勒索软件的工作原理是通过非对称加密方法加密用户的文件。
勒索软件是一种恶意软件,也称为恶意软件,勒索软件通过攻击用户的计算机或设备来工作,并通过加密来阻止他们访问其文件。然后,攻击者要求金钱以换取解密文件。
勒索软件可以通过多种方式攻击和加密文件,这些方法具有不同程度的复杂性。
勒索软件如何获得访问权限
与所有恶意软件一样,勒索软件必须绕过设备的安全系统才能获得访问权限。这是通过利用数据安全系统中的漏洞或让用户将恶意软件放在设备上来完成的。
后一种方法是勒索软件最常见的方法,即通过特洛伊木马。与其同名一样,恶意软件将隐藏在看起来无害的文件,电子邮件或网站中。它会提示用户单击链接或下载附件。一旦用户下载文件,恶意软件就可以自由访问系统并造成严重破坏。
这些消息和网站通常会伪装成来自官方实体的合法电子邮件。这些可以是政府部门或受害者的工作实体。
勒索软件适用于各种设备,虽然勒索软件在计算机上最常用,但Android手机上的一种形式的勒索软件可以通过SMS消息获得访问权限,这将向用户发送带有恶意链接的垃圾邮件,直到他们单击一个链接,将恶意软件下载到他们的手机上。恶意软件将加密受害者的文件,要求赎金,然后使用受害者的联系人列表向他人发送垃圾邮件。
勒索软件还可以通过物理端口(例如USB或公共手机充电器)访问受害者的设备,这被称为果汁劫持。
勒索软件加密方法
勒索软件阻止访问文件的主要方式是加密文件本身。
最早的勒索软件实例在80年代末和90年代初首次引入,依赖于对称加密,即使用用于加密文件的相同密钥来解密它们。对称加密的一个简单示例是 Vigenere 密码。密码使用简单的关键字或密钥短语将文本加密为密文。只要任何一方具有关键字,他们就可以加密或解密文本。
通过这种方式,可以从加密数据中提取密钥并用于解密数据。在某些情况下,攻击者使用随机数生成密钥。该数字基于生成密钥的设备的内部时钟。因此,在粗略确定密钥的生成时间后,可以通过反复试验来破解弱对称加密。
同样,早期的勒索软件实例(如艾滋病特洛伊木马)只会加密文件的名称。他们会利用受害者缺乏技术知识来获取资金。
使用更新,更高级的勒索软件工作将使用非对称加密。这种类型的加密使用对称和非对称加密方法的组合,以使解密赎金文件变得更加困难。
在这种情况下,在创建恶意软件时,攻击者将生成公钥并将其嵌入勒索软件中。一旦勒索软件获得了对设备的访问权限,它将使用随机生成的对称密钥加密受害者的文件。然后,公钥对对称密钥进行加密。这些密钥通常使用高级加密标准 (AES)-256,之所以这样命名,是因为密钥长度为 256 位。密钥的位数越多,破解就越复杂。
攻击者可以使用公钥解密随机生成的密钥,从而解密文件,从而确保在受害者再次受到攻击时无法使用相同的密钥。这样,加密的文件就不能用于提取密钥,因为密钥本身已经过加密。
密钥越大加解密就越难 , 近年来,攻击者一直在转向更大、更复杂的密钥,如 RSA 密钥,这些密钥使用更多的变量,并且更难破解。660 位密钥经过一些努力即可相当容易破解。但是,1056 位密钥几乎是不可能的。
其他形式的勒索软件
并非所有勒索软件都会加密受害者的文件。通常,一旦攻击者能够访问受害者的文件,并且能够对其进行加密,他们就可以对系统进行随心所欲的操作。因此,攻击者将使用其他方法来强迫受害者付款。
其中一种方法是通过泄漏软件,攻击者将威胁要向公众发布受害者的文件。这对于拥有敏感信息(如财务记录、医疗信息或个人员工信息)的组织尤其有效,如果这些文件遭到泄露,可能会导致严重的财务损失和巨额罚款。
另一种形式的勒索软件不一定会影响受害者的文件,而是会改变其应用程序的行为。一种这样的勒索软件攻击会不断将受害者重定向到浏览器上的虚假FBI网站,即使他们试图离开页面。如果他们强制退出应用程序,恶意软件会再次将其打开到页面。这样做的机制是一个JavaScript程序,它劫持了浏览器的崩溃恢复功能。
支付方式
在20世纪80年代后期,第一次勒索软件攻击艾滋病特洛伊木马指示受害者以银行本票的形式将赎金(189美元,或通货膨胀调整后约400美元)发送到巴拿马的邮政信箱。不出所料,这并没有带来很多支出。
现代勒索软件攻击将要求以加密货币的形式进行支付,例如比特币,这很难追踪。
原文链接:https://www.sdxcentral.com/security/definitions/how-does-ransomware-work/