勒索軟件慣用傳播途徑有哪些

勒索軟件慣用傳播途徑有以下這些：

• 郵件傳播侵入：一般為垃圾郵件、釣魚郵件與魚叉式釣魚郵件，邏輯是通過郵件中的時事熱點信息或與受害者相關的內容（包括標題），誘使用戶點擊或運行內嵌了勒索軟件的附件（格式多為Word文檔、Excel表格、JavaScript腳本或exe文件等），或打開郵件正文中的惡意鏈接。用戶一旦進行相關操作，勒索軟件將會自動下載和運行。垃圾郵件在非定向勒索攻擊中較為常見，以“廣撒網”的方式進行傳播，郵件內容一般為時事熱點、廣告、促銷信息或偽裝成打招呼郵件。

• 系統或軟件漏洞：攻擊者利用各類系統或軟件漏洞（包括已公開且已發布補丁的漏洞）組合，或通過黑色產業鏈中的漏洞利用套件（如：Exploit Kit）來傳播勒索軟件。由于未能及時修補漏洞，因此用戶即便沒有不安全用網行為，也可能遭到攻擊者侵入；同時，攻擊者還會掃描同一網絡中存在漏洞的其他設備，以擴大威脅攻擊范圍。

• 弱口令暴力破解：由于部分服務器會使用弱口令（可簡單理解為復雜度較低的密碼）遠程登錄，攻擊者便利用這一弱點實施暴力破解，實現遠程登陸并手動下載運行勒索軟件。譬如：通過弱口令嘗試暴力破解RDP端口、SSH端口和數據庫端口等。即使服務器安裝了安全軟件，攻擊者也可手動將其退出。該手段具有較高的隱蔽性、機動性，因此極難被安全軟件發現。

• 僵尸網絡：僵尸網絡是指：采用一種或多種傳播方式，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

• 惡意廣告鏈接：攻擊者會向網頁代理投放廣告（彈窗廣告、懸浮窗廣告等），并在其中植入跳轉鏈接，從而避開針對廣告系統的安全機制，誘導用戶點擊廣告、訪問網站并觸發惡意代碼，進而下載勒索軟件并執行。有些攻擊者則會選擇直接攻擊網站，并植入惡意代碼，用戶一旦訪問就會感染。也有一些攻擊者會自主搭建包含惡意代碼的網站，或者仿造制作與知名站點相似的“假網站”，以此來誘騙用戶訪問。

• 軟件供應鏈：軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系，在合法軟件正常傳播、安裝和升級過程中，通過軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統安全產品檢查達到傳播侵入的攻擊類型。

• 移動存儲介質：攻擊者通過隱藏U盤、移動硬盤等移動存儲介質中的原有文件，創建與移動存儲介質盤符、圖標等相同的快捷方式并植入病毒，一旦用戶點擊就會運行勒索軟件，或運行專門用于收集和回傳設備信息的木馬程序，便于未來實施針對性的勒索軟件攻擊行為。由于PE類文件（常見后綴為exe、dll、ocx、sys、com的都是PE文件）被感染后具有了感染其他文件的能力，如果此文件被用戶攜帶（U盤、移動硬盤、網絡上傳等）到別的設備上運行，就會使得其他設備的文件也被全部感染。許多內網隔離環境，就是被藏在移動存儲介質里的惡意軟件感染的。

• 水坑攻擊：攻擊者在受害者必經之路設置了一個“水坑（陷阱）”，致使受害者上當。譬如：攻擊者會分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。

加強操作系統預防勒索軟件的方法有以下這些：

• 端口和進程：網絡操作系統使用進程向外提供服務，減少無用軟件及服務的任務就是要在所有系統進程中找出多余進程。由于進程通過打開網絡端口向外提供服務，所以找出多余進程的最快方法是觀察進程及端口對應表。Netstat命令顯示協議統計和當前的TCP/IP網絡連接，該命令只有在安裝了TCP/IP協議后才可以使用。通過使用該命令可以列出一個系統上所有打開的TCP/IP網絡監聽端口。這些打開著的端口正是入侵者所要攻擊的，因為它們通向系統平臺內部。因此，作為平臺加固的一部分，用戶使用Netstat命令來識別出無關端口，并由此找到需要刪除或禁用的服務。

• 安裝系統補丁：所有軟件都有缺陷。為了修復這些錯誤，供應商會發布軟件補丁。如果沒有這些補丁，組織很容易遭受攻擊。在有很嚴格的更改控制策略的組織中，及時安裝補丁會是一個問題。對補丁的徹底測試是這個過程的關鍵部分，因為供應商在解決舊問題時，有可能會引入新的問題。而對于和安全缺陷無關的補丁來說沒有問題。但是，入侵者搜索和利用安全弱點的速度很快，所以要求有更快的安全補丁修正過程。企業必須注意安全補丁的發布，并隨時準備快速地使用它們。

• 用戶賬戶：用戶賬戶標識了需要訪問平臺資源的實體（無論是應用程序進程還是人）。操作系統通過權限和優先權將用戶賬戶與其訪問控制系統相關聯。因為用戶賬戶是合法進入系統的機制，所以入侵者常常試圖利用用戶賬戶管理和訪問控制中的缺陷。如果可以作為合法用戶輕松地登錄系統，那么為什么還要浪費時間去做自定義緩沖器溢出攻擊呢？用戶賬戶管理的弱點有5個方面：弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶，以及廢棄賬戶。在任何情況下，平臺加固的目標是將用戶賬戶數目減少到所需的絕對最小值。

• 用戶特權：為每一個用戶指派通常只能作為超級用戶運行的特定的應用程序和功能，而不是真正地使用超級用戶賬戶。也可以啟用詳細的日志記錄，使得可以根據任何運行于超級用戶功能追蹤到某個特定的用戶。在特定的應用中，意味著沒有人使用過超級用戶賬戶。

• 文件系統安全：通過在程序文件上設置SUID標志，某一個進程可以臨時提升其特權用以完成某項任務（例如，訪問文件passwd）。當程序執行時，可以暫時得到這些額外的特權而不用被全授予如此高的特權。這個SUID標志常常過度使用，當它與被黑客修改過的軟件包結合時，被修改的程序執行后會使某個用戶得到全時提升的系統權利。UNIX系統可能有很多帶有這個標志的組件，但是通常只需要它們中的一小部分。建議使用命令從整個系統中刪除不需要SUID標志程序的SUID標志。

• 遠程訪問的安全：Telnet和rlogin是UNIX系統上最常用的遠程訪問方式。這些系統都不采用加密技術來保護遠程訪問會話。一種被動的網絡監聽攻擊可以看到用戶在進入Telnet或者rlogin會話中按下的每一個鍵。安全Shell（SSH）是一種在UNIX及Window系統上使用的軟件包，它提供與Telnet和rlogin相同功能，但增加了加密會話功能。這個軟件包已經成為用加密和訪問控制的各種可配置級別進行安全遠程訪問的行業標準。

回答所涉及的環境：聯想天逸510S、Windows 10。