在当今高度互联的世界中，网络犯罪正在蓬勃发展，恶意软件是其最流行的武器。

恶意软件有多种形式并具有不同的安全威胁级别。黑客使用它们来拦截设备、数据泄露、摧毁整个企业、造成严重的金钱损失，甚至摧毁整个公司。

那么，究竟什么是恶意软件，你如何对抗它呢？

在这份详尽的指南中，我们将解释有关恶意软件的所有知识、其类型、如何检测和删除它，以及如何保护自己免受最恶毒的恶意软件攻击。

1. 什么是恶意软件？
2. 恶意软件的工作原理
3. 不同类型的恶意软件
4. 如何检测恶意软件
5. 如何摆脱恶意软件
6. 如何保护自己免受恶意软件的侵害

什么是恶意软件？

恶意软件是恶意软件的缩写，是任何破坏或未经授权访问其他用户的设备、网站或网络的软件，主要用于数据泄露、身份盗窃、间谍活动等险恶目的。

在Yisrael Rada于1990年创造“恶意软件”一词​​之前，“计算机病毒”是首选术语。它们经常被伪装成干净无害的程序。

恶意软件可以破坏您的服务、删除您的文件、将您锁定在系统之外、窃取您最私人和机密的信息、将您的设备变成僵尸，甚至破坏整个网络和网站。

网站恶意软件

鉴于网站、电子商务解决方案和Web应用程序的指数级增长，网络犯罪分子有无数机会实施他们的恶意计划并利用任何可能的漏洞。

浏览器的“此站点包含恶意软件”警告（图片来源：FixMyWP）

网站恶意软件专门攻击网站和服务器。它们通常被开发用于绕过网站或服务器的安全防御——或通过不受信任的第三方软件——并在不被发现的情况下获得未经授权的访问。网站恶意软件示例包括DDoS攻击、恶意重定向和垃圾邮件内容。

恶意软件的工作原理

网络犯罪分子使用不同的方式通过恶意软件渗透并破坏您的系统。那么你怎么会被恶意软件感染呢？以下是一些流行的攻击途径。

1. 社会工程学

恶意软件通常通过社会工程攻击传播。社会工程描述了各种各样的恶意网络攻击。攻击者主要依靠诱骗用户泄露敏感信息或访问他们的设备。

谷歌的网络钓鱼警告标志（图片来源：FixMyWP）

网络钓鱼是网络犯罪分子用来传播恶意软件的最流行的社会工程攻击——通常是通过电子邮件。您知道92%的恶意软件是通过电子邮件传递的吗？

2. 捆绑软件

当您下载带有其他第三方应用程序的免费软件程序时，您可能会被恶意软件感染，其中一个应用程序可能包含恶意软件。许多人成为这种恶意软件攻击的受害者，因为他们忘记取消选中这些附加应用程序的安装。

3. 点对点文件共享

点对点 (P2P) 文件共享协议（例如种子文件）是网络犯罪分子用来分发恶意软件的主要方法之一。攻击者可以通过P2P共享的文件快速传播他们的恶意代码，从而感染尽可能多的网络和系统。

4. 免费软件

因为获得免费的东西总是一个有吸引力的选择，它通常会付出高昂的代价。从未知或不受信任的来源下载的免费软件通常会感染恶意软件，这些恶意软件可能会损坏您的系统并危及您的数据。

5. 同质性

同质性可能会成为恶意软件攻击的诱饵。恶意软件可以通过连接到同一网络并运行同一操作系统的系统迅速传播。如果一台设备被感染，很可能整个网络都受到了威胁。

不同类型的恶意软件

了解您的敌人对于了解如何摆脱恶意软件并保护您的计算机、网站或服务器非常重要。这些是您应该了解的最常见的恶意软件类型。

1. 病毒

病毒是最明显和最常见的恶意软件类型。病毒可以自我复制，但它们也需要人类行动来造成损害。

病毒造成的损害包括破坏数据文件、关闭系统或窃取网络内的机密信息。病毒还可以发起其他网络攻击，例如DDoS攻击甚至勒索软件攻击。

受感染的文件、网站或应用程序必须正在运行，病毒才能唤醒并开始运行。否则，它将保持休眠状态，直到受害者用户运行它。大多数病毒会爬起来并隐藏在.exe或.com等常见文件扩展名中。

如果有权访问仪表盘的用户使用受感染的设备，甚至WordPress网站也可能被感染。

宏病毒

宏病毒以软件而不是操作系统为目标，其宏语言与其目标感染的软件（例如MS Word和Excel）相同。因此，这种类型的病毒可以感染任何操作系统，从而给您的组织带来严重的安全风险。

宏病毒可以通过网络钓鱼电子邮件、受感染网络的下载、恶意P2P服务或受感染的便携式存储设备进行传播。

2. 勒索软件

您可能听说过威胁政府、个人和组织的可怕勒索软件攻击。但也许您不确定勒索软件到底是什么以及它是如何工作的。

简单来说，勒索软件会劫持目标受害者的设备或网站，拒绝他们访问他们的文件，直到他们支付赎金以获得解密密钥（尽管即使您付费也不能保证）。

自2017年通过WannaCry加密蠕虫传播以来，勒索软件已演变成不同的变体。让我们看一些勒索软件变种的例子。

Ryuk

Ryuk是一种加密目标系统文件的勒索软件。这种勒索软件变种针对使用Microsoft操作系统的企业和组织，而不是个人。Ryuk价格昂贵，因为其背后的组织要求以比特币等加密货币支付超过100万美元的赎金。

LockBit

LockBit是勒索软件的赎金即服务 (RaaS) 变体，可在被安全系统和IT团队检测到之前攻击并快速加密大型组织的数据。支付赎金后，LockBit团伙将收益与指导攻击的会员分摊。

LockBit的支持页面（图片来源：DFIR报告）

作为RaaS恶意软件，LockBit团伙通过附属服务传递恶意软件。一旦它感染了一台主机，它就会扫描网络。它可以使用与Windows系统相关的协议快速传播到其他设备，因此很难被识别为威胁。

WordPress勒索软件

顾名思义，WordPress勒索软件以WordPress网站为目标，并在要求赎金的情况下通过它们传播。WordPress网站越大，它就越能吸引勒索软件网络犯罪分子。

最近，许多合法的WordPress网站被黑客入侵并注入了恶意代码，这些恶意代码通过将访问者引导到带有核攻击工具包的恶意网站来传播TeslaCrypt勒索软件。

3.蠕虫

计算机蠕虫是一种令人讨厌的、自包含类型的恶意软件，由于其快速传播能力，它是一场噩梦。第一个计算机蠕虫，莫里斯蠕虫，创建于1988年，旨在通过利用电子邮件协议漏洞来突出网络弱点。

与病毒一样，蠕虫可以自我复制，但与病毒不同的是，蠕虫不需要任何人为干预、文件或主机程序即可在网络上从一台设备传播到另一台设备并造成严重破坏。

蠕虫占据整个系统并吞噬磁盘空间/带宽/内存，修改或删除文件，将您锁定在文件夹之外，甚至安装其他恶意软件并窃取数据。网络攻击者通常会设计蠕虫来安装后门软件程序以访问受害者的设备（计算机、手机、平板电脑等）。

蠕虫利用目标系统的漏洞，通过LAN（互联网）、电子邮件附件、即时消息、恶意链接、可移动存储驱动器、种子，甚至文件共享平台，像野火一样从一台设备传播到另一台设备。

在过去的几十年里，蠕虫造成的损害是巨大的。例如，2004年针对企业的MyDoom蠕虫造成了大约400亿美元的损失。2017年，臭名昭著的WannaCry蠕虫启动了勒索软件，其目的是从被黑用户的文件中索取赎金。

4.特洛伊木马

特洛伊木马，或简称木马，是一种恶意软件程序，它伪装成合法软件，让网络攻击者访问用户的系统。

这个词来源于古希腊关于木马作为入侵特洛伊市的礼物的故事。特洛伊木马易于编写和传播，使其难以防御。

木马可以伪装成网站、媒体文件或任何吸引您注意的软件程序，将其安装在您的设备上。它甚至看起来像一个防病毒程序，警告您您的设备已被感染，并敦促您运行程序来清理它。

木马也可以作为合法网站或带有受感染链接的电子邮件出现。一些流行的特洛伊木马示例包括Magic Lantern、WARRIOR PRIDE、FinFisher、Beast、Tiny Banker、Zeus、Netbus、Beast和Shedun。

与计算机病毒不同，木马不会自我复制。它的任务是为黑客和诈骗者打开一扇门，以窃取您的信息，例如密码、IP地址和银行详细信息。木马恶意软件将潜伏在受感染的系统中，直到受害者执行它。

远程访问木马 (RAT)

远程访问木马 (RAT) 是网络犯罪开发人员发明的一种恶意工具，用于获得对受害者设备的完全访问和远程控制，例如文件访问、网络远程访问以及键盘和鼠标控制。

RAT允许攻击者绕过常见的防火墙和身份验证系统以静默浏览您设备的文件和应用程序。

它们甚至可以感染整个网络，例如2015年在乌克兰发生的臭名昭著的攻击，网络犯罪分子使用RAT恶意软件切断了80,000人的电源并控制了基础设施。

5. Gootloader

Gootloader针对Google和WordPress用户。它是Gootkit恶意软件家族的成员——一种复杂类型的银行恶意软件，可以从受害者的浏览器中窃取数据，并用于传播勒索软件等恶意代码。

论坛中的Gootloader示例（图片来源：Sophos）

Gootloader是一个基于JavaScript的恶意框架，主要用于分发Gootkit恶意软件。但是，它已经过改进并扩大了其有效负载，以覆盖Gootkit并进入基于NodeJS的恶意软件，从而导致SEO中毒。

新的Gootloader恶意软件可以欺骗Google将受感染（被黑）的网站视为可信网站，包括排名靠前的Google和WordPress网站。那么，这怎么可能呢？

Gootloader攻击者首先针对众多网站，并将它们维护在大约400台服务器的网络上。之后，他们更改了这些网站的CMS，以使用特定的SEO术语和策略出现在Google的热门搜索结果中，以吸引更多受害者。

当涉及到WordPress网站时，Gootloader通过将代码行注入网站页面的文件来进行攻击。在执行时，这些代码行会运行特定命令，以强制受感染的网站下载大量带有虚假内容的页面作为诱饵。同时，攻击者执行其恶意计划——未被发现。

6. 无文件恶意软件

如果勒索软件不好，无文件恶意软件就更糟了。最近的研究表明，无文件恶意软件的比率在2020年最后一个季度增长了近900%！

顾名思义，无文件恶意软件是一种险恶的隐身攻击，不需要存储在文件中或通过任何软件直接安装在设备上。相反，无文件恶意软件会直接进入内存并开始执行代码或提取数据而不会引起注意，这使得即使是防病毒软件也很难追踪和删除。

无文件恶意软件攻击通过社会工程方法以受害者为目标。让我们看看下面的那些主要方法。

网络钓鱼电子邮件和受感染的链接

当您点击垃圾邮件、恶意下载或受感染的网站时，您允许恶意软件加载到您设备的内存中，从而为攻击者打开一扇门，通过脚本加载代码，从而窃取您的敏感数据。

内存代码注入

这种类型的无文件恶意软件远程感染受信任的操作系统软件，例如Microsoft PowerShell和Windows Management Instrumentation (WMI)。例如，Purple Fox是一种内存代码注入恶意软件，它通过注入恶意代码在系统中传播来感染PowerShell。Purple Fox已经感染了至少30,000个系统。

注册表操作

该恶意软件通过将恶意代码注入Windows注册表来工作。一个著名的例子是针对Windows系统的Kovtermalware。它经常未被检测到，因为它通过瞄准计算机的注册表来存储其配置数据来逃避文件扫描。

7. 间谍软件

间谍软件会在您不同意或不知情的情况下安装在您的计算机上。它访问浏览习惯、互联网活动、击键、pin、密码、财务信息等等。它不仅限于计算机。您使用的任何连接到互联网的设备都容易受到此类恶意软件的攻击，甚至是智能手机。

收集到的信息随后会在未经您同意或不知情的情况下被转发给犯罪者，犯罪者可以使用或将其出售给第三方。间谍软件本身不会对您的计算机有害。但是，您的信息的收集和盗窃是首要问题。间谍软件的存在也表明您的设备安全存在弱点。

间谍软件造成的损害范围很广，从将您的信息出售给广告商这样简单的事情一直到完成身份盗窃。例如，间谍软件DarkHotel在连接到公共酒店WiFi时以企业主和政府官员为目标。然后，网络犯罪分子使用它从这些目标的设备中获取敏感信息。

8. 广告软件

广告软件与间谍软件略有相似，因为它也收集诸如浏览活动之类的信息。尽管如此，它并不会跟踪击键，它的唯一目的是为您量身定制广告。但是，某些广告软件可能更具攻击性，甚至会更改您的浏览器设置、搜索引擎偏好等。

一些广告软件侵入性较小，在收集信息之前会征得您的许可。再说一次，一旦收集到信息，以后可以在未经您同意的情况下将其出售给其他广告商。

9. 恶意广告

恶意广告是指网络犯罪分子将恶意软件隐藏在合法广告中。在这种情况下，攻击者会花钱在合法网站上添加广告。点击广告后，您要么被重定向到恶意网站，要么恶意软件会自动安装在您的计算机上。

在某些情况下，广告中嵌入的恶意软件可能会自动执行，您甚至无需点击广告——这被称为“路过式下载”。

一些网络犯罪分子甚至可以渗透到负责向几个大型知名网站投放广告的合法和大型广告网络。这使他们所有的受害者都处于危险之中。

10. 键盘记录器

键盘记录器是一种恶意软件，可监控受感染用户的在线活动。但是，键盘记录器在某些情况下具有合法用途。例如，一些企业使用它们来跟踪员工的活动，一些父母监控孩子的在线行为。

在其他情况下，网络犯罪分子使用键盘记录器来窃取密码、财务数据或敏感信息。网络犯罪分子使用网络钓鱼、社交工程或恶意下载将键盘记录器引入您的系统。

键盘记录器的一个著名例子是Olympic Vision，它针对来自世界各地的企业高管。这些攻击被标记为商业电子邮件泄露 (BEC)。Olympic Vision依靠鱼叉式网络钓鱼和社会工程技术来访问其目标系统、窃取信息和监视商业交易。

11. 机器人/僵尸网络

机器人是通常远程控制的软件应用程序，可以根据命令执行任务。它们可以有合法用途，例如索引搜索引擎。尽管如此，它们也可以通过连接回中央服务器的自倍增恶意软件的形式被恶意使用。

僵尸程序通常大量运行，统称为僵尸程序网络或僵尸网络。这些用于发起远程控制的大量攻击，例如DDoS攻击。

例如，Mirai僵尸网络可以通过输入设备的默认用户名和密码来访问所有连接到互联网的设备，包括打印机、智能设备、DVR等。

12. Rootkit

rootkit被认为是最危险的恶意软件之一——它是一个后门程序，允许网络犯罪分子获得完全访问权限并控制受感染的设备，包括管理权限。

然后，渗透者可以监视目标设备、更改其配置、窃取敏感数据以及几乎其他任何事情。所有这些都是远程完成的。Rootkit通常注入到应用程序、内核、管理程序或固件中。

Rootkit可以通过网络钓鱼、恶意附件、恶意下载和受到威胁的共享驱动器进行传播。此外，rootkit 可以隐藏其他恶意软件，例如键盘记录程序。

例如，一个名为Zacinlo的rootkit隐藏在一个虚假的VPN应用程序中，并在用户下载该应用程序时感染用户的系统。

13. SQL注入 (SQLi)

SQL注入(SQLi) 是最常见的数据库攻击之一，自1998年发现以来一直是开发人员严重关注的问题。

当攻击者利用应用程序代码中的漏洞并将恶意SQL查询注入到目标网站上的任何输入字段（例如登录字段、联系表单、站点搜索栏和评论部分）时，就会发生SQL注入。

成功的SQLi攻击使黑客能够访问敏感数据、恢复系统文件、在您的网站数据库上执行管理任务、修改数据库信息。他们甚至可以向操作系统的核心数据库发出和执行命令。

2018年，攻击者在Cisco Prime License Manager中发现了一个漏洞，该漏洞使他们能够通过shell访问许可证管理器的系统，其中一次广泛的SQL注入攻击针对的是Cisco。SQL注入的其他知名受害者是Tesla和Fortnite。

如何检测恶意软件

鉴于恶意软件类型和变体的广泛性，以及恶意软件攻击的日益复杂，检测它们从未如此困难，尤其是随着无文件恶意软件等特别恶意威胁的增长。

尽管如此，一些关键的警告标志可以判断您的设备是否感染了恶意软件：

• 您的设备速度变慢、突然崩溃或频繁显示错误消息。
• 您无法删除特定软件。
• 您的设备不会关闭或重新启动。
• 您发现您的设备正在发送不是您编写的电子邮件。
• 程序会自动打开和关闭。
• 没有明显原因，您的存储空间不足。
• 您的默认浏览器和程序会不断变化，无需您采取任何行动。
• 性能下降，而电池消耗增加。
• 您会在意想不到的地方看到很多弹出窗口和广告，例如在政府网站上。
• 您无法登录您的网站。
• 您注意到您没有对您的网站进行的更改。
• 您的网站重定向到另一个网站。

由于无文件恶意软件非常难以检测，因此您能做的最好的事情就是密切关注网络模式并分析易受感染的应用程序。您还需要使您的软件程序和浏览器保持最新，并定期搜索任何网络钓鱼电子邮件。

如何摆脱恶意软件

如果您被恶意软件感染，请务必不要惊慌。有几个选项您仍然可以保存您的设备或网站。请记住，不同类型的恶意软件需要不同的删除程序。

从设备中删除恶意软件

如果您发现您的计算机或移动设备出现上述部分或全部恶意软件感染迹象，请首先确定恶意软件的类型，然后开始采取以下措施：

• 病毒或木马：如果您的设备感染了病毒或木马，您需要安装可靠的防病毒或反恶意软件程序，以执行深度扫描。定期更新防病毒软件很重要。部署强大的防火墙并在单击电子邮件附件和Web链接时要小心。
• 蠕虫：尽管它具有危害性，但您可以像清除病毒一样清除计算机蠕虫。安装功能强大的反恶意软件，可以检测蠕虫并让它完成所有工作。如果您的浏览器被感染，请使用另一台计算机，安装反恶意软件，然后将其刻录到CD上。
• 垃圾邮件：如今的电子邮件服务包括反垃圾邮件功能。但是，您仍然可以安装反垃圾邮件软件来帮助您摆脱垃圾邮件并保护您。

勒索软件：如果您的组织没有支付赎金，您需要为当局记录攻击证据，然后立即断开受感染的设备。之后，如果您仍然可以访问，请创建系统备份，禁用任何系统清理或优化程序以保留勒索软件文件以进行诊断。最后，开始使用强大的网络安全软件删除勒索软件，并聘请网络安全专家指导您完成恢复文件的过程。

• 广告软件：可以使用具有广告软件删除功能的反恶意软件程序来清除广告软件。请务必禁用浏览器上的弹出窗口并默认禁用安装其他软件。

从WordPress网站中删除恶意软件

尽管WordPress为成长中的企业带来了很多好处，但它仍然存在一些安全漏洞。如果您的WordPress网站受到恶意软件感染，请按照我们推荐的步骤将其删除，就像熟练的网络管理员一样。

您可以利用很多WordPress安全插件来保护您的网站。

如何保护自己免受恶意软件的侵害

正如您现在可能已经意识到的那样，恶意软件攻击是一件大事，学习如何保护自己免受攻击并避免被它们感染对于个人和企业来说都是必不可少的。

在大多数情况下，恶意软件感染需要您采取行动，例如下载恶意内容或单击受感染的链接。以下是您可以采取的主要预防措施，以避免受到不同类型的恶意软件的攻击。

1.安装反恶意软件或防病毒软件

在您的系统上安装强大的反恶意软件或防病毒软件并定期更新非常重要。运行频繁的扫描，尤其是深度扫描，以确保您的设备没有受到感染。反恶意软件程序有不同的保护级别：

• 浏览器级保护：某些网络浏览器（例如Google Chrome）具有内置的反恶意软件保护功能，可保护您免受不同的恶意软件威胁。您也可以安装自己的以保护您的浏览器。
• 网络级保护：如果您在组织内拥有计算机网络，则安装网络级反恶意软件是保护连接设备免受来自网络流量的恶意威胁的最佳选择。为此特别推荐使用防火墙。
• 设备级保护：这些工具有助于保护用户的设备免受恶意威胁。
• 服务器级保护：如果您有一个大型组织，这种类型的反恶意软件可以保护您的服务器网络免受恶意网络攻击。

2. 不要打开来自不受信任来源的电子邮件

避免网络钓鱼从一个重要步骤开始：不要打开带有可疑附件的可疑电子邮件。

如果您不确定是否可以遵守此规则，或者您不相信您的员工会遵循此黄金建议，那么请投资电子邮件安全工具。您可以使用反垃圾邮件工具和S/MIME证书来保护您的电子邮件通信。

AS/MIME证书是一种基于PKI的工具，使您能够与其他S/MIME证书用户交换加密和数字签名的电子邮件。这样，您和您的收件人就会知道这些电子邮件是安全且合法的。

3.提防恶意下载和弹出窗口

与可疑电子邮件一样，必须注意您下载的内容以及从何处下载。单击链接以从不受信任的来源下载应用程序或游戏是对网络犯罪分子和恶意攻击的邀请。

弹出窗口也不例外。如前所述，网络犯罪分子使用操纵方式诱骗您点击受感染的链接。

4. 执行网站和文件安全检查

保护您的网站应该是您的首要任务。无论您的网站是小型网站还是大型网站，都必须定期进行网站安全检查，以免被任何类型的恶意软件感染。

您还应该密切关注构成您网站的各个文件。可靠且定期执行的文件完整性监控程序可以帮助您在潜在攻击被触发之前发现它们。

如果您的网站不安全，它不仅可能被恶意软件感染，还可能引发对其他网站和用户设备的一系列恶意攻击。更重要的是，它会降低您在Google上的SEO排名。您最不想做的就是在互联网上展开恶意软件攻击摊牌！

5. 维护定期数据备份

备份个人或公司计算机上的数据至关重要。即使备份数据不会保护您免受恶意软件攻击，但如果您受到勒索软件或任何其他恶意威胁的感染，它将帮助您恢复数据。

要执行健康的数据备份，请保留一份以上的数据副本。最好使用两种不同的媒体类型来存储您的数据文件，以防发生不止一种攻击。您甚至可以选择将一份数据文件副本保存在安全的异地位置。

小结

既然您已经全面了解了不同类型的恶意软件以及如何对抗它们，我们强烈建议您投资于可靠且值得信赖的数据安全措施。

我们还建议及时了解最新的网络安全风险并定期更新您的系统和程序。