恶意软件与勒索软件：它们有何不同

网络安全不断扩大的词汇和分支分类常常导致术语错误地成为同义词。恶意软件和勒索软件就是这个问题的很好的例子，因为尽管这两个术语所代表的含义存在明显差异，但许多术语可以互换使用。

本文提供了恶意软件与勒索软件的深入比较。我们概述了这两个重叠术语之间的差异，解释了为什么有些人会混淆两者，并帮助您更好地应对所有基于恶意软件的威胁。

恶意软件与勒索软件：主要区别

让我们首先定义这两个术语：

• 恶意软件（恶意软件的缩写）是旨在入侵、破坏或破坏 IT 系统和网络的各种程序的总称。
• 勒索软件是一种特定类型的恶意软件，它会加密数据并删除原始文件，以迫使受害者为解密密钥支付赎金。

下表提供了恶意软件与勒索软件的正面比较：

什么是恶意软件？

恶意软件是一个广泛的术语，涵盖各种损害、利用或破坏设备或网络的恶意软件。网络犯罪分子使用恶意软件来执行一系列不同的目标，例如：

• 监视受害者的在线活动。
• 窃取身份盗窃所需的敏感信息。
• 破坏文件或导致数据损坏。
• 减慢系统速度。
• 分散安全团队对其他恶意活动的注意力。
• 接管设备的控制权。
• 滥用设备的底层硬件。
• 重定向流量。
• 设置其他类型的网络攻击（例如APT或DDoS）。

某些形式的恶意软件比其他形式更危险。例如，广告软件（在您使用其他程序时显示广告横幅的恶意软件）会损害用户体验并降低性能，但只要您不点击广告，就相对无害。其他类型的恶意软件（例如勒索软件和 Rootkit）极其危险，通常会导致永久性数据丢失。

恶意软件如何运作？

不同的恶意软件类型以不同的方式工作，但它们都尝试执行相同的一系列步骤：

• 感染系统。
• 保持不被发现。
• 进行某种形式的有害活动。

所有恶意软件感染都是从系统渗透开始的。以下是恶意软件安装在目标系统上的一些常见场景：

• 工作人员点击网络钓鱼电子邮件中受感染的链接或附件。
• 有人意外地从受感染的网站下载了受感染的文件。
• 心怀不满的员工故意安装恶意软件（所谓的内部威胁）。
• 有人访问可疑网站，点击受感染的广告或下载包含受恶意软件感染的文件的程序。
• 黑客利用零日系统漏洞。
• 员工使用受感染的设备连接到公司网络。

一旦恶意软件进入系统，程序就开始执行其代码。通常，当程序通过修改系统文件或使用加密来隐藏其存在时，此过程会悄悄发生。大多数恶意软件程序还会尝试传播到同一网络上的其他系统。所有恶意软件都有特定的有效负载（程序旨在执行的操作或攻击）。不同类型的恶意软件有不同的目标。例如，病毒会损坏文件，而间谍软件会尝试窃取有用的数据。以下是预防恶意软件的最佳方法：

• 使用防病毒和反恶意软件。
• 使用最新补丁使软件和操作系统保持最新状态。
• 避免可疑网站和下载。
• 单击电子邮件附件和链接之前请三思。
• 使用广告拦截器来避免受恶意软件感染的弹出窗口。
• 定期备份有价值的数据。
• 使用防火墙阻止未经授权的访问您的计算机。
• 不要禁用网络安全工具的安全功能。

请记住，某些类型的恶意软件会创建隐藏文件或注册表项，以便在您删除原始感染后重新安装。

恶意软件类型

以下是最常见的恶意软件类型：

• 特洛伊木马：特洛伊木马是一种看似合法应用程序或文件的恶意程序。一旦执行，木马就会具有广泛的有效负载（重定向流量、设置后门、导出数据等）。
• 病毒：病毒是一种在计算机之间传播并导致文件和程序损坏的恶意软件。病毒的主要特征是它们附着在数据和应用程序上以传播到新设备。
• 蠕虫：蠕虫是一种不需要主机文件或应用程序即可传播的恶意程序。蠕虫病毒通过利用协议和软件中的缺陷进行自我复制并在网络中传播。蠕虫最常见的目标是造成网络拥塞或安装其他类型的恶意软件。
• 加密劫持：加密挖掘恶意软件使黑客能够使用其他人的计算机来挖掘加密货币。
• 垃圾邮件机器人：垃圾邮件机器人使用主机设备的电源和内存来执行重复性任务，例如引导 Web 流量作为 DDoS 攻击的一部分或发送垃圾邮件。
• 广告软件：此类恶意软件会在用户屏幕上显示不需要的广告和弹出窗口。广告软件会降低系统速度并干扰正常使用。
• 间谍软件：间谍软件秘密收集有关受害者的信息，例如浏览习惯、银行数据或密码。当犯罪分子想要收集信息以进行身份​​盗窃时，此类恶意软件是常见的选择。
• Rootkit。Rootkit 使黑客能够通过修改系统文件或注册表项来访问计算机中未经授权的区域。黑客使用 rootkit 来远程访问系统并安装更高级类型的恶意软件。
• 勒索软件：此类恶意软件会对设备上的数据进行加密，之后受害者必须为解密密钥支付赎金。

什么是勒索软件？

勒索软件是一种恶意软件，它对受感染设备上的文件进行加密，并指示受害者支付赎金以换取解密密钥。一旦勒索软件在设备上执行，恶意程序就会有几个目标：

• 加密尽可能多的数据。
• 窃取文件（将数据传输到远程服务器）。
• 传播到网络上的其他设备以搜索更多数据。
• 为未来的攻击设置后门。

勒索软件攻击对企业来说具有高度破坏性且成本高昂。以下一些统计数据表明了这种网络威胁的严重性：

• 勒索软件是 2022 年数据泄露的第二大原因（仅次于网络钓鱼）。
• 企业遭受勒索软件攻击的平均成本为454 万美元（该数字包含了赎金、声誉损失、罚款、数据恢复以及因停机而造成的业务损失）。
• 遭受勒索软件攻击后，企业平均需要 49 天的时间才能将 IT 系统恢复到事件发生前的状态。
• 勒索软件攻击最有可能的目标是美国企业（约占所有事件的 47%）。
• 2022 年遭受勒索软件攻击的组织中，只有 13% 表示未支付赎金。

勒索软件如何运作？

黑客通过多种方式传播勒索软件。犯罪分子最常见的策略是：

• 网络钓鱼电子邮件中受感染的附件。
• 社会工程策略诱骗受害者点击指向托管勒索软件的网站的链接。
• 恶意广告（黑客攻击合法的在线广告以传播恶意软件）。
• 在不安全的网站上偷渡式下载。
• 漏洞利用工具包（扫描设备是否有软件漏洞并在检测到缺陷时部署恶意软件的程序）。

一旦勒索软件进入系统，它就会扫描设备以查找目标文件。程序搜索的数据类型取决于黑客的指令（例如，犯罪分子可能会设置勒索软件来加密系统上的所有 Word 文档和 Excel 工作表）。然后勒索软件开始加密数据并擦除原始文件的任何记录。

大多数勒索软件变种都会以令人难以置信的速度加密文件。加密 100,000 个文件平均需要大约 45 分钟。有些程序还会在加密之前窃取数据。这样，如果受害者拒绝支付赎金，黑客就可以威胁造成数据泄露。

一旦勒索软件完成数据加密，没有解密密钥就无法恢复文件。犯罪分子愿意提供密钥以换取赎金，通常要求以比特币或其他加密货币形式支付赎金，以防止可追溯性。

请记住，支付赎金并不能保证您能够恢复丢失的数据。即使你满足了犯罪分子的要求，也很有可能：

• 你再也不会听到犯罪分子的消息了。
• 黑客在发送密钥之前会要求进一步付款。
• 脚本损坏的数据无法修复，导致您无法解密某些文件（如果不是大多数文件）。
• 犯罪分子仍然会泄露您的文件或将其出售给最高出价者。

比攻击者领先一步。了解如何以最少的停机时间和损失从勒索软件攻击中恢复。

绝大多数勒索软件攻击都针对基于 Windows 和 Mac 的计算机，但到 2022 年，基于 Linux 的攻击增加了 146%。

勒索软件类型

勒索软件主要有两种类型：

• 加密勒索软件：这种勒索软件类型（也称为数据锁）对计算机上的文件进行加密，通常仅针对具有特定扩展名的数据。
• Locker 勒索软件：这种勒索软件类型将用户锁定在整个计算机之外，而不是加密特定数据。只有在目标支付赎金后，黑客才会解锁设备。

虽然勒索软件只有两种主要类型，但专家怀疑勒索软件家族大约有 250 个（其中大多数是加密勒索软件程序）。最近最危险的一些变种是：

• Conti：这种勒索软件变种于 2019 年底首次出现。Conti 既可以加密又可以窃取数据，并且具有先进的加密技术，并且众所周知难以检测。黑客在几次备受瞩目的攻击中使用了 Conti，其中包括 2021 年 5 月针对爱尔兰国家医疗服务机构的攻击。
• DarkSide：这种勒索软件变种出现于 2021 年，当时黑客利用它对美国主要燃料管道殖民管道发动了攻击。与 Conti 一样，DarkSide 既可以加密数据，也可以窃取数据。
• REevil（又名 Sodinokibi）： REvil 自 2019 年以来一直活跃，并对知名目标造成了多次攻击（包括 2020 年 9 月对全民健康服务的攻击）。
• Ryuk： Ryuk 自 2018 年 8 月以来一直活跃，是黑客追逐雄心勃勃目标的首选武器。与大多数其他变体不同，Ryuk 背后的犯罪分子会进行大量侦察以准备攻击，并在感染期间进行手动干预以确保加密过程成功。
• LockBit：该变种首次出现于 2019 年，但在 2021 年更新后在犯罪分子中流行起来。LockBit 因其快速高效的加密过程而臭名昭著，虽然容易出现数据损坏，但比大多数其他变种更快地扰乱文件。

所有勒索软件都是恶意软件，但并非所有恶意软件都是勒索软件

让您的团队了解恶意软件和勒索软件之间的区别，既可以消除混乱，又可以帮助员工做好应对基于恶意软件的威胁的准备。由于员工始终是最容易受到恶意软件攻击的媒介，因此确保每个人都了解最新的网络安全术语必须成为每个谨慎组织的首要任务。