勒索病毒原理分析與企業(yè)有效防范勒索病毒研究

曾敏 戴衛(wèi)龍

摘 ?要：隨著互聯(lián)網(wǎng)的不斷普及，人們接觸使用互聯(lián)網(wǎng)的頻率越來越高?；ヂ?lián)網(wǎng)在給人們提供便利的同時(shí)，也帶來了巨大的威脅。近段時(shí)期來，全球范圍內(nèi)出現(xiàn)多起加密勒索病毒事件，雖然信息安全防護(hù)技術(shù)在不斷提高，但攻擊者的技術(shù)手段也隨之提高，給網(wǎng)絡(luò)安全造成了巨大的隱患和挑戰(zhàn)。筆者通過對勒索病毒攻擊特點(diǎn)與原理的深入分析，并結(jié)合所屬公司的實(shí)際情況提出了具體有效的防范措施，對局域網(wǎng)反勒索病毒具有重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：網(wǎng)絡(luò)病毒;勒索病毒;網(wǎng)絡(luò)安全

中圖分類號：TP309.5 ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：2096-4706（2019）18-0124-03

Abstract：With the continuous popularity of the internet，the frequency of people’s access to the internet is getting higher and higher，while internet provides convenience to people，it also brings enormous threat. In recent years，there have been many encrypted extortion virus incidents around the world. Although the information security protection technology has been continuously improving，the technical means of attackers have also been improved，which has caused tremendous hidden dangers and challenges to network security. Through in-depth analysis of the characteristics and principles of blackmail virus attack，and combined with the actual situation of the company，the author puts forward specific and effective preventive measures，which has important practical significance for LAN anti-blackmail virus.

Keywords：network virus;blackmail virus;network security

0 ?引 ?言

勒索病毒，也稱贖金木馬，其在上世紀(jì)八十年代就已經(jīng)出現(xiàn)，隨著互聯(lián)網(wǎng)技術(shù)及加密技術(shù)的不斷發(fā)展。近年來隨著比特幣等數(shù)字貨幣的發(fā)展，勒索病毒有愈演愈烈的趨勢，在全球范圍內(nèi)連續(xù)發(fā)生多起勒索病毒事件，嚴(yán)重影響了企業(yè)及個(gè)人用戶的正常使用[1]。勒索病毒通常以垃圾郵件、網(wǎng)頁木馬等形式在網(wǎng)絡(luò)中進(jìn)行傳播，一旦電腦遭到勒索病毒入侵，病毒將把電腦中絕大多數(shù)文件以特殊加密算法進(jìn)行加密，使得用戶無法正常讀取和使用電腦中的任何文件，給用戶造成了巨大的損失。

隨著2017年WannaCry大規(guī)模爆發(fā)，勒索病毒已經(jīng)發(fā)展成為威脅度最高的木馬病毒，據(jù)統(tǒng)計(jì)，超過80%的勒索病毒都是以企業(yè)為入侵對象，并且大型企業(yè)受威脅的頻率也逐年提升。這些大型企業(yè)內(nèi)部文件一旦全部無法使用，將給企業(yè)造成巨大的損失，為此許多企業(yè)都選擇支付相應(yīng)的金額換取這些文件。隨著勒索病毒的種類不斷地增長以及危害程度的提升，如何有效防范勒索病毒已經(jīng)成為全球政企機(jī)構(gòu)所必須面對的網(wǎng)絡(luò)安全問題[2]。

筆者所屬的株洲時(shí)代新材料科技股份有限公司是一家大型的制造企業(yè)，隨著近些年的快速發(fā)展，目前在全國已有多家子公司以及一家海外公司，因此，如何有效防范勒索病毒是公司網(wǎng)絡(luò)管理部門急需解決的問題，具有重大的研究意義。

1 ?勒索病毒原理分析

1.1 ?勒索病毒的特點(diǎn)分析

通過結(jié)合日常網(wǎng)絡(luò)安全工作以及對勒索病毒的具體研究發(fā)現(xiàn)，勒索病毒主要具備以下幾個(gè)方面的特點(diǎn)[3]：

（1）勒索病毒利用Windows操作系統(tǒng)445端口漏洞進(jìn)行傳播。445端口是常用的TCP端口，但由于這一端口具有較高的訪問權(quán)限，也常被業(yè)內(nèi)人士戲稱為“灰洞”。一旦勒索病毒獲取了445端口的權(quán)限，將可以在局域網(wǎng)中輕松訪問共享文件夾或共享打印機(jī)，因此445端口也稱為勒索病毒入侵的重要路徑之一。

（2）勒索病毒入侵服務(wù)器或主機(jī)后，對硬盤文件進(jìn)行加密。勒索軟件入侵服務(wù)器或主機(jī)后，將對系統(tǒng)內(nèi)的各種Office文件、壓縮包、媒體文件、電子郵件、數(shù)據(jù)庫文件、源代碼、密匙、證書等進(jìn)行加密處理。

（3）勒索病毒一般采用2048位的RSA算法進(jìn)行文件加密，這種加密算法目前仍沒有有效的解密方法，暴力解密所需要的時(shí)間往往以百萬年計(jì)。

（4）勒索病毒作為一種蠕蟲病毒，具有普通蠕蟲病毒的所有特征，能夠自我復(fù)制、自我傳播，可以借助網(wǎng)絡(luò)進(jìn)行變種更新，具有較快的傳播速度。

1.2 ?勒索病毒運(yùn)行流程分析

勒索病毒部分的運(yùn)行流程如下所示：

（1）勒索病毒中含有加密的壓縮文件，通過解壓釋放出勒索病毒文件。

（2）通過命令行將感染主機(jī)內(nèi)所有文件的訪問權(quán)限設(shè)置為完全訪問權(quán)限。

（3）解密文件數(shù)據(jù)，提取出含有主要加密邏輯代碼的動(dòng)態(tài)庫，調(diào)用該動(dòng)態(tài)庫中的函數(shù)對主機(jī)中文件進(jìn)行加密。

（4）調(diào)用勒索動(dòng)態(tài)庫代碼。首先導(dǎo)入一個(gè)RSA公鑰，并生成一組RSA會(huì)話密鑰;其次將會(huì)話密鑰的公鑰導(dǎo)出并寫入到00000000.pky文件中;之后將會(huì)話密鑰中的私鑰用剛導(dǎo)入的RSA公鑰進(jìn)行加密后，存放在00000000.eky文件中。

勒索病毒會(huì)對主機(jī)內(nèi)全部文件進(jìn)行遍歷，一旦文件擴(kuò)展名存在于病毒內(nèi)部的擴(kuò)展名列表中，即將該路徑加入到加密操作的對象列表中，并在遍歷結(jié)束后對列表內(nèi)全部對象進(jìn)行加密操作。

2 ?有效防范勒索病毒具體措施

公司采用的是內(nèi)外網(wǎng)隔離的方式，公司的網(wǎng)絡(luò)復(fù)雜，全國多個(gè)地方都有子公司，子公司通過光纖接入到總部的內(nèi)網(wǎng)，還有一個(gè)海外公司，海外公司的網(wǎng)絡(luò)是可以訪問互聯(lián)網(wǎng)的，直接接到公司內(nèi)網(wǎng)，采用防火墻、訪問控制、容災(zāi)等來保護(hù)內(nèi)網(wǎng)及內(nèi)網(wǎng)服務(wù)器，結(jié)合勒索病毒的特點(diǎn)及運(yùn)行流程，公司的網(wǎng)絡(luò)主要采取了以下措施進(jìn)行勒索病毒的防范。

2.1 ?從網(wǎng)絡(luò)結(jié)構(gòu)角度防范

445端口是勒索病毒傳播入侵的重要窗口，外部互聯(lián)網(wǎng)中的勒索病毒對內(nèi)部局域網(wǎng)發(fā)起攻擊需要內(nèi)部局域網(wǎng)用戶直接暴露在外部互聯(lián)網(wǎng)中且沒有安裝相應(yīng)的補(bǔ)丁，因此內(nèi)網(wǎng)用戶不會(huì)受到來自外部互聯(lián)網(wǎng)中勒索病毒的入侵。但對企業(yè)來說，如果企業(yè)內(nèi)部網(wǎng)絡(luò)中存在連接到外部互聯(lián)網(wǎng)的節(jié)點(diǎn)，那么一旦該節(jié)點(diǎn)受到入侵，將可能導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)被感染。

為了避免被勒索病毒感染，內(nèi)部局域網(wǎng)內(nèi)主機(jī)需要及時(shí)禁用445端口并安裝官方發(fā)布的漏洞補(bǔ)丁，同時(shí)做好安全加固和文件備份工作。同時(shí)在局域網(wǎng)內(nèi)部配置訪問控制策略，對局域網(wǎng)內(nèi)部主機(jī)間的135、137、139、445等通信端口的訪問權(quán)限進(jìn)行限制。根據(jù)不同系統(tǒng)進(jìn)行數(shù)據(jù)流向的訪問控制，訪問控制策略細(xì)化到IP地址和端口。在核心交換機(jī)、匯聚交換機(jī)上全部配置限制相關(guān)風(fēng)險(xiǎn)端口的ACL。

2.2 ?從防火墻角度防范

在總部與各子公司間架設(shè)物理防火墻（架構(gòu)如圖1所示），在防火墻上配置策略，針對不同的服務(wù)器只開通其所需的端口號（部分配置截圖如圖2所示），并將所有的TCP 445端口加入到防火墻配置禁用端口策略中，避免勒索病毒通過該端口在局域網(wǎng)內(nèi)進(jìn)行傳播。對防火墻端口流量進(jìn)行實(shí)時(shí)監(jiān)控，任何流量異常的事件都實(shí)時(shí)通過郵件反饋給管理員。并開啟IPS特征庫、防病毒特征庫、應(yīng)用識(shí)別及URL分類庫升級服務(wù)，針對經(jīng)過防火墻的數(shù)據(jù)，進(jìn)行病毒、木馬、入侵過濾，保證網(wǎng)絡(luò)的安全性。

2.3 ?從操作方式角度防范

將重要文件備份至共享服務(wù)器。同時(shí)做好服務(wù)器及文件的定期備份工作，定期將重要服務(wù)器及重要文件備份到備份存儲(chǔ)中，以避免被勒索病毒加密（部分備份截圖如圖3所示）。為了避免勒索病毒通過共享存儲(chǔ)在內(nèi)網(wǎng)主機(jī)間進(jìn)行傳播，定期對共享介質(zhì)進(jìn)行木馬查殺。

3 ?結(jié) ?論

本文主要對勒索病毒的原理進(jìn)行了詳細(xì)的分析，分別從勒索病毒的特點(diǎn)以及運(yùn)行流程兩大方面進(jìn)行研究，結(jié)合筆者所屬株洲時(shí)代新材料科技股份有限公司關(guān)于網(wǎng)絡(luò)安全方面的實(shí)際手段，從網(wǎng)絡(luò)結(jié)構(gòu)、防火墻以及操作方式三大角度提出了相應(yīng)的防范勒索病毒的具體措施，對公司針對勒索病毒的有效防范具有重大意義。

參考文獻(xiàn)：

[1] 安天安全研究與應(yīng)急處理中心.勒索軟件簡史 [J].中國信息安全，2017（4）：50-57.

[2] 徐新.病毒防治安全技術(shù)在計(jì)算機(jī)局域網(wǎng)中的有效運(yùn)用 [J].電子技術(shù)與軟件工程，2016（24）：214.

[3] 金重振，葛萬龍.局域網(wǎng)勒索病毒的防護(hù)策略研究——以WannaCry為例 [J].信息與電腦，2017（18）：217-218.

作者簡介：曾敏（1989.08-），男，漢族，湖南永州人，助理工程師，碩士研究生，研究方向：計(jì)算機(jī)技術(shù)。