服务器运维 yunwei

勒索病毒的攻击原理是什么?

2026-07-15 114 次

一、整体概括

勒索病毒本质:黑客先拿到你电脑执行权限,在后台运行加密程序,采用非对称加密算法把你的文档、源码、图片、数据库文件加密;删除原有备份,只有黑客手里的私钥才能解密,以此胁迫你支付赎金。全程分为:入侵进驻‑持久驻留‑清除备份‑遍历加密‑投放勒索通知5个阶段。用到的加密方式主要是非对称RSA+对称AES组合。

1、入侵获取执行权限(进入电脑的过程)

黑客必须拿到程序运行权限,病毒才可以执行,常见获取方式:

  1. 文件诱骗(最普遍)客户发送压缩包、破解软件、补丁、激活工具、伪装成文档的exe文件;压缩包里嵌套js、hta、bat程序;你双击运行之后病毒就执行。很多源码压缩包里面夹带后门程序。

  2. 系统漏洞攻击Windows老旧漏洞(永恒之蓝EternalBlue)、老旧软件漏洞(旧版7‑Zip、旧版办公软件、PHP、旧版建站环境),黑客利用漏洞远程投递病毒,你不用点击任何文件电脑就中招。服务器被入侵绝大多数是该方式。

  3. 暴力破解远程端口3389远程桌面、22端口、数据库Mysql弱密码;黑客用扫描器全网扫描弱口令,登录进你的电脑上传病毒文件。建站主机中招大多是这个问题。

  4. 钓鱼邮件、U盘、内网横向扩散一台电脑中毒之后,病毒扫描局域网内其他电脑,尝试弱密码登录服务器,把病毒扩散到内网全部电脑。

    2、持久驻留:保证重启之后病毒继续运行

    病毒运行之后不会坐等加密文件,首先完成自启配置,防止重启后病毒失效:

  5. %TEMP%、Appdata、Roaming目录释放随机命名的exe文件;

  6. 修改注册表Run启动项、添加Windows计划任务;

  7. 滥用PowerShell、WMI服务,后台静默运行,任务管理器进程名字伪装成系统进程;

  8. 关闭Windows Defender、禁用系统防火墙,阻止杀毒软件杀掉病毒程序。

    3、删除所有备份(非常关键步骤)

    勒索病毒设计者很清楚,只要有备份用户就不会付钱,所以加密文件前优先清除全部备份:

  9. 删除Windows系统还原点、卷影副本;执行命令:vssadmin delete shadows

  10. 删除网盘同步文件、本地备份文件夹、旧版源码备份;

  11. 破坏文件历史记录;清除服务器快照;

  12. 破坏数据库备份文件。做完这一步就算重装系统文件照样打不开。

    4、核心加密原理(RSA+AES加密,这是文件打不开的技术核心)

    (1)算法分工

  13. AES‑256(对称加密):用来加密你的Word、源码、PDF、图片。AES加密速度很快,适合大批量文件加密;每一份文件单独生成一个AES密钥。

  14. RSA‑2048/4096(非对称加密):用来加密AES密钥。

    (2)完整加密流程

    • 黑客手里持有RSA私钥(唯一解密钥匙)

    • 电脑里存放的是黑客的RSA公钥;

    • AES密钥被RSA公钥加密后嵌入加密文件内部。

  15. 病毒遍历电脑全部磁盘、U盘、移动硬盘,跳过系统必要文件,只加密用户文档、源码、数据库;

  16. 针对每一个文件随机生成一个AES密钥,使用AES把文件加密;

  17. 用黑客预先内置在病毒程序中的RSA公钥,加密这个AES密钥;

  18. 将加密后的AES密钥写入文件末尾,修改文件后缀(.lockbit .phobos等),删除原文件;

  19. AES密钥经过RSA加密之后,仅凭你的电脑无法破解;RSA‑4096暴力破解在现有计算机条件下几乎不可能实现。

    通俗理解:AES是开文件的钥匙,RSA把钥匙锁进保险柜,保险柜钥匙只有黑客拥有。

    5、后期数据外传

  20. 高级勒索病毒(LockBit、Conti)在加密之前会先把你的客户资料、网站源码、合同文件打包发送给黑客服务器;

  21. 黑客双重施压:不给赎金不仅文件打不开,还会把你的资料公开泄露到暗网;

  22. 加密完成之后在各个文件夹放置 read‑me.txt勒索文档,给出Tor暗网地址和比特币钱包地址索要赎金。

    二、内网扩散原理(服务器环境危害更大)

  23. 病毒执行内网扫描,扫描192.168段内设备;

  24. 抓取本机保存的账号密码(浏览器保存密码、数据库密码、远程桌面密码);

  25. 使用拿到的密码登录局域网内服务器、NAS存储设备,把病毒传到服务器,全盘加密源码和网站数据。

    三、简单区分普通病毒和勒索病毒

  26. 普通木马:盗取账号、偷偷挖矿,不会改动你的文件;

  27. 勒索病毒:不破坏系统,专门针对你的工作文件进行加密,系统照常开机,软件可以打开,但你的工作文件全部作废。

    四、关键结论对你建站环境来说

  28. 一旦被RSA‑4096加密:没有私钥,依靠破解软件几乎不可能恢复文件;

  29. 付费解密风险极高:黑客可以选择不给私钥;

  30. 唯一靠谱方案:脱机异地备份,备份硬盘平时断开电脑,病毒访问不到备份盘。

    五、精简版原理总结

  31. 黑客通过漏洞或者弱密码进入你的电脑;

  32. 病毒设置开机自启,干掉系统备份;

  33. AES加密你的文件,RSA保护解密密钥;

  34. 文件加密完毕之后索要赎金,拿到私钥才可以解密文件。


关联标签:
勒索病毒
近期更新:
返回顶部

在线客服

📞
客服热线
0417-6190114
💬
QQ客服
401403
微信二维码
扫码添加客服微信