甚么是勒索软件？勒索软件是一种歹意软件，旨在谢绝用户或组织访问其计算机上的文件。通过加密这些文件并要求为解密密钥支付赎金，网络攻击者将组织置于支付赎金是重新访问其文件的最简单和最低价的方式的位置。一些变体增加了额外的功能——例如数据盗取——为勒索软件受害者支付赎金提供进一步的鼓励。

勒索软件已迅速成为最突出和最明显的歹意软件类型。最近的勒索软件攻击影响了医院提供关键服务的能力，削弱了城市的公共服务，并对各种组织造成了重大侵害。

勒索软件是如何工作的？为了成功，勒索软件需要访问目标系统，加密那里的文件，并向受害者索要赎金。虽然实行细节因勒索软件变体而异，但都同享相同的核心三个阶段：

步骤1、感染和传播媒介

与任何歹意软件一样，勒索软件可以通过量种不同方式访问组织的系统。但是，勒索软件运营商常常更喜欢一些特定的感染媒介。

其中之一是网络钓鱼电子邮件。歹意电子邮件可能包括指向托管歹意下载的网站的链接或具有内置下载器功能的附件。如果电子邮件收件人堕入网络钓鱼，则勒索软件将被下载并在其计算机上履行。

另外一种流行的勒索软件感染媒介利用远程桌面协议 (RDP) 等服务。使用 RDP，盗取或猜想员工登录凭据的攻击者可使用它们对企业网络中的计算机进行身份验证和远程访问。通过这类访问，攻击者可以直接下载歹意软件并在他们控制的机器上履行它。

其他人可能会尝试直接感染系统，例如WannaCry如何利用 EternalBlue 漏洞。大多数勒索软件变种都有多个感染媒介。

步骤2、数据加密

在勒索软件取得对系统的访问权后，它可以开始加密其文件。由于加密功能内置在操作系统中，这仅触及访问文件，使用攻击者控制的密钥对其进行加密，并用加密版本替换原始文件。大多数勒索软件变种在选择要加密的文件以确保系统稳定性时都非常谨慎。一些变体还将采取措施删除文件的备份和卷影副本，以使没有解密密钥的恢复更加困难。

步骤3、赎金要求

一旦文件加密完成，勒索软件就准备提出勒索要求。不同的勒索软件变体以多种方式实现这一点，但将显示背景更改成勒索说明或放置在包括勒索说明的每一个加密目录中的文本文件的情况其实不少见。通常，这些笔记需要一定数量的加密货币来换取对受害者文件的访问。如果支付了赎金，勒索软件运营商将提供用于保护对称加密密钥的私钥副本或对称加密密钥本身的副本。该信息可以输入到解密程序（也由网络犯法份子提供）中，该程序可使用它来反转加密并恢复对用户文件的访问。

虽然这三个核心步骤存在于所有勒索软件变体中，但不同的勒索软件可能包括不同的实现或附加步骤。例如，像Maze这样的勒索软件变种会在数据加密之前履行文件扫描、注册表信息和数据偷盗，而 WannaCry勒索软件会扫描其他易受攻击的装备以感染和加密。

以上是“甚么是勒索软件，它是如何工作的？”的介绍，希望能帮助到大家了解。