隨著勒索軟件（Ransomware）攻擊的快速傳播，導致其攻擊觸角已從一般用戶個體，逐步拓展至企事業單位和政府機構，而其造成的惡劣影響更是逐年升級。對于政企機構來說，不僅面臨著失去對數據文件的掌控能力，而且還有聲譽遭受損失之虞，這就讓勒索攻擊者往往通過恐嚇手段便能迫使受害者支付贖金。

然而助長勒索攻擊愈發猖獗的原因，不外乎其攻擊過程的隱蔽性，受害者們往往不知道自己的電腦已經中毒，當他們看到勒索信息彈出在電腦屏幕后，已然為時已晚了。那么，在受害者看到勒索信息之前，勒索軟件實際都展開了哪些攻擊呢？

勒索攻擊五步走

實際上，自從受害者點擊了釣魚郵件中的一個惡意鏈接，或者下載了含有惡意附件的文件之后，勒索軟件就已經進入了操作系統的大門了。

　　勒索軟件攻擊從惡意鏈接或惡意附件開始（圖片來自網絡）

第一步，勒索軟件會先將自己復制到電腦用戶的資料夾內，通常是以可執行文件的格式。在Windows環境，惡意軟件往往將文件寫入到“/APPDATA”或“/TEMP”的資料夾里，因為寫入這些資料夾無須管理員權限。接著，勒索軟件便開始悄悄地在后臺展開后續攻擊了。

第二步，連網至特定網站收發信息。一旦勒索軟件進入操作系統，它會嘗試連接互聯網并且聯通特定服務器。在這個階段，勒索軟件會與命令和控制（C&C）服務器發送和接收設定文件。

第三步，搜索特定類型的文件進行加密。

接下來，勒索軟件會進入受感染系統的資料夾，搜索特定類型的文件進行加密。當然，會被加密的文件類型也取決于勒索軟件的種類分支，會刪除鏡像文件和備份的勒索軟件家族也會在加密過程前完成。

第四步，產生加密密鑰。

在開始加密文件前，勒索軟件會先產生用來加密的密鑰。根據勒索軟件種類的不同，加密受感染系統文件的方式也會有所差別，可能會使用AES、RSA或合并使用等情況。而且加密文件所需要花費的時間也會根據文件數量、系統處理能力和加密方法而有所差異。

許多勒索軟件會建立自動啟動機制來繼續加密操作，防止在加密過程由于系統關機而中止執行。

第五步，向用戶發送勒索通知和付款指示。

對于絕大多數的勒索軟件來說，出現勒索通知即代表文件的加密過程已經成功。有些勒索通知是在加密過程完成后馬上出現，而有些會更改啟動磁區的勒索軟件則會在系統重新啟動后出現通知。不過，也有些勒索軟件則不會顯示勒索通知，至少不會自動顯示。還有些則會在受感染的資料夾內生成勒索通知或顯示HTML頁面來告知勒索要求和付款指示。更有一些鎖屏幕勒索軟件則會用勒索通知鎖定屏幕，讓用戶無法操作電腦。

感染勒索軟件后的可疑征兆

既然勒索攻擊防不勝防，那么感染勒索軟件后一般有哪些可疑的征兆呢?

應該說，勒索軟件的攻擊行為依據其病毒家族或變種而各有不同，不過，當然還是有些蛛絲馬跡可以讓用戶或IT管理員察覺到勒索軟件的感染情況。例如，

首先，在勒索軟件的加密過程中，由于其在后臺不斷執行操作，受害者可能會發覺操作系統無故變慢。

其次，即便沒有執行任何程序，硬盤指示燈還是會狂閃，這表示電腦硬盤正在被執行讀寫操作中，而這很可能是中招勒索軟件后，搜索和加密文件程序開始的一個標志。