最佳答案:什么是勒索病毒?CryptoLocker通常会以电子邮件附件的型态,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行传送,或是经由僵尸网路发送。所附上的ZIP档案格式包含了一个可执行
什么是勒索病毒?
CryptoLocker通常会以电子邮件附件的型态,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行传送,或是经由僵尸网路发送。所附上的ZIP档案格式包含了一个可执行的档案,通常是使用伪装的PDF文件附档名与档案名称,利用
Windows系统当中的文件扩展名规则,掩饰真正的EXE副档名形式档案。部份情况下则会实际含有宙斯特洛伊木马病毒,以进行安装CryptoLocker。首次启动时,有效负载会以随机的名称,自行安装于我的文件,并于登录档登录一个编码,会导致于开机时启动。然后,该恶意软体会尝试连接被勒索者所控制的伺服器与指令,一旦成功连接,该伺服器就会产生一个2048位元的RSA加密金钥配对,并且送出公开金钥到被感染的电脑。该伺服器可能是一个本地代理伺服器或其他的代理伺服器,会频繁地在不同国家间进行重定位,增加追踪的困难度。
该有效负载会将整个硬碟与相连结的网路硬碟中的档案,利用公开金钥进行加密,并将档案加密的纪录送入一个登录码。这个过程中,仅会将特定附档名的资料档案进行加密,例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD档案。有效负载接者会显示一则讯息,告知用户档案已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2比特币,才能解开这些档案。付款动作必须在72至100小时内完成,否则私人金钥将会在伺服器端摧毁,并且「将永远没有人能打开这些档案。勒索付款后,会允许用户下载一个解密程式,然后预载用户的私人金钥。
由于勒索病毒几乎每天都在变种,所以并不是所有的勒索病毒防病毒软件可以即时查杀(即使病毒定义已经是最新)。目前为止,暂无有效的解决办法。
