Page Shape Page Shape Page Shape Page Shape Page Shape

如何识别垃圾邮件中的 ZIP 炸弹附件?

无论您是在网上正式工作还是获取个人信息,都需要保护数据免受网络攻击。通过电子邮件发送病毒和 Zip 炸弹一直是骗子们的最爱。

Zip 炸弹又称死亡 Zip 或解压炸弹。这些归档文件只有几千字节,看似功能正常,但随后会攻击系统并使设备瘫痪。它们通常通过电子邮件附件传播。 

因此,有必要检查垃圾邮件并排除任何相关的 Zip Bombs。本文将帮助你发现垃圾邮件中不需要的 Zip Bombs,以防止设备崩溃并增强 电子邮件安全.

什么是拉链炸弹?

压缩炸弹

Zip Bombs 是一种恶意压缩文件,打开后会干扰设备的正常运行。它们通常也被称为 "死亡压缩文件(ZOD)"和 "解压炸弹"。这些文件在网上随处可见,黑客通常通过电子邮件分发这些文件。

起初,Zip Bombs 可能看起来是无害的 .zip 文件,但是,一旦解压缩,它们就会给硬盘驱动器带来过多的负载,使设备无法处理,从而导致设备崩溃。Zip 炸弹也被称为解压炸弹,因为它们通常看起来只有几个字节的数据。但它们包含的数据集要大得多,有可能导致硬盘崩溃。

Zip 炸弹附件如何工作?

Zip Bombs 通过将少量数据压缩到一个很小的压缩文件中来破坏压缩算法。当这些数据被解压缩时,会扩展到数千个字节。这种指数级的数据可增长到千兆字节或千字节,给硬盘造成巨大负担。

递归压缩炸弹

递归压缩炸弹是一种恶意文件,其中许多压缩文件层层相连。它的工作原理是激活文件链。这会创建嵌套层,也称为 zip quines。每当一个人试图解压缩一个递归的 zip 炸弹时,计算机就会被许多层文件淹没。这会导致应用程序或有时计算机崩溃。

非递归拉链炸弹

与递归压缩炸弹不同,非递归压缩炸弹可以重叠文件,将更多数据压缩到单层中。这意味着,压缩炸弹不是逐层解压缩,而是一次性解压缩并充分发挥其潜力!这使它们成为破坏性更强、威力更大的压缩炸弹攻击。 

识别垃圾邮件中的压缩炸弹

为保护系统,应检测垃圾邮件中的压缩炸弹附件。以下是识别垃圾邮件文件夹中恶意文件的两种方法。

基于行为的检测

在解压缩时,你应该注意文件的行为。带有压缩炸弹的文件经常会导致异常活动。这些文件即使看起来很小,也可能会占用计算机的大量内存空间,或者在解压缩时占用大量计算机资源。

为了防止压缩炸弹造成危害,一些更新的软件和系统会注意到这些异常模式。因此,系统可在造成任何危害之前采取行动。

实施机器学习和人工智能技术

机器学习和人工智能还能帮助检测系统中不需要的文件。人工智能模型可以在大量数据集上进行训练,以发现垃圾邮件中的压缩炸弹所造成的威胁。利用机器学习,很容易检测到压缩炸弹附件并对其进行分类,从而防范威胁。

识别压缩炸弹附件

以下是一些检测垃圾邮件中 Zip Bomb 附件的方法 垃圾邮件.

压缩包中常用的文件类型

虽然没有特定的文件大小与 Zip 炸弹相关联,但作为解压炸弹发送的大多数文档和文件都使用几千兆字节。当发现这些文件时,它们可能会显得太小。因此,在解压缩之前,一定要注意任何没有显示正确文件大小的文件。 

  • 以 zip 炸弹附件形式发送的视频通常具有 4K 分辨率,即使下载时间只有几分钟,也会占用大量下载数据。
  • 图片通常是单张高分辨率照片。它们看起来可以小到 2 兆字节,也可以大到 40 兆字节。
  • Zip 炸弹 PDF 附件大多为 10 千字节。不过,根据页面和格式的不同,其大小也有很大差异。

杀毒软件和反恶意软件

各种杀毒软件可以很好地检测出任何异常的电子邮件附件,并阻止它们导致系统崩溃。在解压缩之前,可以使用诺顿 360、卡巴斯基和 Quickheal Security 软件扫描文件。它们是分析文件结构、压缩工具和恶意存档的强大工具。可靠、真实的反恶意软件会密切关注电子邮件中可能附带的恶意软件。

压缩比

要识别非递归 Zip 炸弹,识别压缩率很有帮助。这类 Zip Bombs 使用较高的数据压缩比率。通常是 1032 比 1。除此之外,许多 Zip 炸弹会对所有文件使用一个内核,从而达到数百万比一的压缩比。内核指的是一个文件的压缩内容。

防范 Zip 炸弹攻击的最佳做法

通过正确的步骤保持电子邮件安全是非常重要的。以下是防止收件箱中出现恶意软件和 Zip Bomb 附件文件的方法。

使用电子邮件过滤器

压缩炸弹

许多真实的电子邮件提供商都提供强大的安全功能。这些功能包括各种过滤器,可分析收到的电子邮件并检测潜在威胁,如 欺骗.这些过滤器可以检测邮箱中任何不需要的文件,通常是垃圾邮件文件夹中的文件。它们甚至可以评估诈骗附件的压缩率,并将其标记为高风险附件。

使用安全的应用程序打开文件

使用受保护的沙盒环境解压文件。这种方法需要采取一些技术步骤。在设备上运行文件之前,您可以在沙箱中对其进行测试。这将文件与实际设备隔离开来。这样就可以在主设备上打开文件之前帮助检测恶意软件。

使用电子邮件验证协议

一些公认的电子邮件验证协议,如 SPF、DKIM 和 DMARC等一些公认的电子邮件验证协议可以很好地保护从您自己的域发送的电子邮件免受欺骗和冒充。从您被欺骗的域发送的网络钓鱼电子邮件也可能包含 Zip Bomb 附件。这可能会造成巨大的业务中断并毁坏您的声誉。

DMARC 可让您采取基于策略的决策,处理 SPF 或 DKIM 检查失败的电子邮件。它可以执行严格的策略和对齐检查,以阻止恶意电子邮件附件。

总结

识别垃圾邮件中的压缩炸弹附件对于保护您的资产免受恶意威胁至关重要。保持警惕并识别各种迹象,如文件大小异常、可疑发件人和意外附件,就能避免这些有害文件可能造成的潜在损害。 

请记住始终使用最新的安全软件,并了解常见的网络钓鱼策略。这样做不仅能保护您的个人数据,还能为建立一个更安全的网络社区做出贡献。保持谨慎,掌握信息,确保数字世界的安全。

最新博客