計(jì)算機(jī)勒索病毒及防治策略探討

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)勒索病毒及防治策略探討范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要:近年來(lái)，計(jì)算機(jī)勒索病毒全球肆虐，對(duì)政企和個(gè)人用戶數(shù)據(jù)進(jìn)行加密勒索，造成巨大損失，隨著數(shù)字貨幣的隱蔽交易和加密技術(shù)的不斷提高，勒索病毒蔓延網(wǎng)絡(luò)，對(duì)計(jì)算機(jī)安全防護(hù)形成巨大的威脅。從勒索病毒分類、攻擊過(guò)程出發(fā)，提出了防治和應(yīng)對(duì)策略，對(duì)反勒索病毒具有指導(dǎo)的現(xiàn)實(shí)意義。

關(guān)鍵詞:病毒;比特幣病毒;勒索病毒;計(jì)算機(jī)安全

引言

近年來(lái)，黑客通過(guò)病毒加密數(shù)據(jù)來(lái)勒索用戶獲取巨額非法收入，稱為勒索病毒或者贖金木馬。2017年，全球上百個(gè)國(guó)家和地區(qū)都遭受“WannaCry”的勒索病毒，勒索病毒被普通用戶所廣泛了解，該病毒利用NSA泄露出來(lái)的系統(tǒng)危險(xiǎn)漏洞“Eter-nalBlue”(永恒之藍(lán)色)［1］，因此又被稱為“永恒之藍(lán)”病毒。計(jì)算機(jī)用戶中病毒后，用戶主機(jī)上的各種文檔、照片、音視頻文件、應(yīng)用程序或源代碼通過(guò)非對(duì)稱多種算法進(jìn)行加密，并且以文件后綴被改寫(xiě)為“．WNCRY”，用戶只能在限定時(shí)間內(nèi)交付比特幣贖金才可以得到解密工具。如何有效防治勒索病毒，已經(jīng)成為目前亟待解決的重要問(wèn)題。

1勒索病毒簡(jiǎn)介

勒索病毒是自2016年廣泛爆發(fā)以來(lái)，病毒制作者不再以掛馬破壞計(jì)算機(jī)系統(tǒng)或文件為技術(shù)展示，而是以加密用戶文件為由勒索金錢(qián)進(jìn)行網(wǎng)絡(luò)非法犯罪，隨著數(shù)字貨幣的隱匿性交易以及計(jì)算機(jī)加密算法的演進(jìn)愈演愈烈，其已成為政企用戶電腦最大的安全威脅之一［2］。勒索病毒一般通過(guò)網(wǎng)頁(yè)掛馬、垃圾郵件，以及偽裝非正版軟件的破解文件等形式進(jìn)行網(wǎng)絡(luò)傳播，一旦入侵電腦，就會(huì)有選擇地遍歷用戶文件夾下文件，進(jìn)行相應(yīng)算法加密，使用戶無(wú)法正常讀取文件，必須支付贖金才能拿到解密工具。比如引發(fā)廣泛討論的2017年“永恒之藍(lán)”漏洞“WannaCry”病毒及其變種，2018年Satan病毒及其變種，2019年盛行的Gan-dCrab家族病毒以及Stop家族及其變種［3］，以及2020年新型勒索病毒W(wǎng)annaRen，都具有快速傳播性和高危害性。

2勒索病毒分析

2.1勒索病毒分類

勒索病毒種類多、變種速度快。勒索病毒從攻擊手段層面講分為誘導(dǎo)勒索型和主動(dòng)攻擊型。誘導(dǎo)攻擊型是通過(guò)偽裝成程序更新文件或者破解文件來(lái)誘使用戶下載并安裝，進(jìn)而啟動(dòng)病毒程序進(jìn)行攻擊，比如常見(jiàn)的GandCrab和Stop家族等;主動(dòng)攻擊型是指黑客通過(guò)操作系統(tǒng)漏洞直接入侵用戶主機(jī)或者RDP爆破植入勒索病毒，比如WannaCry，Santa病毒及其變種等。從攻擊后主機(jī)表現(xiàn)來(lái)看，一般分為鎖屏不加密文件型、鎖屏加密文件型以及蠕蟲(chóng)傳播型［4］，鎖屏不加密文件類型危害低已不常見(jiàn);鎖屏加密文件最為嚴(yán)重，采用的高強(qiáng)度加密算法除非拿到私鑰，否則無(wú)解;蠕蟲(chóng)傳播型是只加密用戶重要文件，不鎖屏亦不破壞用戶操作系統(tǒng)正常運(yùn)行，此類勒索病毒是最為常見(jiàn)的勒索病毒，其危害高、傳播廣，黑客通過(guò)非對(duì)稱算法加密用戶文件，勒索用戶支付比特幣交易來(lái)解密文件數(shù)據(jù)，病毒變種多，迭代頻繁，防不勝防，一旦中招，很難解密文件，造成嚴(yán)重的數(shù)據(jù)丟失。

2.2勒索病毒攻擊流程

勒索病毒進(jìn)行網(wǎng)絡(luò)攻擊的過(guò)程:①病毒通過(guò)網(wǎng)頁(yè)掛馬、郵件釣魚(yú)或者弱口令漏洞進(jìn)行攻擊某一用戶主機(jī)。②當(dāng)該聯(lián)網(wǎng)的主機(jī)被攻擊后，就會(huì)在局域網(wǎng)內(nèi)探尋其他計(jì)算機(jī)，對(duì)有漏洞的機(jī)器繼續(xù)進(jìn)行感染，以此實(shí)現(xiàn)大面積的植入感染，進(jìn)行勒索獲取非法收入。勒索病毒攻擊主機(jī)的過(guò)程大同小異，本文以Stop家族為例，分析勒索病毒攻擊計(jì)算機(jī)的運(yùn)行流程。1)病毒程序運(yùn)行。勒索病毒程序被用戶運(yùn)行，首先釋放到電腦內(nèi)存，加載到當(dāng)前用戶正在運(yùn)行的進(jìn)程，以此躲避所裝殺毒軟件的查殺，彈出用戶控制窗口進(jìn)行詢問(wèn)，用戶如無(wú)法識(shí)別即會(huì)同意以此獲取管理員權(quán)限，獲取權(quán)限后可以在后續(xù)進(jìn)行更多類型文件的加密。2)創(chuàng)建UUID設(shè)置自啟動(dòng)任務(wù)。病毒運(yùn)行后先進(jìn)行豁免區(qū)域查詢，如通過(guò)IP地址查詢?yōu)榛砻鈬?guó)家(病毒制作者設(shè)置的特定國(guó)家可以攻擊豁免)用戶則程序自卸載否則繼續(xù)攻擊，此時(shí)病毒為當(dāng)前進(jìn)程創(chuàng)建UUID，并且復(fù)制自身到以UUID為名的新建目錄，以該文件路徑進(jìn)行自啟動(dòng)任務(wù)的創(chuàng)建。3)生成RSA(非對(duì)稱加密算法)公鑰及用戶ID。訪問(wèn)黑客服務(wù)器為攻擊用戶生成1024位的RSA公鑰和用戶唯一ID的身份認(rèn)證，通過(guò)服務(wù)器生成的方式稱為Online加密，該加密文件幾無(wú)破解可能，除非交贖金;若訪問(wèn)服務(wù)器失敗則進(jìn)行本地生成公鑰和用戶ID，該方式稱為Offline加密，在可能的條件下是可以解密文件的。4)遍歷計(jì)算機(jī)文件進(jìn)行加密。遍歷文件是首先會(huì)豁免指定的文件夾及文件類型(一般為系統(tǒng)運(yùn)行文件，避免破壞系統(tǒng)正常運(yùn)行)，對(duì)其余類型文件進(jìn)行高強(qiáng)度加密，加密過(guò)程中，對(duì)文件夾進(jìn)行磁盤(pán)層級(jí)遍歷，層級(jí)過(guò)深的文件不進(jìn)行加密。5)創(chuàng)建txt勒索信。病毒在每個(gè)磁盤(pán)根目錄下以及加密過(guò)的用戶文件目錄下創(chuàng)建_readme．txt的勒索信息。文件里含有具體的勒索信息，黑客郵箱，以及用戶ID，通過(guò)用戶ID可初步判斷是否為Offline加密。6)其余附加程序下載執(zhí)行。加密后會(huì)運(yùn)行一些腳本禁用任務(wù)管理器;修改hosts文件，使得用戶無(wú)法訪問(wèn)微軟以及全球的殺毒軟件廠商;同時(shí)搜索瀏覽器cookies，瀏覽記錄，郵箱信息，數(shù)字錢(qián)包等信息打包上傳至黑客服務(wù)器。

3勒索病毒防治策略

由于高強(qiáng)度加密算法以及數(shù)字貨幣隱匿性交易，導(dǎo)致勒索病毒傳播快，代碼變形升級(jí)快，勒索模式創(chuàng)新又隱蔽，對(duì)于加密的文件解密困難，除非妥協(xié)交贖金，因此勒索病毒重在預(yù)防，而不是中毒后再尋求解密。

3.1增強(qiáng)日常安全意識(shí)

日常聯(lián)網(wǎng)使用計(jì)算機(jī)的過(guò)程中，要提高警惕，不訪問(wèn)涉黃涉毒網(wǎng)站，不隨意點(diǎn)擊不明來(lái)源的執(zhí)行腳本或者可執(zhí)行文件，不點(diǎn)擊郵件不明鏈接或附件;安裝有效的殺毒軟件，進(jìn)行合理配置，定期查殺病毒，進(jìn)行可疑文件進(jìn)行及時(shí)隔離;盡量從官方渠道下載使用軟件，不輕信破解文件，如必需則在殺毒軟件沙盒監(jiān)督下運(yùn)行程序。

3.2強(qiáng)口令和漏洞封堵

多數(shù)病毒通過(guò)系統(tǒng)漏洞或者爆破弱口令作為主動(dòng)攻擊點(diǎn)，因此及時(shí)升級(jí)系統(tǒng)和打好修復(fù)補(bǔ)丁，避免系統(tǒng)漏洞被攻擊，及時(shí)升級(jí)殺毒軟件數(shù)據(jù)庫(kù)，提高防御能力;定期更新密碼口令，使用多重組合強(qiáng)密碼，不使用弱口令空口令，嚴(yán)格控制服務(wù)器訪問(wèn)權(quán)限，每月定期更新口令密碼。

3.3防火墻配置及端口管理

外網(wǎng)防火墻加持，并且局域網(wǎng)防火墻配置策略，對(duì)445，3389，135，137，139高危端口禁用策略，實(shí)時(shí)監(jiān)督防火墻端口流量，嚴(yán)格管理訪問(wèn)服務(wù)器的指定主機(jī)，統(tǒng)一配置防病毒系統(tǒng)以及準(zhǔn)入策略，做到及時(shí)識(shí)別端口數(shù)據(jù)進(jìn)行木馬過(guò)濾，保證網(wǎng)絡(luò)安全性。

3.4數(shù)據(jù)雙備份

勒索病毒通常采用非對(duì)稱加密算法RSA+AES對(duì)文件進(jìn)行加密，解密時(shí)限未知，針對(duì)該新型勒索病毒的加密算法并沒(méi)有有效的解密方案，因此服務(wù)器或計(jì)算機(jī)中重要數(shù)據(jù)要及時(shí)進(jìn)行本地磁盤(pán)備份和云服務(wù)器雙備份，避免主機(jī)被攻擊而造成數(shù)據(jù)損失。

4結(jié)語(yǔ)

新型勒索病毒破壞大傳播快，變種多，加密用戶數(shù)據(jù)造成巨大損失，因此必須高度重視，從技術(shù)角度、管理角度和日常使用習(xí)慣都需要進(jìn)行防治策略應(yīng)對(duì)。本文從勒索病毒攻擊分析出發(fā)，對(duì)勒索病毒攻擊提出防治措施和建議，對(duì)政企以及個(gè)人用戶計(jì)算機(jī)安全使用具有指導(dǎo)作用。

參考文獻(xiàn):

［1］金重振，葛萬(wàn)龍．局域網(wǎng)勒索病毒的防護(hù)策略研究———以WannaCry為例［J］．信息與電腦，2017(18):217－218．

［2］安天安全研究與應(yīng)急處理中心．勒索軟件簡(jiǎn)史［J］．中國(guó)信息安全，2017(4):50－57．

［3］張玉，謝林燕．關(guān)于常見(jiàn)勒索病毒與防范應(yīng)對(duì)措施的探討［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019(6):7－9．

［4］萬(wàn)子龍．勒索病毒攻擊原理及檢測(cè)方法研究［J］．江西通信科技，2019(3):42－44．

作者：張寶移 單位：西安汽車(chē)職業(yè)大學(xué)