什么是勒索病毒？
勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。


近期勒索病毒攻击事件：
起亚美国遭 DoppelPaymer 勒索病毒攻击，导致长时间 IT 系统中断
2021 年 2 月，起亚汽车美国公司（KMA）遭 DoppelPaymer勒索病毒攻击，要求起亚在两到三周内支付约 2000 万美元的比特币赎金（约合人民币 1.29 亿元），一旦延期支付，赎金将达到约 3000 万美元（约合人民币 1.93 亿元）。攻击者在其数据泄露网站称，已经窃取起亚美国大量数据，起亚美国若未与之谈判，将在两到三周内公布数据。此次，勒索病毒攻击导致起亚美国长时间 IT 系统中断，影响其应用程序、电话服务、支付系统等。


攻击者利用托管服务软件供应链机制传播勒索病毒，已致 800 余家商店关闭
2021 年 7 月，疑似 REvil 勒索病毒攻击团伙利用安全漏洞，攻击入侵美国软件供应商卡西亚（Kaseya）软件补丁和漏洞管理系统 VSA 服务器设备，并利用软件更新机制传播REvil 勒索病毒。REvil 勒索病毒攻击团伙声称在此次事件中锁定大量系统，并胁迫感染勒索病毒的受害者支付价值约7000 万美元（约合人民币 4.5 亿元）的比特币勒索赎金。该事件导致瑞典连锁超市巨头Coop 已关闭 800 多家商店服务。


种类包括：
文件加密类勒索：该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密，以此来索要赎金，一旦感染，极难恢复文件。该类勒索病毒以Wanna Cry为代表，自2017年全球大规模爆发以来，其通过加密算法加密文件，并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿，文件加密类已经成为当前勒索病毒的主要类型。


数据窃取类勒索病毒。该类勒索病毒与文件加密类勒索病毒类似，通常采用多种加密算法加密用户数据，一旦感染，同样极难进行数据恢复，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎 金。据统计，截至 2021 年 5 月，疑似 Conti 勒索病毒已经攻击并感染全球政府部门、重点企业等 300 余家单位，窃取并公开大量数据。


系统加密类勒索病毒。该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密，一旦感染，同样难以 进行数据恢复。例如，2016 年首次发现的 Petya 勒索病毒，对攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记录代码覆盖磁盘扇区，直接导致设备无法正常启动。


屏幕锁定类勒索病毒。该类勒索病毒对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等， 进而勒索赎金，但该类勒索病毒未对用户数据进行加密，具备数据恢复的可能。例如，WinLock 勒索病毒通过禁用 Windows 系统关键组件，锁定用户设备屏幕，要求用户通过短信付费的方式支付勒索赎金。


如何预防勒索病毒：
1. 避免使用盗版软件，避免从不可信的来源下载软件进行安装。
2. 安装杀毒软件、更新病毒库、开启实时防护，并定期进行全盘杀毒。
3. 避免打开任何不可信的文件，不轻信邮件中的附件，不轻信即时消息、短信等渠道的信息。


如何处置：
当点击勒索病毒，造成感染后，不要惊慌，可以开展以下几种应急工作，减小勒索病毒产生的危害。
1.及时报告。及时报给安全管理员，请专业的安全人员进一步处理和开展后续系统清理以及恢复工作。


2.隔离网络。将主机网络进行隔离，防止病毒的进一步扩散，造成更大危害。


3.重装机器。如无非常重要的文件信息，将主机系统重新进行安装，可以彻底清楚勒索病毒。