递病毒,你不用点击任何文件电脑就中招。服务器被入侵绝大多数是该方式。
暴力破解远程端口3389远程桌面、22端口、数据库Mysql弱密码;黑客用扫描器全网扫描弱口令,登录进你的电脑上传病毒文件。建站主机中招大多是这个问题。
钓鱼邮件、U盘、内网横向扩散一台电脑中毒之后,病毒扫描局域网内其他电脑,尝试弱密码登录服务器,把病毒扩散到内网全部电脑。
病毒运行之后不会坐等加密文件,首先完成自启配置,防止重启后病毒失效:
在 %TEMP%、Appdata、Roaming目录释放随机命名的exe文件;
修改注册表Run启动项、添加Windows计划任务;
滥用PowerShell、WMI服务,后台静默运行,任务管理器进程名字伪装成系统进程;
关闭Windows Defender、禁用系统防火墙,阻止杀毒软件杀掉病毒程序。
勒索病毒设计者很清楚,只要有备份用户就不会付钱,所以加密文件前优先清除全部备份:
删除Windows系统还原点、卷影副本;执行命令:vssadmin delete shadows;
删除网盘同步文件、本地备份文件夹、旧版源码备份;
破坏文件历史记录;清除服务器快照;
破坏数据库备份文件。做完这一步就算重装系统文件照样打不开。
AES‑256(对称加密):用来加密你的Word、源码、PDF、图片。AES加密速度很快,适合大批量文件加密;每一份文件单独生成一个AES密钥。
RSA‑2048/4096(非对称加密):用来加密AES密钥。
黑客手里持有RSA私钥(唯一解密钥匙);
电脑里存放的是黑客的RSA公钥;
AES密钥被RSA公钥加密后嵌入加密文件内部。
病毒遍历电脑全部磁盘、U盘、移动硬盘,跳过系统必要文件,只加密用户文档、源码、数据库;
针对每一个文件随机生成一个AES密钥,使用AES把文件加密;
用黑客预先内置在病毒程序中的RSA公钥,加密这个AES密钥;
将加密后的AES密钥写入文件末尾,修改文件后缀(.lockbit .phobos等),删除原文件;
AES密钥经过RSA加密之后,仅凭你的电脑无法破解;RSA‑4096暴力破解在现有计算机条件下几乎不可能实现。
通俗理解:AES是开文件的钥匙,RSA把钥匙锁进保险柜,保险柜钥匙只有黑客拥有。
高级勒索病毒(LockBit、Conti)在加密之前会先把你的客户资料、网站源码、合同文件打包发送给黑客服务器;
黑客双重施压:不给赎金不仅文件打不开,还会把你的资料公开泄露到暗网;
加密完成之后在各个文件夹放置 read‑me.txt勒索文档,给出Tor暗网地址和比特币钱包地址索要赎金。
病毒执行内网扫描,扫描192.168段内设备;
抓取本机保存的账号密码(浏览器保存密码、数据库密码、远程桌面密码);
使用拿到的密码登录局域网内服务器、NAS存储设备,把病毒传到服务器,全盘加密源码和网站数据。
普通木马:盗取账号、偷偷挖矿,不会改动你的文件;
勒索病毒:不破坏系统,专门针对你的工作文件进行加密,系统照常开机,软件可以打开,但你的工作文件全部作废。
一旦被RSA‑4096加密:没有私钥,依靠破解软件几乎不可能恢复文件;
付费解密风险极高:黑客可以选择不给私钥;
唯一靠谱方案:脱机异地备份,备份硬盘平时断开电脑,病毒访问不到备份盘。
黑客通过漏洞或者弱密码进入你的电脑;
病毒设置开机自启,干掉系统备份;
AES加密你的文件,RSA保护解密密钥;
文件加密完毕之后索要赎金,拿到私钥才可以解密文件。