什么是CryptoWall勒索软件？

CryptoWall 是一种被称为勒索软件的病毒，它利用木马程序来加密被入侵计算机上的文件，用户必须支付赎金才能获得解密密钥。Cryptowall 通常通过垃圾邮件、恶意在线广告、受感染的网站或其他恶意软件传播。当 Cryptowall 被激活时，它会使用特定扩展名加密驱动器上的所有文件，并将包含如何支付赎金和获取解密密钥的信息的文件保留下来。

它以将病毒有效载荷伪装成看似无害的应用程序或文件而闻名。作为其有效载荷的一部分，感染的系统的文件被加密，试图勒索金钱以换取解密密钥。

由于感染为用户提供了一种方法来消除危险并恢复所有文件，以换取支付赎金，因此 CryptoWall 和类似的病毒也被称为“勒索软件”。用户可以通过下载和运行文件和应用程序来删除感染，或者在本例中，在付款后解密加密文件并将其恢复到可使用状态。

在感染来源方面，众所周知，这种病毒（也称为“驱动程序下载”）最常通过电子邮件附件和受感染的网站传播。

CryptoWall 进一步扩展其影响范围，与各种广告网站相关联，这些网站投放众多热门网站的广告，消费者经常访问这些网站。

CryptoWall 如何感染您的设备？

如前所述，病毒感染过程相当典型。但是，一旦它控制了主机，它就会建立到无关服务器的网络连接，并在其中上传连接详细信息，包括公共 IP 地址、服务器位置以及操作系统等系统详细信息。

接下来，远程服务器将为您的计算机创建一个唯一的 2048 位 RSA 密钥对。它将公共密钥复制到 PC 后，开始复制其预定支持文件扩展名列表上的每个文件。创建副本时，原始文件将从硬盘驱动器中删除，并使用公钥进行加密。

此操作将持续进行，直到所有允许的文件类型的兼容文件都被复制和加密。这适用于存储在其他驱动器上的文件，包括网络共享和外部驱动器；一般来说，列表将包含已分配驱动器号的任何驱动器。此外，更新将传播到云存储，当文件被修改时，云存储会保留驱动器上内容的本地副本。

最后，在加密完成后，CryptoWall 将在本地执行特定命令以终止卷影复制服务 (VSS)，这是一种存在于所有当前版本的 Windows 中的服务。VSS 是一个管理主机上数据备份和还原的服务。此外，它还管理文件版本控制，这是一项 Windows 7 功能，记录文件更改的历史记录。如果发生意外更改或灾难性事件损害了文件的完整性，则可以将其回滚或恢复到早期版本。该病毒的命令完全停止了该服务，并且还添加了清除/删除缓存的选项，这使得使用系统还原或版本控制恢复文件变得更加困难。

它是如何工作的？

• 受害者首先在打开包含指向多个受感染域的链接的电子邮件后被感染。

• 当潜在受害者点击链接时，系统会感染下载程序。

• 下载程序建立到多个黑客控制的域的连接，以便可以下载 CryptoWall。

• 下载程序建立到多个黑客控制的域的连接，以便可以下载 CryptoWall。

• 恶意软件对系统数据进行加密。

• 屏幕上显示一条包含解密密钥付款信息的通知。

如何保护您的设备免受 CryptoWall 的侵害？

CryptoWall 病毒价格低廉且易于使用。它传播迅速，目标是最终支付赎金以期恢复其文件的用户。为了保护数据免受 CryptoWall 病毒及其任何版本的侵害，需要持续监控。在您的计算机上安装最佳的防病毒软件可以帮助您防止所有形式的网络攻击。

此外，您可以采取以下措施来保护您的设备免受 CryptoWall 的侵害 -

• 不要点击来自匿名发件人的电子邮件中的链接。对于 CryptoWall 来说，这是主要的传播方式。

• 在您从未知电子邮件地址收到的电子邮件中，避免点击任何链接。

• 创建所有重要数据的备份帐户。将备份保存在与当前操作系统不同的驱动器上。如果 CryptoWall 感染了您的 PC，您将无法访问备份。

• 确保您的安全程序识别并阻止 CryptoWall。

• 通过修改网络浏览器中的安全选项，您可以提高在线保护级别。

• 利用最新的安全补丁来保持 Windows 操作系统和任何易受攻击的软件更新。

据信，创建 CryptoWall Locker 恶意软件的是同一组网络犯罪分子，他们涉嫌创建 Cryptolocker、CryptoDefense、BitCrypt、Cryptorbit 和 Critroni。所有上述 CryptoWall 勒索软件都由木马程序分发，这些木马程序也可能发送网络钓鱼电子邮件和利用漏洞工具包。由于其效力，所有 Windows 版本（包括 Windows XP、Windows Vista、Windows 7 和 Windows 10）都可能感染勒索软件。

Ayushi Bhargava

更新于： 2022 年 8 月 5 日

233 次查看

启动您的 职业生涯

通过完成课程获得认证

开始