恶意软件的类型:了解如何更好地保护自己

在当今高度互联的世界，网络犯罪正在蓬勃发展，恶意软件是其最受欢迎的武器。

恶意软件有多种形式和不同的安全威胁级别。黑客利用它们拦截设备、泄露数据、摧毁整个企业、造成严重的金钱损失，甚至摧毁整个公司。

那么，恶意软件到底是什么，你如何对抗它？

在这本详尽的指南中，我们将解释所有关于恶意软件的知识，它的类型，如何检测和删除它，以及如何保护自己免受最恶毒的恶意软件的攻击。

什么是恶意软件？

恶意软件的工作原理

不同类型的恶意软件

如何检测恶意软件

如何摆脱恶意软件

如何保护自己免受恶意软件的攻击

什么是恶意软件？

恶意软件(Malware)是Malware的缩写，是任何未经授权破坏或访问其他用户设备、网站或网络的软件。主要用于数据泄露、身份窃取、间谍等险恶目的。

在1990年以色列拉达创造“恶意软件”这个术语之前，“计算机病毒”是一个更受欢迎的术语。它们通常伪装成干净无害的程序。

恶意软件可以破坏你的服务，删除你的文件，将你锁定在系统之外，窃取你最隐私和机密的信息，将你的设备变成僵尸，甚至破坏整个网络和网站。

网站恶意软件

鉴于网站、电子商务解决方案和网络应用的指数级增长，网络罪犯有无数机会实施他们的恶意计划并利用任何可能的漏洞。

浏览器的“此站点包含恶意软件”警告(图片来源:FixMyWP)

网站恶意软件专门攻击网站和服务器。它们通常被开发来绕过网站或服务器的安全防御——或通过不可信的第三方软件——并在不被发现的情况下获得未经授权的访问。网站恶意软件的例子包括DDoS攻击、恶意重定向和垃圾内容。

恶意软件的工作原理

网络罪犯使用不同的方式通过恶意软件渗透和破坏您的系统。那么怎么会被恶意软件感染呢？以下是一些常见的攻击。

1.社会工程

恶意软件通常通过社会工程攻击传播。社会工程描述了各种恶意网络攻击。攻击者主要依靠诱骗用户透露敏感信息或访问他们的设备。

谷歌的钓鱼警告标志(来源:FixMyWP)

网络钓鱼是网络罪犯用来传播恶意软件的最流行的社会工程攻击，通常是通过电子邮件。您知道92%的恶意软件是通过电子邮件传播的吗？

2.捆绑软件

当您使用其他第三方应用程序下载免费软件程序时，您可能会被恶意软件感染，其中一个程序可能包含恶意软件。许多人成为这种恶意软件攻击的受害者，因为他们忘记检查这些附加应用程序的安装。

3.点对点文件共享

对等(P2P)文件共享协议(如种子文件)是网络犯罪分子分发恶意软件的主要方法之一。攻击者可以通过P2P共享文件快速传播他们的恶意代码，从而感染尽可能多的网络和系统。

4.自由软件

因为得到免费的东西总是一个有吸引力的选择，它通常会付出很高的代价。从未知或不可信来源下载的免费软件通常会感染恶意软件，这可能会损坏您的系统并危及您的数据。

5.同种

同质化可能成为恶意软件攻击的诱饵。恶意软件可以通过连接到同一网络并运行同一操作系统的系统快速传播。如果一个设备被感染，很可能整个网络都受到威胁。

不同类型的恶意软件

了解你的敌人是非常重要的，知道如何摆脱恶意软件，保护你的电脑，网站或服务器。这些是你应该知道的最常见的恶意软件类型。

1.病毒

病毒是最明显和最常见的恶意软件类型。病毒可以自我复制，但它们也需要人类的行动来造成破坏。

病毒造成的损害包括破坏数据文件、关闭系统或窃取网络中的机密信息。病毒还可以发起其他网络攻击，比如DDoS攻击，甚至勒索病毒攻击。

受感染的文件、网站或应用程序必须正在运行，病毒才能被唤醒并开始运行。否则，它将保持休眠状态，直到受害用户运行它。大多数病毒会爬上来，隐藏在常见的文件扩展名，如。exe或。com。

如果有权访问仪表板的用户使用被感染的设备，甚至WordPress网站也可能被感染。

宏病毒

宏病毒针对的是软件而不是操作系统，其宏语言与目标感染软件相同(如MS Word、Excel)。因此，这类病毒可以感染任何操作系统，给你的组织带来严重的安全风险。

宏病毒可以通过网络钓鱼电子邮件、从受感染的网络下载、恶意P2P服务或受感染的便携式存储设备传播。

2.勒索软件

你可能听说过可怕的勒索软件攻击，威胁政府、个人和组织。但也许你并不确定勒索软件到底是什么，以及它是如何工作的。

简单来说，勒索软件会劫持目标受害者的设备或网站，拒绝他们访问他们的文件，直到他们支付赎金获得解密密钥(虽然即使你支付也不能保证)。

自2017年通过WannaCry加密蠕虫传播以来，勒索软件已经演变成不同的变种。我们来看一些勒索病毒变种的例子。

柳克

Ryuk是一个加密目标系统文件的勒索软件。这个勒索病毒变种针对的是使用微软操作系统的企业和组织，而不是个人。Ryuk之所以昂贵，是因为其背后的组织要求比特币等加密货币支付超过100万美元的赎金。

锁定位

BIT是勒索软件的ransom as a service (RaaS)变种，可以在被安全系统和IT团队检测到之前，对大型组织的数据进行攻击和快速加密。支付赎金后，洛克比特团伙与指挥袭击的成员分享收益。

锁的支持页面(来源:DFIR报告)

作为RaaS恶意软件，LockBit团伙通过附属服务提供恶意软件。一旦它感染了主机，它就会扫描网络。它可以使用与Windows系统相关的协议快速传播到其他设备，因此很难被识别为威胁。

WordPress勒索软件

顾名思义，WordPress勒索软件以WordPress网站为目标，并在索要赎金时通过这些网站传播。WordPress网站越大，对勒索软件网络罪犯的吸引力就越大。

最近，许多合法的WordPress网站被黑客攻击并注入了恶意代码，这些代码通过用核攻击工具包将访问者引导到恶意网站来传播TeslaCrypt勒索病毒。

3.沃尔姆斯

计算机蠕虫是一种令人讨厌的自包含类型的恶意软件，由于其快速传播能力，它是一个噩梦。第一个计算机蠕虫Morris worm是在1988年发现的，它通过利用电子邮件协议的漏洞来突出网络的弱点。

像病毒一样，蠕虫可以复制自己，但与病毒不同的是，蠕虫可以在网络上从一个设备传播到另一个设备，而无需任何人为干预、文件或主机程序，并造成严重破坏。

蠕虫占据整个系统并吞噬磁盘空空间/带宽/内存，修改或删除文件，将你锁定在文件夹之外，甚至安装其他恶意软件并窃取数据。网络攻击者通常会设计蠕虫来安装后门软件程序，从而访问受害者的设备(电脑、手机、平板电脑等)。).

蠕虫利用目标系统的漏洞，通过局域网(互联网)、电子邮件附件、即时消息、恶意链接、可移动存储驱动器、种子甚至文件共享平台，像野火一样从一个设备传播到另一个设备。

在过去的几十年里，蠕虫造成的损失是巨大的。例如，2004年，针对企业的MyDoom蠕虫造成了大约400亿美元的损失。2017年，臭名昭著的WannaCry蠕虫推出了勒索软件，目的是向被黑客攻击的用户文件索要赎金。

4.特洛伊木马

特洛伊木马，或简称特洛伊木马，是一种恶意软件程序，它伪装成合法软件，允许网络攻击者访问用户的系统。

这个词来自古希腊关于特洛伊木马作为入侵特洛伊的礼物的故事。木马容易编写和传播，很难防御。

特洛伊木马可以伪装成网站、媒体文件或任何吸引您注意力的软件程序，并安装在您的设备上。它甚至看起来像一个反病毒程序，警告你的设备已经被感染，并敦促你运行该程序来清理它。

特洛伊木马也可能以带有受感染链接的合法网站或电子邮件的形式出现。一些流行的特洛伊木马示例包括Magic Lantern、WARRIOR PRIDE、FinFisher、Beast、Tiny Banker、Zeus、Netbus、Beast和Shedun。

与计算机病毒不同，特洛伊木马不会自我复制。它的任务是为黑客和欺诈者打开一扇门，窃取您的信息，如密码、IP地址和银行详细信息。特洛伊恶意软件将潜伏在受感染的系统中，直到受害者执行它。

远程访问特洛伊木马

远程访问木马(RAT)是网络犯罪开发者发明的一种恶意工具，用于获得对受害者设备的完全访问和远程控制，如文件访问、网络远程访问和键盘鼠标控制。

RAT允许攻击者绕过常见的防火墙和认证系统，以静默方式浏览您设备上的文件和应用程序。

它们甚至可以感染整个网络，例如2015年在乌克兰发生的臭名昭著的攻击，网络犯罪分子使用RAT恶意软件切断了8万人的电源，并控制了基础设施。

5.Google loader

Gootloader是针对Google和WordPress用户的。它是Gootkit恶意软件家族的一员，这是一种复杂的银行恶意软件，可以从受害者的浏览器中窃取数据，并用于传播勒索软件等恶意代码。

论坛中的Gootloader示例(来源:Sophos)

Gootloader是一个基于JavaScript的恶意框架，主要用于分发Gootkit恶意软件。但是已经改进并扩展了有效载荷，覆盖Gootkit，进入基于NodeJS的恶意软件，导致SEO中毒。

新的Gootloader恶意软件可以欺骗谷歌将受感染(被黑客攻击)的网站视为可信网站，包括顶级的谷歌和WordPress网站。那么，这怎么可能呢？

Gootloader攻击者首先瞄准了许多网站，并在大约400台服务器的网络上维护它们。之后，他们改变这些网站的CMS，使用特定的SEO术语和策略出现在谷歌的热门搜索结果中，以吸引更多的受害者。

当涉及到WordPress网站时，Gootloader通过向网站页面的文件中注入代码行进行攻击。执行时，这几行代码会运行特定命令，强制被感染的网站下载大量以虚假内容为诱饵的页面。与此同时，攻击者实施了他的恶意计划——未被发现。

6.无文件恶意软件

如果说勒索软件不好，无文件恶意软件更不好。最近的研究表明，2020年最后一个季度，无文件恶意软件的比率增长了近900%！

顾名思义，无文件恶意软件是一种阴险的隐形攻击，它不需要存储在文件中，也不需要通过任何软件直接安装在设备上。相反，无文件恶意软件会在不引起注意的情况下，直接进入内存开始执行代码或提取数据，这使得即使是杀毒软件也很难跟踪和删除。

无文件恶意软件攻击通过社会工程方法瞄准受害者。我们来看以下几个主要方法。

网络钓鱼电子邮件和受感染的链接

当您点击垃圾邮件、恶意下载或受感染的网站时，您允许恶意软件加载到您设备的内存中，从而为攻击者通过脚本加载代码打开了大门，从而窃取您的敏感数据。

内存注入

这种类型的无文件恶意软件会远程感染受信任的操作系统软件，如Microsoft PowerShell和Windows Management Instrumentation(WMI)。比如紫狐就是一种内存代码注入恶意软件，通过注入恶意代码，在系统中传播的方式感染PowerShell。紫狐已经感染了至少30000个系统。

注册表操作

该恶意软件通过将恶意代码注入Windows注册表来工作。一个著名的例子是用于Windows系统的Kovtermalware。它通常不被检测到，因为它通过瞄准计算机的注册表存储其配置数据来逃避文件扫描。

间谍软件

间谍软件会在您不同意或不知情的情况下安装在您的计算机上。它访问浏览习惯，互联网活动，按键，个人识别码，密码，财务信息等等。不仅限于电脑。您使用的任何连接到互联网的设备都容易受到此类恶意软件的攻击，即使是智能手机。

然后，收集的信息会在您不同意或不知情的情况下转发给犯罪者，犯罪者可以使用这些信息或将其出售给第三方。间谍软件本身对你的电脑没有危害。然而，收集和窃取您的信息是首要问题。间谍软件的存在也表明你的设备安全的弱点。

间谍软件造成的损害范围很广，从向广告商出售您的信息这样简单的事情到完成身份盗窃。例如，间谍软件DarkHotel在连接到公共酒店的WiFi时，会以企业主和政府官员为目标。然后，网络罪犯利用它从这些目标的设备中获取敏感信息。

8.广告软件

广告软件与间谍软件略有相似之处，因为它也收集浏览活动等信息。然而，它不会跟踪击键，它的唯一目的是为您量身定制广告。然而，一些广告软件可能更具攻击性，甚至会改变您的浏览器设置、搜索引擎偏好等。

一些广告软件的入侵性较低，会在收集信息前征求您的许可。再次，一旦信息被收集，它可以在未经您同意的情况下出售给其他广告商。

9.恶意广告

恶意广告是指网络犯罪分子在合法广告中隐藏恶意软件。在这种情况下，攻击者会花钱在合法网站上添加广告。点击广告后，你要么被重定向到恶意网站，要么恶意软件会自动安装在你的电脑上。

在某些情况下，广告中嵌入的恶意软件可能会自动执行，你甚至不需要点击广告——这就是所谓的“传递下载”。

一些网络犯罪分子甚至可以渗透到负责向几个大型知名网站投放广告的合法和大型广告网络中。这让所有受害者都处于危险之中。

10.键盘记录器

键盘记录器是一种恶意软件，可以监控受感染用户的在线活动。然而，键盘记录器在某些情况下有合法的用途。例如，一些企业用它们来跟踪员工的活动，一些父母监控孩子的在线行为。

在其他情况下，网络罪犯使用键盘记录器来窃取密码、财务数据或敏感信息。网络罪犯利用网络钓鱼、社交工程或恶意下载将键盘记录程序引入您的系统。

键盘记录器的一个著名的例子是奥林匹克视觉，它是针对来自世界各地的商业行政人员。这些攻击被标记为商业邮件泄漏(BEC)。Olympic Vision依靠鱼叉式网络钓鱼和社会工程技术来访问其目标系统、窃取信息和监控商业交易。

11.机器人/僵尸网络

机器人是通常被远程控制的软件应用程序，可以根据命令执行任务。它们可以有合法的用途，比如索引搜索引擎。然而，它们也可以被恶意使用，以自我繁殖的恶意软件的形式连接回中央服务器。

僵尸程序通常大量运行，统称为僵尸网络或僵尸网络。这些用于发起大量远程控制攻击，如DDoS攻击。

例如，Mirai未来组合僵尸网络可以访问所有连接到互联网的设备，包括打印机、智能设备、DVR等。，方法是输入他们的默认用户名和密码。

12.Rootkit

Rootkit被认为是最危险的恶意软件之一，它是一种后门程序，允许网络罪犯获得完全访问和控制受感染的设备，包括管理权限。

然后，渗透者可以监控目标设备，改变其配置，窃取敏感数据，以及几乎任何其他事情。所有这些都是远程完成的。Rootkit通常被注入到应用程序、内核、管理程序或固件中。

Rootkit可以通过网络钓鱼、恶意附件、恶意下载和受威胁的共享驱动器传播。此外，rootkit可以隐藏其他恶意软件，如键盘记录器。

例如，一个名为Zacinlo的rootkit隐藏在一个假冒的VPN应用程序中，并在用户下载该应用程序时感染用户的系统。

13.SQL注入(SQLi)

SQL注入(SQLi)是最常见的数据库攻击之一，自1998年被发现以来，一直是开发人员严重关注的问题。

当攻击者利用应用程序代码中的漏洞，并将恶意SQL查询注入目标网站上的任何输入字段(如登录字段、联系表单、站点搜索栏和评论部分)时，就会发生SQL注入。

成功的SQLi攻击可让黑客访问敏感数据、恢复系统文件、对网站数据库执行管理任务以及修改数据库信息。他们甚至可以向操作系统的核心数据库发出并执行命令。

2018年，攻击者在Cisco Prime License Manager中发现了一个漏洞，该漏洞使他们能够通过shell访问许可证管理器的系统。其中一次广泛的SQL注入攻击是针对思科的。其他众所周知的SQL注入受害者是泰斯拉和堡垒之夜。

如何检测恶意软件

鉴于恶意软件类型和变种的广泛存在，以及恶意软件攻击日益增加的复杂性，检测它们从未如此困难，尤其是随着无文件恶意软件等特殊恶意威胁的增长。

然而，一些关键的警告信号可以告诉你的设备是否感染了恶意软件:

您的设备速度变慢、突然崩溃或频繁显示错误信息。

您不能删除特定的软件。

您的设备不会被关闭或重新启动。

发现您的设备正在发送一封不是您写的电子邮件。

程序会自动打开和关闭。

没有明显的原因，你的存储空不足。

您的默认浏览器和程序会不断变化，而无需您采取任何行动。

性能下降，而电池消耗增加。

你会在意想不到的地方看到很多弹窗和广告，比如政府网站。

您无法登录您的网站。

您注意到您没有对您的网站进行更改。

您的网站被重定向到另一个网站。

由于无文件恶意软件非常难以检测，您能做的最好的事情就是密切关注网络模式并分析易受攻击的应用程序。您还需要保持软件程序和浏览器的更新，并定期搜索任何钓鱼邮件。

如何摆脱恶意软件

如果你被恶意软件感染，请不要惊慌。有几个选项，您仍然可以保存您的设备或网站。请记住，不同类型的恶意软件需要不同的删除程序。

从设备中删除恶意软件。

如果您在您的计算机或移动设备上发现部分或全部上述恶意软件感染迹象，请首先确定恶意软件的类型，然后开始采取以下措施:

或特洛伊木马:如果您的设备感染了病毒或特洛伊木马，您需要安装可靠的防病毒或防恶意软件程序来执行深度扫描。定期更新防病毒软件很重要。部署强大的防火墙，点击电子邮件附件和网页链接时要小心。

蠕虫:虽然有害，但你可以像清除病毒一样清除计算机蠕虫。安装强大的反恶意软件软件，可以检测蠕虫，让它做所有的工作。如果你的浏览器被感染，请使用另一台电脑，安装反恶意软件，然后刻录到光盘上。

垃圾邮件:今天的电子邮件服务包括反垃圾邮件功能。但是，您仍然可以安装反垃圾邮件软件来帮助您摆脱垃圾邮件并保护您。

勒索软件:如果你的组织未能支付赎金，你需要为当局记录攻击的证据，然后立即断开受感染的设备。之后，如果还能访问，请创建系统备份，禁用任何系统清理或优化程序，保留勒索文件以供诊断。最后，开始使用强大的网络安全软件清除勒索软件，聘请网络安全专家指导你恢复文件的过程。

广告软件:您可以使用具有广告软件删除功能的反恶意软件程序来删除广告软件。确保禁用浏览器上的弹出窗口，并在默认情况下禁用其他软件的安装。

从WordPress网站移除恶意软件

虽然WordPress为成长中的企业带来了很多好处，但它仍然存在一些安全漏洞。如果你的WordPress网站被恶意软件感染，请按照我们推荐的步骤删除，就像一个熟练的网络管理员一样。

你可以利用许多WordPress安全插件来保护你的网站。

如何保护自己免受恶意软件的攻击

您现在可能已经意识到，恶意软件攻击是一件大事，学习如何保护自己免受攻击并避免被攻击感染对个人和企业都至关重要。

在大多数情况下，恶意软件感染需要您采取措施，例如下载恶意内容或单击受感染的链接。以下是您可以采取的主要预防措施，以避免受到不同类型的恶意软件的攻击。

1.安装反恶意软件或反病毒软件

在你的系统上安装强大的反恶意软件或反病毒软件并定期更新是非常重要的。经常运行扫描，尤其是深度扫描，以确保您的设备没有被感染。反恶意软件程序有不同的保护级别:

浏览器保护:一些网络浏览器(如谷歌浏览器)具有内置的反恶意软件保护，可以保护您免受不同的恶意软件威胁。你也可以安装你自己的来保护你的浏览器。

网络保护:如果您的组织中有计算机网络，安装网络级反恶意软件是保护连接设备免受网络流量恶意威胁的最佳选择。为此，特别推荐使用防火墙。

设备保护:这些工具有助于保护用户的设备免受恶意威胁。

服务器保护:如果您有一个大型组织，这种类型的反恶意软件可以保护您的服务器网络免受恶意网络攻击。

2.不要打开不可信来源的电子邮件

避免网络钓鱼从重要的一步开始:不要打开带有可疑附件的可疑邮件。

如果你不确定你是否能遵循这个规则，或者你不相信你的员工会遵循这个黄金建议，那么投资电子邮件安全工具。您可以使用反垃圾邮件工具和S/MIME证书来保护您的电子邮件通信。

AS/MIME certificate是一个基于PKI的工具，使您能够与其他S/MIME证书用户交换加密和数字签名的电子邮件。这样，您和您的收件人将知道这些电子邮件是安全和合法的。

3.当心恶意下载和弹出窗口

和可疑邮件一样，你一定要注意你下载了什么，从哪里下载的。点击链接从不受信任的来源下载应用程序或游戏会招致网络罪犯和恶意攻击。

弹出窗口也不例外。如前所述，网络犯罪分子利用操纵手段诱骗您点击受感染的链接。

4.执行网站和文件安全检查。

保护你的网站应该是你的首要任务。无论你的网站是小网站还是大网站，一定要定期检查，避免被任何一种恶意软件感染。

你也应该密切关注组成你的网站的文件。可靠且定期执行的文件完整性监控程序可以帮助您在潜在攻击被触发之前发现它们。

如果你的网站不安全，不仅可能被恶意软件感染，还可能引发对其他网站和用户设备的一系列恶意攻击。更重要的是，它会降低你在Google上的SEO排名。你最不想做的事情就是在互联网上发动恶意软件攻击的摊牌！

5.维护定期数据备份

备份个人或公司电脑上的数据是很重要的。尽管备份数据无法保护您免受恶意软件攻击，但如果您受到勒索软件或任何其他恶意威胁的感染，它将帮助您恢复数据。

要执行健康的数据备份，请保留多个数据副本。最好使用两种不同的媒体类型来存储您的数据文件，以防受到多次攻击。您甚至可以选择在安全的异地位置保存数据文件的副本。

总结

现在，您已经全面了解了不同类型的恶意软件以及如何应对它们，我们强烈建议您投资于可靠和值得信赖的数据安全措施。

我们还建议及时了解最新的网络安全风险，并定期更新您的系统和程序。