勒索病毒技術研究綜述

摘要：隨著基礎設施的不斷增加和發(fā)展，互聯(lián)網(wǎng)技術已經(jīng)應用到各個方面，新應用的不斷出現(xiàn)，網(wǎng)絡規(guī)模越來越龐大，拓撲結(jié)構越來越復雜，網(wǎng)絡安全的管理難度也隨之增加。勒索病毒是一種新型計算機病毒，主要以郵件和程序木馬的形式傳播，具有傳播速度快、危害極大等特點。勒索病毒通過安全加密算法對信息加密，一般情況下無法在合理時間內(nèi)暴力破解，必須獲得相應的私鑰才可能解密。勒索病毒的更新變種非?？?，對常規(guī)殺毒軟件具有免疫性。本文從勒索病毒的原理出發(fā)，依據(jù)攻擊形式、受害者分析、攻擊者分析、攻擊漏洞等方面，找到防護途徑和解決辦法。

關鍵詞：勒索病毒；攻擊原理；防護途徑；解決方法；計算機安全

中圖分類號：TP309 文獻標識碼：A

文章編號：1009-3044（2024）22-0079-03

開放科學（資源服務）標識碼（OSID）

0 引言

隨著互聯(lián)網(wǎng)的普及和信息技術的發(fā)展，網(wǎng)絡已成為人們生活和工作中不可或缺的一部分。然而，隨之而來的是網(wǎng)絡安全問題的日益嚴峻。其中，勒索病毒作為一種極具破壞性和危害性的網(wǎng)絡威脅，給個人、企業(yè)甚至整個社會帶來了嚴重的經(jīng)濟損失和社會影響。近年來，計算機勒索病毒在全球肆虐，以其高度隱蔽性和高效性備受關注。其攻擊手段也日益多樣化和復雜化，加密技術的發(fā)展使攻擊者的技術能力不斷提高，給網(wǎng)絡安全帶來了極大的挑戰(zhàn)[1-2]。

1 勒索病毒概述

1.1 勒索病毒概念

勒索病毒是一種新型的電腦惡意軟件，其主要目的是通過加密或封鎖用戶的文件或系統(tǒng)，然后勒索用戶支付贖金以解密或解除封鎖。它主要通過郵件附件、惡意鏈接、網(wǎng)絡下載等方式傳播。勒索病毒性質(zhì)惡劣、危害極大，在感染用戶系統(tǒng)后會立即加密用戶文件或封鎖系統(tǒng)，然后顯示勒索信息要求用戶支付贖金，給用戶帶來巨大的損失。勒索病毒通過各種加密算法對文件進行加密，被攻擊者一般無法自行解密文件，因此只有獲得相應的解密私鑰后才有可能破解[3]。

1.2 勒索病毒類型及發(fā)展史

勒索病毒的分類主要根據(jù)其攻擊目標、傳播途徑和加密技術等方面的不同特征進行劃分。每種類型的勒索病毒都對用戶系統(tǒng)和數(shù)據(jù)造成不同程度的損害和威脅。主要包括：文件加密型勒索病毒、系統(tǒng)鎖定型勒索病毒、移動設備型勒索病毒、聯(lián)網(wǎng)設備型勒索病毒、多功能型勒索病毒等。

1989年，AIDS Trojan是世界上第一個被記錄到史冊中的勒索病毒，之后開始了勒索病毒廣泛傳播的現(xiàn)象。從2013年下半年開始，勒索病毒使用AES和RSA等加密算法來加密某些特定類型的文件，這使受攻擊者進行無密鑰解密幾乎不可能完成，攻擊者會要求受害者必須通過使用虛擬貨幣來支付，以防止交易被追查。2016年隨著漏洞利用工具包的廣泛傳播，漏洞攻擊工具被網(wǎng)絡安全攻擊者廣泛使用[4]。例如，Wanna Cry勒索蠕蟲病毒是破壞性病毒和蠕蟲傳播的聯(lián)合。其目的不在于勒索資金，而是要制造影響整個世界的大規(guī)模破壞行動。

2 勒索病毒分析

2.1 受害者和攻擊者分析

針對個人用戶，攻擊者利用網(wǎng)頁文件、盜版軟件、外掛軟件對病毒進行偽裝，誘導受害者進行下載并開始運行病毒。運行后，對受害者的計算機進行加密。

針對企業(yè)用戶，勒索病毒常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠程訪問弱口令攻擊、釣魚郵件攻擊、Web服務漏洞和弱口令攻擊、數(shù)據(jù)庫漏洞和弱口令攻擊等[5]。

勒索病毒攻擊者主要有三個步驟進行攻擊，如圖1所示：

1） 嘗試攻擊公網(wǎng)的服務器，并獲得一定的操作權限。

2） 利用這臺機器做中轉(zhuǎn)，繼續(xù)尋找內(nèi)網(wǎng)中容易受攻擊的機器，進一步在整個內(nèi)網(wǎng)中擴散攻擊范圍。

3） 在入侵了一定數(shù)量的設備后，挖礦木馬和勒索病毒將會向這些設備中植入。

2.2 勒索病毒攻擊原理

操作系統(tǒng)和應用程序軟件的數(shù)量、版本眾多。這些系統(tǒng)、軟件和程序都存在各種漏洞，恰恰是這些漏洞的存在使得勒索病毒的攻擊速度更快、效率更高。

勒索病毒的核心技術是加密算法。主流的加密算法之一是RSA加密算法，由Ron Rivest、Adi Shamir和Leonard Adleman提出，是一種非對稱公開密鑰加密算法，常用于數(shù)字簽名[6]。RSA加密算法依賴于大質(zhì)數(shù)對P和Q生成一對公鑰e和私鑰d，并使用公鑰e對明文信息M加密，私鑰d對密文C進行解密。加密和解密的公式如（1）和（2）所示：

[[C=Mmodn] （1） [M=Cmodn] （2） ]

加密和解密過程如圖2所示，其中n=P×Q。

勒索病毒基于RSA加密算法，該加解密算法屬于公開密鑰密碼體制，要求密鑰成對出現(xiàn)，一個用于加密，另一個用于解密，并且不可能從其中一個推導出另一個。

下面是一個簡單的勒索病毒加密過程。首先，病毒作者在自己電腦上基于RSA算法生成私鑰A和公鑰A。然后，病毒軟件在目標電腦上隨機生成私鑰B和公鑰B，利用公鑰B將受害者電腦上的文件進行加密，得到加密文件。接著，通過公鑰A將受害者電腦上的私鑰B加密，得到加密私鑰K。最后，刪除受害者電腦上的私鑰B、公鑰A以及受害者文件。具體加密過程如圖3所示。

通過上述加密過程，我們知道受害者主機被感染后僅存有被加密的文件、勒索軟件生成的公鑰B以及加密私鑰K。在解密過程中，我們必須使用攻擊者的加密私鑰A將加密私鑰K解密，得出私鑰B，然后再通過私鑰B將加密文件解密，得到原受害者文件。具體的解密執(zhí)行過程如圖4所示。

2.3 勒索病毒發(fā)展趨勢

近年來，勒索病毒軟件已成為黑客攻擊者組織獲利的主要手段之一，同時也是發(fā)展最迅速的網(wǎng)絡安全威脅之一[7]。勒索病毒的發(fā)展趨勢如圖5所示：

1） 雙重勒索成為新常態(tài)。攻擊者不僅會加密重要數(shù)據(jù)并勒索贖金，還會竊取大量重要的商業(yè)信息，使得受害機構不僅面臨數(shù)據(jù)泄露的威脅，同時還會在法律法規(guī)遵從、財產(chǎn)損失和聲譽等方面受到影響。

2） 互聯(lián)網(wǎng)上暴露的物聯(lián)網(wǎng)（IoT） 設備成為勒索軟件攻擊的新突破口。

3） 遠程辦公場景的迅速增加，部分原因是網(wǎng)絡開放度提高和接口增加，這為勒索病毒提供了新的攻擊機會。

4） 低成本、高效率、低門檻、云技術的層次化普及，使得云原生數(shù)據(jù)安全變得尤為重要[8-9]。

3 安全防護技術

3.1 破解難度分析

勒索病毒使用的加密算法越強大，破解的難度就越大。如果加密算法使用的是AES、RSA等公認的安全算法，那么破解的難度會很大，目前還沒有有效的方法可以在合理的時間內(nèi)暴力破解[10]。

RSA加密算法的加密過程非常迅速，基本可以忽略不計，但解密過程耗時較長。解密時間與解密文件的大小呈線性增長趨勢。在一臺擁有四核2.4GHz處理器、4GB內(nèi)存的PC機上，模擬一個簡單的RSA加解密過程。在已知RSA加密公鑰和解密私鑰的情況下，對不同大小的文件進行RSA加密，將加密后的內(nèi)容存儲起來形成密文文件，然后使用已知的RSA私鑰對密文文件進行解密。記錄加解密過程所用時間如下表所示。其中，加解密文件的單位為KB，加解密時間的單位為秒。

由表1可知，隨著文件大小的增加，解密時間也隨之增長。在未知私鑰的情況下，解密的難度非常大，因為破解私鑰需要分解一個已知的大合數(shù)n，以找到其質(zhì)因數(shù)p和q。目前，尚無已知的快速算法可以在合理的時間內(nèi)完成這項任務，尤其是當n非常大時。

總的來說，破解勒索病毒是一項復雜且困難的任務。為了防止勒索病毒對系統(tǒng)造成損害，更關鍵的是做好預防措施，如定期備份數(shù)據(jù)、保持系統(tǒng)更新、使用安全軟件等。

3.2 防護途徑

隨著勒索病毒威脅的持續(xù)增加，安全研究人員和廠商不斷探索和發(fā)展各種防御手段和安全防護技術，以有效對抗不斷變化的勒索病毒攻擊。針對勒索病毒，在傳統(tǒng)防御手段的基礎上，使用最新的防護技術包括以下措施：

1） 及時更新和維護安全補丁：關注系統(tǒng)安全公告，及時安裝安全補丁，修復漏洞，提高系統(tǒng)安全性，同時安裝正規(guī)的防病毒軟件，定期更新病毒庫。

2） 強化網(wǎng)絡安全措施：增加防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等安全措施，限制惡意流量傳播和入侵。

3） 安全策略和權限管理：建立嚴格的訪問控制策略，限制用戶訪問權限，防止惡意軟件傳播和惡意操作。

4） 行為分析和異常檢測：利用機器學習和人工智能技術對系統(tǒng)和網(wǎng)絡行為實時監(jiān)測和分析，及時發(fā)現(xiàn)異常行為和惡意活動。

5） 簽名識別和智能防御：利用網(wǎng)絡安全廠商提供的勒索病毒特征庫和智能防御引擎，實時識別和阻止已知的勒索病毒攻擊。

6） 備份和災難恢復：定期備份重要數(shù)據(jù)并建立完善的災難恢復計劃，以便在遭受勒索病毒攻擊時能快速恢復數(shù)據(jù)和系統(tǒng)。

此外，加強用戶的安全意識教育，提高他們對勒索病毒的辨識和防御能力也至關重要。綜合利用上述各種防御手段和安全防護技術可以有效提高系統(tǒng)和網(wǎng)絡對勒索病毒的抵抗能力，減少因勒索攻擊造成的損失。

4 結(jié)論

勒索病毒作為一種具有極大破壞性的網(wǎng)絡威脅，對個人、企業(yè)和整個社會的安全穩(wěn)定構成嚴重威脅。要有效應對勒索病毒的攻擊，需要采取綜合的安全防護策略，結(jié)合技術手段和管理措施，加強對勒索病毒的監(jiān)測、防護和處置。相信隨著科技的不斷進步和防護技術的不斷完善，我們一定能夠更好地保護網(wǎng)絡安全，確保網(wǎng)絡空間的和平與安全。

參考文獻：

[1] 姜彬，居曉琴，施志剛.勒索病毒的攻擊原理與防范措施探究[J].電腦知識與技術，2023，19（31）：95-97，106.

[2] 張旭，李健珝，張洪飛.市級政務云勒索病毒監(jiān)測及防護[J].網(wǎng)絡安全與信息化，2023， （11）：145-147.

[3] 董昱宏，宋廣佳.勒索病毒技術發(fā)展研究綜述[J].計算機應用與軟件，2023，40（1）：331-343.

[4] 方興東.勒索病毒事件對全球網(wǎng)絡治理的影響[J].中國信息安全，2017（7）：30-32.

[5] 張耕源.論網(wǎng)絡空間安全與攻防技術[J].信息系統(tǒng)工程，2023（12）：137-140.

[6] 薛丹丹，王媛媛，邵一瀟，等.勒索病毒的原理及防御措施[J].網(wǎng)絡安全技術與應用，2023（2）：10-12.

[7] 任澤坤，鄧月銳，鄭梅姣，等.從“勒索病毒”攻擊談我國計算機網(wǎng)絡安全管理現(xiàn)狀[J].中國管理信息化，2017（15）：196-197.

[8] 蔣凡，魏弋翔，莊嚴，等.安全私有云有效應對勒索病毒的原理分析[J].信息網(wǎng)絡安全，2017（8）：83-88.

[9] 趙佩.勒索病毒攻擊事件漏洞分析及應對防護策略[J].電子技術與軟件工程，2019（4）：201.

[10] 王春海，楚小斌，趙志波.如何避免勒索病毒傳播途徑風險[J].網(wǎng)絡安全和信息化，2021（2）：123-127.

【通聯(lián)編輯：唐一東】