?譯者 | 陳峻

審校 | 孫淑娟

本文和你全面討論鎖屏類勒索軟件的基本特征、工作原理、以及如何有效地保護自己的計算機免受此類侵害。  

大多數人都聽說過勒索軟件，這類最具危險性的惡意軟件類型。它可以瞬間完全加密你設備上的數據，直至繳納贖金方可獲得解密。目前，勒索軟件有著包括：Cryptolocker、Locky和Petya等多種類型。近年來，隨著勒索軟件類型不斷上升，你是否遭受過鎖屏類勒索軟件的攻擊呢？

下面，我將和你全面討論鎖屏類勒索軟件的基本特征、工作原理、以及如何有效地保護自己的計算機免受此類侵害。

1、什么是鎖屏勒索軟件?

顧名思義，鎖屏類勒索軟件會在啟動時，直接接管或“凍結”你的屏幕，以阻止你對設備的后續訪問與使用。有時，它會顯示一條虛假的消息或警告，聲稱是來自FBI或DHS（United States Department of Homeland Security，美國國土安全部）等執法機構。當然，它也可能會捏造相關法律，聲稱用戶“涉嫌違法、需要繳納罰款，才能解鎖屏幕，實現必要的申辯”。簡而言之，這些都只是敲詐受害者、并從中騙取錢財的方式。此類勒索軟件往往攻擊的是安全措施薄弱、或易于繞過的操作系統。

2、鎖屏勒索軟件如何感染你的設備？

通常，鎖屏類勒索軟件可以通過多種方式去感染設備。最常見的便是通過惡意電子郵件附件的形式進行傳播。這些附件可以是文檔、圖像、甚至是鏈接的形式。一旦用戶打開了此類附件，惡意代碼便會傳入設備，伺機執行鎖屏、鎖文件等操作。

鎖屏類勒索軟件也可以通過針對各種安裝在設備上的應用、Web瀏覽器、甚至是操作系統的虛假更新，來感染設備。此外，它們還會通過惡意網站進行傳播。此類站點可能包含了各種漏洞利用工具包、惡意鏈接、以及偷渡式下載（drive-by downloads）。它們可以神不知鬼不覺地感染目標設備，而且很難被刪除或查殺。

3、鎖屏勒索軟件如何工作的？

如下圖所示，這是在設備感染了鎖屏勒索軟件后，最直觀的屏幕顯示。警告的內容通常會告知你需要支付一定的金額，才能解鎖屏幕。有時，除了勒索信息，它還會顯示一個倒計時的畫面。不過，經典的鎖屏勒索軟件并不鎖死設備上的文件，但是在某些情況下，勒索軟件也會加密你的文件，以索取更高的贖金。

4、如何識別鎖屏勒索軟件

在屏幕上看到勒索的界面時，請你不要慌張。讓我們試著從如下方面來進行進一步的確定：

請檢查你是否還能夠訪問到任務管理器。如果可以的話，則意味著勒索軟件尚未完全地接管你的系統。

請查看你是否可以在安全模式下重新啟動計算機。如果可以的話，則意味著勒索軟件尚未感染計算機的啟動過程。

請檢查你是否有最近的一次數據備份。如果你備份過，那么你至少可以格式化操作系統，并從備份中恢復自己的數據。

由于大多數勒索軟件的目標不只是本機，而是要傳播和感染更多的設備，因此你需要盡快斷開本機與網絡的連接。這將能夠防止勒索軟件傳播到連接在同一網絡的其他設備上。當然，如果有任何外接移動硬盤、或USB驅動器連接在你的計算機上，也請立即斷開它們。

5、如何刪除鎖屏勒索軟件

如果上面提到的重啟計算機有效的話，你應當立即使用反惡意軟件或防病毒程序，通過全面掃描的方式，從計算機上刪除任何惡意軟件。如果重啟無效的話，你需要使用帶有反惡意軟件程序的可啟動USB驅動器，來進行查殺。

總的說來，如果你可以重啟進入Windows的安全模式的話，那么刪除鎖屏勒索軟件相對比較容易。你只需在安全模式下，運行必要的Windows應用和服務，便可追查到罪魁禍首，并將其從設備中完全刪除。

當然，如果在安全模式下仍無法找到并刪除惡意軟件的話，你可以試著將系統恢復到未被感染之前的狀態。通常，Windows會自動創建系統的還原點。據此，你可以將系統切換回曾經的“干凈”狀態。

6、如何防止鎖屏勒索軟件的感染

常言道：“預防勝于治療。”而且，在勒索軟件攻擊的場景中，預防可能是唯一行之有效的治療方法。畢竟，一旦你的系統感染了勒索病毒，就很難實現“毫發無損”。而且，在大多數情況下，用戶要么不得不乖乖地交上贖金，要么選擇放棄被加密的文件系統。就預防而言，我們可以盡早采取如下措施，來免受勒索軟件的侵害：

（1）備份你的數據

作為最佳的預防方法，良好的備份系統能夠確保即使在系統受到感染時，你仍然可以從備份中恢復數據。為此，你必須定期將數據備份到外部硬盤或云服務處，然后及時中斷兩者之間的連接，以免備份設備與本機設備同時被感染。

（2）保持軟件為最新

你必須持續更新你的操作系統和所有已安裝的軟件。各種安全補丁不但有助于修復系統和應用層面的漏洞，而且能夠防止大多數勒索軟件的攻擊。

（3）使用良好的安全程序

良好的安全程序不僅有著實力雄厚的開發企業作為安全水平的加持，而且能夠及時地得到安全補丁的持續推送。這些都能夠有效地保護你的系統，免受任何惡意軟件的攻擊。

（4）不要下載可疑的文件

你不但應該只從受信任的來源去下載文件，而且請記住在打開已下載的文件之前，應使用良好的安全工具對其進行掃描。

（5）打開電子郵件和附件時要小心

如前所述，勒索軟件通常會通過電子郵件的附件進行傳播，因此請不要隨意打開來自陌生發件人的電子郵件附件。同樣，在打開附件之前，請確保使用良好的安全工具對其進行掃描。

（6）避免點擊可疑鏈接

正如你時常聽到的那樣，各種被安插在電子郵件、或在線平臺中的可疑鏈接，往往會將你重定向到易于傳播勒索軟件的惡意網站上。你在不確定某個鏈接時，可以請專業的安全人員來檢查。

（7）避免使用盜版軟件

常言道：天下沒有免費的午餐。當你仔細考慮那些免費讓你使用的盜版軟件提供者，是靠什么牟利時，可能就會自覺地去使用正版軟件，并購買其許可證了。

（8）保持防火墻開啟

顧名思義，主機版防火墻不但對內可以防止任何未經授權流量，去訪問你的系統；對外，它也能夠阻止將勒索軟件傳播到與該設備相連接的網絡之中。

7、小結

相比其他類型的勒索，雖然經典的鎖屏勒索軟件只是鎖定用戶的屏幕，并不加密所有的數據。但是誰又能保證攻擊者真的會按照套路來實施攻擊呢？因此，請參照上面提到的8項建議，保持你的計算機具有良好的安全態勢與數據備份。

原文鏈接：https://www.makeuseof.com/what-is-screen-locker-ransomware/

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。