聚焦勒索病毒攻击链，其典型攻击流程主要包括探测侦查、攻击入侵、病毒植入、实施勒索4个阶段。

1.探测侦察阶段

(1)收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式，收集攻击目标的网络信息、身份信息、主机信息、组织信息等，为实施针对性、定向化的勒索病毒攻击打下基础。

(2)发现攻击入口。攻击者通过漏洞扫描、网络嗅探等方式，发现攻击目标网络和系统存在的安全隐患，形成网络攻击的突破口。此外，参照勒索病毒典型传播方式，攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。

2.攻击入侵阶段

(1)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口，部署相应的网络攻击资源，如MetaSploit、CobaltStrike、RDP Over Tor等网络攻击工具。

(2)获取访问权限。采用合适的网络攻击工具，通过软件供应链攻击、远程桌面入侵等方式，获取攻击目标网络和系统的访问权限，并通过使用特权账户、修改域策略设置等方式提升自身权限，攻击入侵组织内部网络。

3.病毒植入阶段

(1)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒，并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能，确保勒索病毒成功植入并发挥作用。

(2)扩大感染范围。攻击者在已经入侵内部网络的情况下，通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动，或利用勒索病毒本身类蠕虫的功能，进一步扩大勒索病毒感染范围和攻击影响。

4.实施勒索阶段

(1)加密窃取数据。攻击者通过运行勒索病毒，加密图像 、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等，同时根据攻击目标类型，回传发现的敏感、重要的文件和数据，便于对攻击目标进行勒索。

(2)加载勒索信息。攻击者通过加载勒索信息，胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。

来源：http://www.ha.edu.cn/Ransomware/article.html?c=attackflows