数据加密以产生影响

对手可能会加密目标系统或网络中大量系统上的数据，以中断系统和网络资源的可用性。他们可以尝试通过加密本地和远程驱动器上的文件或数据并拒绝访问解密密钥来使存储的数据不可访问。这可能是为了从受害者那里提取货币补偿以换取解密或解密密钥（勒索软件），或者在未保存或传输密钥的情况下使数据永久不可访问。(引用: US-CERT Ransomware 2016)(引用: FireEye WannaCry 2017)(引用: US-CERT NotPetya 2017)(引用: US-CERT SamSam 2018) 在勒索软件的情况下，通常会加密常见的用户文件，如 Office 文档、PDF、图像、视频、音频、文本和源代码文件（通常重命名和/或标记为特定文件标记）。对手可能需要首先采用其他行为，例如文件和目录权限修改或系统关闭/重启，以解锁和/或获取访问权限来操作这些文件。(引用: CarbonBlack Conti July 2020) 在某些情况下，对手可能会加密关键系统文件、磁盘分区和 MBR。(引用: US-CERT NotPetya 2017) 为了最大限度地影响目标组织，设计用于加密数据的恶意软件可能具有类似蠕虫的功能，通过利用其他攻击技术（如有效账户、操作系统凭据转储 和 SMB/Windows 管理共享）在网络中传播。(引用: FireEye WannaCry 2017)(引用: US-CERT NotPetya 2017) 加密恶意软件还可能利用内部篡改，例如更改受害者的壁纸，或通过向连接的打印机发送勒索信或其他消息（称为“打印轰炸”）来恐吓受害者。(引用: NHS Digital Egregor Nov 2020) 在云环境中，受损账户内的存储对象也可能被加密。(引用: Rhino S3 Ransomware Part 1)