你所需了解关于勒索软件的一切

可能你不太相信，本篇文章确实可以为你节约一大笔钱，大约300美元。这是不法分子向受害人索要赎金的平均金额，被用来恢复被加密的文件或锁住的计算机。

事实上，计算机往往很容易就会感染勒索软件。就算你不是经常搜寻免费色情视频或打开大量垃圾邮件，甚至什么也没有干，却仍然可能处于危险之中。下面就将为你们一一解答其中的原因，以及所需采取的安全防范措施。

1.什么是勒索软件？

勒索软件是恶意程序的一种，会锁住你的计算机、平板或智能手机—或者加密你的文件，随后索要安全恢复系统或文件的赎金。目前市面上，主要有两种勒索软件。

第一种类型被称为cryptor，专门加密文件使受害人无法访问。解密文件需要密钥—通过支付赎金获得。

另一种类型则称为blocker；专门阻止计算机或其它设备，使系统无法工作陷入瘫痪。事实上，感染Blocker的情况要比cryptor乐观不少；相比被加密的文件，受害人有更大的机会恢复受阻访问的系统。

2.常规支付的赎金是多少？

事实上，并没有什么”常规金额”。有些勒索程序只索要小小的30美元赎金，而有些则会索要数万美元巨额赎金。一些企业和大型组织往往通过鱼叉式网络钓鱼不幸感染，而且也更容易被索要巨额赎金。

然而，你需要记住，即使支付了赎金也无法保证文件安全可靠地恢复。

3.不支付赎金而解密被加密的文件，是否有这个可能？

有时候确实可以。但大多数勒索程序使用的是弹性加密算法，这意味着没有加密密钥，解密可能需要花费数年之久的时间。

有时候，勒索软件攻击背后的犯罪分子也可能犯错，让执法机构有机会搜查到含加密密钥的攻击服务器。这时，安全专家就能以此开发解密器。

4.赎金如何支付？

通常，赎金需要以加密货币方式支付，比如比特币。因为电子货币无法伪造。而且交易历史一览无遗，同时电子钱包又很难追踪。这也是为什么网络犯罪分子倾向于使用比特币：因为被抓到的概率很低。

有些类型的勒索软件使用匿名电子钱包甚至是移动支付。我们见过最离奇的支付方式是价值50美元的iTunes卡。

5. 勒索软件是如何进入我的计算机？

最常见的载体是电邮。勒索软件可能伪装成实用或重要的附件（紧急发票、一篇有趣的文章或免费app）。一旦打开附件，你的PC电脑就马上会受感染。

在你刚上网冲浪时，勒索软件就能直接潜入你的系统。为了获得系统的控制权，敲诈者需要利用操作系统、浏览器或者应用程序的漏洞。这也是为什么软件和操作系统始终要保持最新版本的原因（顺便提下，你完全可以将这一任务交给卡巴斯基安全软件或卡巴斯基全方位安全软件，其最新版本会自动更新）。

有些勒索程序会通过本地网络自动传播。一旦这类木马感染了你家庭或企业网络的一台机器或设备，其它端点也最终会跟着受到感染。

当然有些情况下，感染勒索软件的概率更高。比如下载BT种子，或者安装插件等等。

6.哪些文件是最危险？

最可疑的文件是可执行文件（比如EXE或SCR格式），此外带Visual Basic脚本或Java脚本（.VBS和.JS扩展）的文件也较为可疑。通常压缩在ZIP或RAR存档文件以隐藏他们的恶意本质。

另一种危险文件是MS Office文档（DOC、DOCX、XLS、XLSX和PPT等等）。里面可能含存在漏洞的宏命令；如果提示你在Word文档内启用宏命令，还是好好想想再行动吧。

此外，看到快捷方式文件（.LNK扩展）也需要小心为妙。也可能使用伪装的图标，加上看似无害的文件名，完全可以诱使受害人一步步落入陷阱。

重要提示：Windows打开带已知扩展名的文件时不会提示用户，并默认将这些扩展名隐藏在Windows Explorer内。如果你看到类似Important_info.txt这样的文件，很可能实际就是Important_info.txt.exe恶意软件安装程序。通过对Windows设置可显示扩展名，以提升安全性。

7.如果我远离流氓网站或可疑附件，是否就能避免感染勒索软件？

可惜的是，即使谨小慎微的用户也可能感染勒索软件。比如，在一家声誉良好的大型新闻网站上阅读新闻，都有可能使自己的PC电脑感染病毒。

当然，网站本身不会向访客传播恶意软件—除非遭黑客入侵，这是另一个话题了。此外，受网络犯罪分子感染的广告网络也会充当传播者，且通常都因含有未修复的漏洞以载入恶意软件。因此这里再重申一下，最新版本的软件和打全补丁的操作系统是关键。

8.我使用的是Mac电脑，那么我就不用担心勒索软件了，是吗？

Mac也有可能感染勒索软件。例如，KeRanger勒索软件，就能潜入流行的传播种子客户端，从而攻击Mac用户。

我们的专家认为以苹果系统为目标的勒索程序数量将逐步增加。由于苹果设备价格相对昂贵，因此勒索者可能已经发现Mac电脑用户是一座巨大的金矿。

有些类型的勒索软件甚至还将Linux作为攻击目标。因此，没有一个系统能免于勒索软件的侵扰。

9.用手机上网还需担心勒索软件吗？

还是需要担心的。例如，在目前针对安卓设备的cryptor和blocker中后者显然更加流行。因此，在智能手机上安装反病毒软件绝不是什么偏执狂。

10.iPhone手机也有危险吗？

目前为止，还未出现专门针对iPhone手机和iPad的专门勒索程序。顺便提下，这不包括越狱的iPhone手机。恶意软件可以潜入那些禁用iOS安全限制以及未锁定App Store下载的设备。

iPhone勒索软件可能在不久之后就会出现，而且并不需要是越狱系统。我们还可能看到物联网勒索软件的出现。网络犯罪分子可能在控制智能电视或冰箱后，开始索要高额赎金。

11.我如何知道自己的计算机是否感染了勒索软件？

勒索软件并非一直躲着，藏着。而是高调宣告，比如下面这样：

或者这样：

又或是这样：

Blocker看起来就像这个样子：

12.哪些勒索软件类型目前最为流行？

各种新型勒索软件每天都会出现，因此很难说哪种最流行。我们可以随意列举几个典型例子，比如：会加密整个硬盘的Petya。此外，还有能力强大的СryptXXX，我们重点记录了两次。当然，还少不了今年前4个月几乎无处不在的TeslaCrypt；其作者最终出人意料地公布了解密主密钥。

13.如果真感染了勒索软件，我该怎么做？

一旦你发现自己的计算机访问受阻—也无法载入操作系统—可以使用Kaspersky WindowsUnlocker，一款能清除blocker并重新启动Windows系统的免费工具。

cryptor则更难对付。首先，你需要运行反病毒软件扫描清除恶意软件。如果你计算机里没有合适的反病毒软件，建议从这里下载免费试用版。

然后就可以恢复文件。

如果你存有备份，那只需从备份恢复文件。这是迄今为止最有效的方法。

如果文件未作备份，还可尝试使用”解密器”这样的特殊工具来解密文件。卡巴斯基实验室创建的所有免费解密器都可以从Noransom.kaspersky.com网站找到。

其它反病毒软件公司也开发解密器。但有一点：确保从声誉良好的网站下载这些程序；否则就有可能冒着感染其它恶意软件的巨大风险。

如果你无法找到合适的解密器，可以支付赎金或放弃这些被加密的文件。但我们并不太建议支付赎金。

14.为什么不干脆支付赎金了事？

首先，你无法保证一定能恢复这些文件。这些勒索者根本不可信。比如Ranscam勒索软件的作者们连加密过程都省了，直接就将受害人文件删除（当然表面上仍然承诺收到赎金后即负责解密文件）。

根据我们的调查，有20%的勒索软件受害人即便在支付赎金后，也无法恢复自己的文件。

其次，支付赎金的行为可以说是变相支持这类网络犯罪商业模式。

15.我找到了所需的解密器；但为什么就没有用呢？

只要有新的加密器问世，勒索软件开发者们就会立即予以回击，通过修改恶意软件使现有解密器无法成功破解。这就好比”打地鼠”游戏。可惜，解密器很容易过期无效。

16.如果我发现系统正受到感染，我可以做些什么吗？

理论上说，如果你及时发现，完全可以关闭PC电脑，拔出硬盘然后插入另一台计算机，随后使用该计算机的反病毒软件进行杀毒。但现实生活中，用户很难检测出是否感染；勒索软件一直会隐藏起来直至显示勒索信。

17.如果我定期备份自己的文件，就是否安全呢？

备份文件确实相当有效，但毫无疑问也无法保证100%安全。比方说：你设置自动备份：每三天将自己的文件在配偶计算机上进行备份。但cryptor依然会潜入系统，加密所有文档和照片等—但由于是设置自动备份，因此根本无法知晓。因此当你一周后查看，所有备份也已经被加密了。因此，尽管备份非常重要，但仍然还需采取更多防范措施。

18.安装反病毒软件是否就能避免感染？

多数情况下确实如此，但取决于所使用的反病毒解决方案。根据著名实验室的独立标准（唯一值得信赖的标准），卡巴斯基实验室的产品相比竞争对手拥有更佳的安全保护能力。但没有一款反病毒软件是100%有效。

许多情况下，能否自动检测出取决于恶意软件的新旧。如果签名未添加入反病毒数据库，木马病毒需要通过行为分析检测出。只要试图伤害系统，就会立即被阻止。

我们的产品还包含被称为系统监控的模块；一旦被检测出试图对大量文件加密，即会阻止该恶意程序并恢复所有更改。因此千万不要禁用这一组件。

此外，卡巴斯基全方位安全软件也会自动完成备份过程。就算重要文件被加密，也可以从备份中予以恢复。

19.是否能通过某些设置加强安全防范？

a. 首先，必须安装一款反病毒软件。我们之前已多次提醒过了，不是吗？

b. 你可以在浏览器内禁用脚本执行，因为这往往是网络不法分子最喜欢使用的工具。阅读我们博客了解如何正确在Chrome和火狐浏览器内设置。

c. 在Windows Explorer内查看文件扩展名。

d. 将记事本作为VBS和JS文件的默认应用。Windows常常将危险VBS和JS脚本标记为文本文件，很容易误导安全意识不足的用户打开。

e.可以考虑启用卡巴斯基安全软件的信任应用程序模式，能限制安装任何不在白名单里的程序。由于默认禁用因此需要进行设置，但却是相当实用的工具，尤其适用于那些对PC电脑不甚精通并可能让恶意软件轻易潜入系统的用户。