浅谈勒索软件：为甚么传统防毒软件较难应付?

　   中了 Trojan.Randsom.C 的系统，在开机时会出现一个虚假的安全中心警告讯息，并已锁定用户的系统;在刚开始时，骇客会以一些虚假的安全资讯欺骗用户，但往后却直接以各家厂商公佈的漏洞作为内容，直接放到这个虚假的安全讯息中心之内以提高仿真度。

　　当然最后会要求用户付款，由专家替用户解决问题以解除封锁，都是与先前提及的差不多，可以说是万变不离其中。

　　直接勒索、无需理由

　　到了 2013 年，网络上便开始出现大家现时所见到的勒索软件。这些勒索软件设计十分精良，例如採用了多变码配合上使用 Bitcoin 作为付款的方式令人无法追查等，因此很多用户唯有乖乖付款;而如果本身有良好的习惯，懂得每天备份的话，则可以选择直接回復备份，这样便可不受勒索软件的威胁。

　　采用 Bitcoin 收款，根本没可能查询到收发双方是谁，因此 Bitcoin 在骇客界是十分受欢迎的。

　　为甚么防毒软件未能百分百防御?

　　现时防毒软件很多都是基于传统的方式进行防护，例如是通过 Sandbox 于虚拟环境之中执行恶意程式，并从中分析其执行的 Log，对比防毒软件的资料库，从而判断出该程式所执行的是否为恶意程式等等。

　　不过为甚么这些传统的防御方法都不能够比较准确的对付到勒索软件呢?其中最主要的塬因在于这些勒索软件在开发时采用了被称为变化码(Polymorphic code)的方式进行编程;再加上这些勒索软件都是用户亲自认可并执行的，因而令部份传统的防毒软件较难侦测到。

　　所谓的变化码，在恶意软件的应用之中主要是作为加密与解密之用。(注意这里指的加密解密并非勒索软件针对系统进行的档案加密，而是指恶意代码的加密与解密)，并可分为 6 种不同的演算法，包括有半变、定点变化、垃圾代码变化、演算法固定但指令却可变、演算法解密部份随时变化以及是加密与解密完全自动变化。

　　前四种的演算法由于始终有部份语法或设计上是不变的，因此传统的防毒软件是可通过最传统，增加病毒特徵码的方式轻易侦测到，但最后两种分别是演算法解密部份随时变化以及是加密与解密完全自动变化这两种编程方式，传统的防毒软件根本不能预防。

　　塬因可能大家都会估计得到，那就是因为最后两种方式根本没有固定的语法可以让防毒软件作为侦测的一种条件。

　　勒索软件主要两大类别

　　上述都提及了有关勒索软件的一些历史;然而勒索软件好像有很多款式，究竟它们又是如何区分呢?其实简单来说可分为两大类别。

本文地址：https://www.idcbest.com/idcnews/11000545.html