防不胜防的黑客新伎俩

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

勒索软件检测和恢复工具以及相关技术正变得越来越强。然而，勒索软件开发者也是如此。他们让勒索软件更难以被发现，加密文件也更难以被恢复。 

在一天结束的时候，勒索软件必做的一件事就是覆写或者锁定文件系统。与覆写或者锁定数据相关的线性活动使我们很容易检测到勒索软件。如果把系统中所有的文件看成是一个列表，那么勒索软件就会按照列表顺序开始对文件进行加密。

黑客们也是越来越聪明，试着去改变勒索软件的可预测性，以避免被检测到。下面介绍了他们正在使用的一些新伎俩。

1、减慢加密过程

一些勒索软件的创造者们把加密过程分散开来，这样就不会一次完成加密。而是在一段较长的时间内完成。目的是让自己低于任何检测工具的触发阈值。例如，防病毒软件会检测是否出现了10秒内访问1000个文件这种情况。那么，黑客们会把时间间隔延长到10分钟以上，这样就检测不到什么东西。我们看到这种情况越来越多了。黑客们把加密过程延展到很长一段时间，这样带来的一大危险是备份文件也可能被加密。

2、加密过程被随机化

勒索软件制造者也一直在对其加密或者覆写文件所采用的方法进行随机化处理，而不是线性地把文件过一遍。这有助于避免被使用寻找线性模式的反勒索软件工具检测到。

3、通过文件而不是电子邮件传播勒索软件

电子邮件中的恶意链接仍然是传播勒索软件最常用的方法。企业加强了对员工的教育，告诉他们不要点击可疑电子邮件链接，一些勒索软件犯罪分子随之开始改变策略。他们不再使用链接，而是PDF、微软Word或者其他常见文件类型等文档附件。这类文档会包含启动勒索软件的脚本。

原本无害的PDF文件和JPEG照片现在携带了能够植入到企业环境中的恶意程序。你可能会收到一条短信，上面写着，‘这是’您的发票，或者‘这里’有您的照片。人们总是会点击这些东西。”

4、加密硬盘卷标

更恶劣的是，一些黑客绕过文件，直接对硬盘卷标下手。我们看到有人瞄准了硬盘最核心的地方，主引导记录。这是硬盘的根本。如果他们能破坏这些地方，他们就可以控制硬盘其余的部分来进行勒索，不需要加密每一个文件。

5、使用多态编码

多态编码的使用也使得更难以检测到勒索软件。对于恶意软件安装在不同受害者上的每一具体情形，它都会稍微改变其编码，然后再去扩散。这样，静态的方法很难检测到勒索软件文件。

检测工作的难点在于多态编码变化的频次——快到每15秒或者20秒就变一次。一旦确定了勒索软件的签名，就比较容易去阻止它。然而，随着编码的不断变化，它看起来是某种新型勒索软件，那就很难去阻止它。

6、使用多线程攻击

典型的勒索软件攻击一般会启动一个进程来执行加密。在多线程勒索软件攻击中，勒索软件主代码会启动多个子进程来加速加密过程，使其很难被停止。你也许能停止一两个进程，但其他的会继续执行，直至造成损害。要停止并行攻击更是难上加难。

见识过的恐怖场景是，多线程攻击结合了多态勒索软件。处理器和内存很快就会过载，所有的进程都会迅速慢下来。

7、提高勒索软件编程技巧

随着勒索软件开发者不断提高自己的技巧，解密变得越来越困难。获得解密工具依赖于一些因素。例如，勒索软件作者在实施加密过程中犯了错误。他们没有管理好密钥，或者他们使用可预测的数字发生器来产生密钥。利用这些错误，研究人员便能够找到勒索软件解密密钥。

这种情况经常发生。通常，写这些东西的人并不是加密专家。然而，他注意到这也出现了变化，新版本的勒索软件便是这种情况。在早期版本中，作者在加密上犯了错误，所以我们能编写解密程序。现在他们修复好了，没有办法解密，我们只好一点点仔细地去梳理它。

8、利用勒索软件声东击西

去年大幅攀升的另一趋势是，网络犯罪分子利用勒索软件作为转移注意力的手段，以隐藏其他类型的攻击，或者更容易去实施别的破坏活动。他们把勒索软件当作一种普通的破坏攻击手段，背后是一些政治企图，或者要在互联网上造成严重破坏，也有可能把勒索软件当作一种掩饰，能让他们在其他地方安装恶意软件。

使用勒索软件获取经济利益仍然是犯罪分子最常见的动机。据调查显示，所有勒索软件攻击中的62%是为了经济利益，而38%是为了破坏业务。只有24%的攻击是出于政治动机。担心这可能会改变。我们发现了一些的确越过底线的犯罪分子，一旦越过底线，情况会变得更糟。更多的犯罪分子将采用这种技术。他引用了一波WannaCry勒索软件攻击的例子，这波攻击让文件无法解密。

新闻中经常出现的最可能发动破坏性勒索软件攻击的两类组织是以伊朗和朝鲜为代表的国家资助的犯罪分子组织，以及黑客组织。这不是一名高中生能做的。要发动一场成功的破坏性攻击，需要利用漏洞。这一勒索软件利用了大家都没有打上补丁的漏洞。一旦开始，就根本没有办法阻止它的蔓延。

企业要保护自己免受这类勒索软件攻击的唯一方法是，保持良好的安全习惯，确保员工得到了适当的勒索软件培训，并且有可靠的备份和恢复过程。有些公司使用瘦客户机，在用户系统上没有硬盘，用户登录到虚拟系统中。他说：这些都很容易恢复，因为它们是虚拟系统。

9、很少把现代操作系统作为攻击目标

与以前的版本相比，最新版本的微软Windows 10和苹果MacOS让勒索软件攻击者很难得手。然而不幸的是，还有数以百万计运行旧操作系统而且没有打上补丁和进行更新的系统仍在使用中。

针对新操作系统的攻击还不太常见，只是因为更容易攻击已知漏洞而已。CyberSight在Windows XP系统上提供勒索软件保护方面有“巨大的客户需求”。例如，几乎每天都有在所有POS（销售点）系统上运行XP的客户和我们联系，他们发现自己存在可能被利用的漏洞。

10、寻找横向跨网的新方法

预计，勒索软件的横向跨网移动将“大幅上升。例如，用户会在星巴克或者酒店里使用移动设备，那么有人就有可能通过被攻破的通信端口在设备上加载恶意软件。从这些地方，他们可以穿过网络进入公司服务器。这种情况可能会越来越多。

11、延缓勒索软件攻击

预计很快出现的一种战术是他所谓的“放置复活节彩蛋”，勒索软件感染系统，但处于休眠状态，一段时间后才被激活。有人可能会利用被攻破的凭据来植入勒索软件复活节彩蛋，一直隐藏下去。在此期间，寻找机会来传播恶意软件。