勒索病毒的攻击过程是怎样的？

勒索病毒工作原理：

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示：

攻击流程

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

1）系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，企业用户也会受到系统漏洞攻击，由于企业局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此企业用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

通过系统漏洞扫描网络中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

入侵一台机器后再通过漏洞局域网横向传

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

2）远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得网络上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

弱口令扫描网络中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

入侵一台机器再弱口令爆破局域网机器横

3）钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图：

钓鱼邮件攻击逻辑

文章转载至：2018勒索病毒全面分析报告

方法：

1、准备好webshell资源，质量要高一些的。

2、使用工具比如菜刀,一米单页shell,等等别忘记语言的选择。

3、然后把shell上传选择合适的模板，批量上传就可以。

4、检查网页的存活率。

永恒之蓝病毒解决方法是：及时更新Windows系统补丁。

永恒之蓝是指2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。

5月12日不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

攻击方式

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。本次黑客使用的是Petya勒索病毒的变种Petwarp。

攻击时仍然使用了永恒之蓝勒索漏洞，并会获取系统用户名与密码进行内网传播。本次爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术，使得病毒可以在短时间内呈爆发态势，同时该病毒与普通勒索病毒不同。

其不会对电脑中的每个文件都进行加密，而是通过加密硬盘驱动器主文件表(MFT)，使主引导记录(MBR)不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，相较普通勒索病毒对系统更具破坏性。

扩展资料：

事件经过

2017年5月12日起，全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内。

包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。被袭击的设备被锁定，并索要300美元比特币赎金。

要求尽快支付勒索赎金，否则将删除文件，甚至提出半年后如果还没支付的穷人可以参加免费解锁的活动。原来以为这只是个小范围的恶作剧式的勒索软件，没想到该勒索软件大面积爆发，许多高校学生中招，愈演愈烈。

-永恒之蓝

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害

1 Trojan Remover Update 647 Date 0127

一个专门用来清除特洛伊木马和自动修复系统文件的工具。

antiviruspchomenet/trojan/1070html

2 ZoneAlarm Free 61737000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

wwwonlinedownnet/soft/1017htm

3 Trojan Remover 647 Date 0127

专门用来清除特洛伊木马和自动修复系统文件的工具

antiviruspchomenet/trojan/7704html

4 Trojan Remover 646(Database 6461)

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

wwwonlinedownnet/soft/2902htm

5 木马终结者 V35

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

wwwskycncom/soft/2519html

6 LDM木马检测程序 2003钻石版

LDM木马检测程序是大部分流行特洛伊木马病毒的克星，是一个专门防制特洛伊木马病毒的

wwwonlinedownnet/soft/11555htm

7 The Cleaner Database V3887

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

wwwskycncom/soft/3760html

8 Trojan Remover V646(Database 6461) Update

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

wwwskycncom/soft/3217html

9 木马终结者 333

所有特洛伊木马病毒的克星，专门防制特洛伊木马病毒的防毒软件

antiviruspchomenet/trojan/8238html

10 木马杀手 Trojan System Cleaner 351117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件，杀除特

wwwonlinedownnet/soft/17193htm

11 Trojan Remover Database Update 6461

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

wwwskycncom/soft/3219html

12 ZoneAlarm Pro 61737000

保护你的电脑，防止Trojan(特洛伊木马)程序

antiviruspchomenet/others/8104html

13 Trojan Remover 646 Database 6461 Update

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

wwwonlinedownnet/soft/2903htm

14 ZoneAlarm Security Suite V61737000

ZoneAlarm 保护你的电脑，防止Trojan(特洛伊木马)程序

wwwskycncom/soft/3769html

15 熊猫卫士 钛金版20500

基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

wwwonlinedownnet/soft/9066htm

16 Trojan Remover Database 6461

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

wwwonlinedownnet/soft/2905htm

17 ZoneAlarm Pro 61737000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

wwwonlinedownnet/soft/1019htm

18 Antiy Ghostbusters Pro 505

一个专业级别的特洛伊木马检测和系统安全工具

downloadpchomenet/internet/safe/15974html

19 The Cleaner Pro V41 Build 4252

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

wwwskycncom/soft/3758html

20 ZoneAlarm Free V61737000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

wwwskycncom/soft/9443html

21 ZoneAlarm Pro V61737000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序

wwwskycncom/soft/3770html

22 ZoneAlarm Pro V61737000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕

download21cncom/listphpid=3458

23 Antiy Ghostbusters Advanced Edition 504

AntiyLabs出品的专业级特洛伊木马检测工具，被网友称为“捉鬼队”。该软件可以对驱动

wwwonlinedownnet/soft/7660htm

24 Trojan Remover 木马病毒库 6072

一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫

download21cncom/listphpid=5317

25 The Cleaner Pro 4 updates Database 3860

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093个木马标识。可在线

wwwonlinedownnet/soft/1445htm

26 Digital Patrol 50031

专门检测系统中特洛伊木马程序的扫毒软件

antiviruspchomenet/trojan/12504html

27 熊猫卫士 70铂金版中文测试版

基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

wwwonlinedownnet/soft/9065htm

28 Trojan Remover V646(Database 6457)

Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检

download21cncom/listphpid=7335

29 Trojan Remover V633 Date 1220

Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查

download21cncom/listphpid=3692

30 The Cleaner V3543519(DataBase 3359) 汉化版

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

wwwskycncom/soft/3759html

31 Anti-Trojan 55421

Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。它利用三重扫描来检

wwwonlinedownnet/soft/1318htm

32 TDS-3: Trojan Defence Suite 320

防特洛伊木马的软件，可以检测到360种以上的特洛伊木马和电脑蠕虫

antiviruspchomenet/trojan/10170html

33 ZoneAlarm Pro 45594

保护你的电脑，防止Trojan(特洛伊木马)程序

antiviruspchomenet/others/10678html

34 木马终结者 V337

特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒，你的计算机将被黑客控

download21cncom/listphpid=10681

35 The Cleaner (executable only) 354 Build 3528

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序

antiviruspchomenet/cleaner/8957html

36 BoDetect 35

一个专门用来监测和删除特洛依木马之类的小工具

antiviruspchomenet/trojan/10171html

37 ZoneAlarm Anti-Spyware V61737000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

wwwskycncom/soft/9442html

38 ZoneAlarm Free 60629000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

wwwonlinedownnet/soft/20642htm

39 LDM木马检测程序 Power XP Build 688C

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

wwwskycncom/soft/8731html

40 Advanced Registry Tracer 203

具有侦测出特洛伊木马病毒功能

downloadpchomenet/system/treak/10607html

41 木马杀手(Trojan System Cleaner) V351117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特

wwwskycncom/soft/14265html