首先需要明确的是，勒索软件是一种典型的恶意代码，当电脑被感染了这种恶意代码之后，电脑中的某些文件被加密处理，比如Office文档、图片、视频文件等，造成使用者无法访问这些文件。由于勒索软件是通过对文件进行加密达到勒索金钱的目的，因此又称为加密勒索软件。

　　在上图中，一种名为CryptolLocker的勒索软件某些权威，已经将电脑上的文件完成了加密，并提醒受害者，唯一的解密方式，就是通过付费来获取解密的密钥，而且必须在规定时间付费，否则将销毁密钥。

　　勒索软件作为恶意代码的一种类型，已经存在很多年了，恶意代码通常是在系统后台偷偷地运行，比如窃取数据或者进行远程控制，使用者很难发觉，也没有发生明显的后果，很多时候都不去理睬。然而，勒索软件的出现，直接造成了文件被加密，无法访问和使用，受害者遇到了这种情况，必须想办法来解决。

　　加密勒索软件如何工作

　　加密勒索软件的传播有多种方式，最常见的是利用了社会工程的攻击方法，即通过钓鱼邮件包含恶意代码，或者利用网站的钓鱼链接，那么当用户点击了邮件包含的恶意代码，或者钓鱼链接后，恶意代码利用电脑系统本身存在的漏洞，侵入系统，并在后台开始运行。我们通过下面的示意图，简单描述了勒索软件的传播过程。

　　1. 攻击者利用社会工程的方法，含有勒索软件或钓鱼链接的邮件发送到用户的邮箱，或者在某些网站通过挂马的方式，诱骗用户点击。

　　2. 用户运行恶意文件或点击钓鱼链接后，勒索程序将利用终端系统存在的漏洞，在终端安装并运行，并且有可能向C&C主机发起连接请求。

　　3. 恶意程序连接到C&C主机后，基于受害者终端的特定信息生成RSA密钥对，并将RSA公钥下载到终端上。

　　4. 勒索软件在后台检索文件，同时生成一个AES密钥，对检索到的文件进行加密处理；加密完成后，用RSA的公钥再将AES密钥进行加密，并保存到文件中。

　　5. 攻击者发出勒索信息，以各种方式通知用户支付赎金。

　　勒索软件在对文件进行查找和加密进行过程中，用户往往没有感知，只有当文件无法访问后才发现，很多文件已经被加密，已经无法访问了。通常攻击者会通过邮件或者替换墙纸的方式，通知受害者来支付赎金。

　　值得一提，有些攻击者还提供了加密原理的知识介绍，告知受害者，如果文件被加密后，唯一的解决方式，就是要拿到密钥才能解密，通过这种方式去促使受害者尽快支付赎金，才可以拿到密钥来解密文件。

　　加密勒索软件演变

　　勒索软件的历史，最早可以追溯到1989年，当时出现了一种被称为PCCyborg的恶意代码，对电脑的文件名称或文件夹进行加密，或者隐藏文件夹，造成用户无法访问文件，必须支付189美元的赎金后，才能够被解密。

　　我们看到，随着时间推移，atv直播，各种各样的加密勒索软件不断出现，就如最新的WannaCry及其变种，伴随着勒索软件防御技术的发展，攻击者从加密技术到勒索金钱的支付方式，也在不断开发更加复杂的勒索软件。

　　加密勒索软件使用的加密方式，从最初的对称加密方式，发展到非对称加密，现在更多的采取了混合加密的方式，并且加密强度也越来越高。例如，2013年出现的Cryptolocker，2016年出现的Locky都采用了混合加密的方式，密钥长度达到了2048位。从加密原理来讲，除非拿到密钥，否则无法实现解密。

　　为了逃避追踪，攻击者从2008年开始采用数字货币的方式来索取赎金，比如比特币，这样做的目的，就是利用比特币难以追溯的特性，逃避执法部门的追踪，而且比特币方便支付，便于受害者快速支付赎金。

　　加密勒索软件的攻击对象也在发生变化，从原来的以个人为攻击目标，开始逐渐转向企业。攻击者这样做的目的是，由于企业的数据的重要性，一旦被加密成功，企业迫于自身业务运营的压力，通常会更快的支付勒索金钱，而且数额也更大。根据公开报道，在北美地区有学校、医院等机构感染了勒索软件后，迫于业务运营的压力，不得不支付了数万美元的勒索金。