關(guān)于常見(jiàn)勒索病毒與防范應(yīng)對(duì)措施的探討

◆張 玉 謝林燕

關(guān)于常見(jiàn)勒索病毒與防范應(yīng)對(duì)措施的探討

◆張 玉 謝林燕

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心河北分中心河北050000）

本文介紹了勒索病毒的定義及危害, 分析了近期常見(jiàn)勒索病毒的種類(lèi)和傳播方式等, 從政企用戶和普通用戶兩個(gè)維度提出了應(yīng)對(duì)勒索病毒的防御手段, 并著重介紹了感染勒索病毒后的應(yīng)對(duì)措施。

勒索病毒；網(wǎng)絡(luò)安全；WannaCry

0 引言

自2017年WannaCry席卷全球之后，勒索病毒正式進(jìn)入大眾視野，影響波及眾多行業(yè)和機(jī)構(gòu)，已經(jīng)成為當(dāng)前最受關(guān)注的網(wǎng)絡(luò)安全問(wèn)題之一?；仡櫿麄€(gè)2018年，以GlobeImposter、Crysis、GandCrab等為代表的勒索病毒日漸猖獗，曾先后制造多起大面積的勒索事件，影響力和破壞性顯著增強(qiáng)，一度引發(fā)社會(huì)各界的廣泛關(guān)注。如何應(yīng)對(duì)和防范勒索病毒是現(xiàn)在和將來(lái)一段時(shí)間的熱點(diǎn)問(wèn)題。

1 勒索病毒概述

勒索病毒，是伴隨數(shù)字貨幣興起的一種新型病毒木馬，常以垃圾郵件、服務(wù)器入侵、網(wǎng)頁(yè)掛馬、捆綁軟件等多種形式進(jìn)行傳播。一旦遭受勒索病毒攻擊，絕大多數(shù)文件將會(huì)被加密算法修改，并添加一個(gè)特殊的后綴，使用戶無(wú)法讀取原始文件，造成無(wú)法估量的損失。勒索病毒通常利用非對(duì)稱(chēng)加密算法和對(duì)稱(chēng)加密算法組合的形式來(lái)加密文件，大多數(shù)的勒索軟件均無(wú)法通過(guò)技術(shù)手段來(lái)解密，必須拿到相應(yīng)的解密私鑰才有可能還原被加密的文件。黑客正是通過(guò)這樣的手段向受害用戶勒索高昂贖金，這些贖金必須通過(guò)數(shù)字貨幣支付，很難溯源，因此危害巨大。

自2017年WannaCry大規(guī)模爆發(fā)以來(lái)，勒索病毒已經(jīng)成為對(duì)政企單位和網(wǎng)民威脅最大的一類(lèi)木馬病毒。據(jù)Code42的調(diào)查研究，其中大多數(shù)受害用戶都向攻擊者支付了贖金?？傮w上，去年超過(guò)80%的勒索軟件感染都是針對(duì)企業(yè)的，因?yàn)榫W(wǎng)絡(luò)犯罪團(tuán)伙開(kāi)始將目光放到大型企業(yè)身上——那些比隨機(jī)受害者或消費(fèi)者更有能力支付大額贖金的企業(yè)。2019年3月，鋁業(yè)巨頭Norsk Hydro全球IT網(wǎng)絡(luò)遭受勒索軟件攻擊再次讓我們警醒，隨著勒索病毒的質(zhì)量和種類(lèi)的不斷攀升，如何應(yīng)對(duì)和防范勒索病毒已經(jīng)成為全球政企機(jī)構(gòu)和用戶必須正視的網(wǎng)絡(luò)安全問(wèn)題。

2 常見(jiàn)勒索病毒種類(lèi)

下面是自2017年“永恒之藍(lán)”勒索事件之后流行的勒索病毒種類(lèi)和常見(jiàn)傳播方式：

（1）WannaCry勒索

2017年5月，WannaCry勒索病毒全球大爆發(fā)，至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，造成損失達(dá)80億美元[1]。WannaCry蠕蟲(chóng)通過(guò)永恒之藍(lán)漏洞在全球范圍大爆發(fā)，感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密[2]。

常見(jiàn)后綴：wncry

傳播方式：永恒之藍(lán)漏洞

（2）GlobeImposter勒索

2017年出現(xiàn)，攻擊目標(biāo)主要是開(kāi)啟遠(yuǎn)程桌面服務(wù)的服務(wù)器，攻擊者通過(guò)暴力破解服務(wù)器密碼，對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密多個(gè)版本更新，并常通過(guò)爆破RDP后手工投毒傳播，目前無(wú)法解密。

常見(jiàn)后綴：auchentoshan、動(dòng)物名+4444

傳播方式：RDP爆破、垃圾郵件、捆綁軟件

（3）Crysis/Dharma勒索

最早出現(xiàn)在2016年，攻擊方法同樣是通過(guò)遠(yuǎn)程RDP爆力破解的方式，植入到用戶的服務(wù)器進(jìn)行攻擊。由于CrySiS采用AES+RSA的加密方式，最新版本無(wú)法解密。

常見(jiàn)后綴：【id】+勒索郵箱+特定后綴

傳播方式：RDP爆破

（4）GandCrab勒索

2018年年初面世，病毒采用Salsa20和RSA-2048算法對(duì)文件進(jìn)行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB或5-10位隨機(jī)字母，并將感染主機(jī)桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可解密，最新GandCrab5.2無(wú)法解密。

常見(jiàn)后綴：隨機(jī)生成

傳播方式：RDP爆破、釣魚(yú)郵件、捆綁軟件、僵尸網(wǎng)絡(luò)、漏洞傳播等

（5）Satan勒索

撒旦（Satan）勒索病毒首次出現(xiàn)2017年1月份。該勒索進(jìn)行Windows&Linux雙平臺(tái)攻擊，最新版本攻擊成功后，會(huì)加密文件并修改文件后綴為“evopro”。除了通過(guò)RDP爆破外，一般還通過(guò)多個(gè)漏洞傳播。

常見(jiàn)后綴：evopro、sick

傳播方式：永恒之藍(lán)漏洞、RDP爆破、 JBOSS系列漏洞、Tomcat系列漏洞、Weblogic組件漏洞

（6）Sacrab勒索

Scarab（圣甲蟲(chóng)）惡意軟件于2017年6月首次發(fā)現(xiàn)，目前最流行的一個(gè)版本是通過(guò)Necurs僵尸網(wǎng)絡(luò)進(jìn)行分發(fā)。在針對(duì)多個(gè)變種進(jìn)行脫殼之后，有一個(gè)2017年12月首次發(fā)現(xiàn)的變種Scarabey，其分發(fā)方式與其他變種不同，并且它的有效載荷代碼也并不相同。

常見(jiàn)后綴：.krab、.Sacrab、.bomber、.Crash

傳播方式：Necurs僵尸網(wǎng)絡(luò)、RDP爆破、垃圾郵件

（7）Matrix勒索

目前為止變種較多的一種勒索，該勒索病毒主要通過(guò)入侵遠(yuǎn)程桌面進(jìn)行感染安裝，黑客通過(guò)暴力枚舉直接連入公網(wǎng)的遠(yuǎn)程桌面服務(wù)從而入侵服務(wù)器，獲取權(quán)限后便會(huì)上傳該勒索病毒進(jìn)行感染，勒索病毒啟動(dòng)后會(huì)顯示感染進(jìn)度等信息，加密后的文件會(huì)被修改后綴名為其郵箱。

常見(jiàn)后綴：.GRHAN、.PRCP、.SPCT、.PEDANT

傳播方式：RDP爆破

（8）STOP勒索

同Matrix勒索類(lèi)似，Stop勒索病毒也是一個(gè)多變種的勒索木馬，一般通過(guò)垃圾郵件、捆綁軟件和RDP爆破進(jìn)行傳播，在某些特殊變種還會(huì)釋放遠(yuǎn)控木馬。

常見(jiàn)后綴：.TRO、.djvu、.puma、.pumas、.pumax、.djvuq

傳播方式：惡意捆綁軟件

（9）Paradise勒索

Paradise勒索最早出現(xiàn)在2018年7月下旬，最初版本會(huì)附加一個(gè)超長(zhǎng)后綴如：（_V.0.0.0.1{yourencrypter@protonmail.ch}.dp）到原文件名末尾，在每個(gè)包含加密文件的文件夾都會(huì)生成一個(gè)勒索信。

加密文件后綴：文件名_%ID字符串%_{勒索郵箱}.特定后綴

3 勒索病毒防范措施

3.1 政府企業(yè)用戶

（1）安裝殺毒、安全加固軟件，及時(shí)給系統(tǒng)打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)及第三方應(yīng)用的補(bǔ)丁。

（2）增加登錄密碼復(fù)雜度，并定期更換，嚴(yán)格避免多臺(tái)服務(wù)器共用一個(gè)密碼。

（3）限制內(nèi)網(wǎng)主機(jī)可進(jìn)行訪問(wèn)的網(wǎng)絡(luò)、主機(jī)范圍。加強(qiáng)訪問(wèn)控制ACL策略，嚴(yán)格限制各個(gè)網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問(wèn)。

（4）采用白名單機(jī)制只允許開(kāi)放必要端口，其他端口一律禁止訪問(wèn)，僅管理員IP可對(duì)管理端口進(jìn)行訪問(wèn)。盡量關(guān)閉3389、445、139、135等不用的高危端口，建議內(nèi)網(wǎng)部署堡壘機(jī)類(lèi)似的設(shè)備

（5）對(duì)重要數(shù)據(jù)和核心文件及時(shí)進(jìn)行備份，并且備份系統(tǒng)與原系統(tǒng)隔離，分別保存。

3.2 普通終端用戶

（1）安裝殺毒軟件和安全軟件，及時(shí)給操作系統(tǒng)及IE、Flash等常用軟件打好補(bǔ)丁，定期更新病毒庫(kù)，避免病毒利用漏洞自動(dòng)入侵電腦[3]。

（2）應(yīng)該使用高復(fù)雜強(qiáng)度的密碼，并定期對(duì)密碼進(jìn)行更改，重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份。

（3）減少危險(xiǎn)的上網(wǎng)操作，不要瀏覽來(lái)路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚(yú)攻擊。不要輕易打開(kāi)陌生人發(fā)來(lái)的郵件附件或郵件正文中的網(wǎng)址鏈接。不要輕易打開(kāi)后綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對(duì)于陌生人發(fā)來(lái)的壓縮文件包，更應(yīng)提高警惕，應(yīng)先掃毒后打開(kāi)。

（4）電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤(pán)、移動(dòng)硬盤(pán)等，應(yīng)首先使用安全軟件檢測(cè)其安全性。

4 感染勒索病毒后如何應(yīng)對(duì)

確認(rèn)感染勒索病毒后，應(yīng)當(dāng)及時(shí)采取必要的自救措施，避免病毒進(jìn)一步擴(kuò)散，及時(shí)止損。首先應(yīng)立即隔離被感染主機(jī)，主要包括物理隔離和訪問(wèn)控制兩種手段，物理隔離主要指斷網(wǎng)或斷電；訪問(wèn)控制主要指對(duì)訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。其次確定感染的范圍，應(yīng)對(duì)感染主機(jī)所在局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等。在應(yīng)急自救處置后，建議及時(shí)對(duì)病毒的感染時(shí)間、傳播方式，感染家族等問(wèn)題進(jìn)行排查。

感染勒索病毒后，對(duì)于政企機(jī)構(gòu)來(lái)說(shuō)，最重要的就是怎么恢復(fù)被加密的文件了。一般來(lái)說(shuō)，可以通過(guò)歷史備份、解密工具或支付贖金來(lái)恢復(fù)被感染的系統(tǒng)。如果事前已經(jīng)對(duì)文件進(jìn)行了備份，可以直接從云盤(pán)、硬盤(pán)或其他災(zāi)備系統(tǒng)中恢復(fù)被加密的文件。值得注意的是，在文件恢復(fù)之前，應(yīng)確保系統(tǒng)中的病毒已被清除。對(duì)于少部分勒索軟件加密過(guò)的文件，可以用解密工具進(jìn)行解密，比如2018年下半年大規(guī)模流行的GandCrab家族勒索病毒，GandCrabV5.以前的版本均可解密。如果既沒(méi)有對(duì)加密文件進(jìn)行有效備份，同時(shí)解密工具又無(wú)法恢復(fù)，只能通過(guò)支付贖金的方式恢復(fù)被感染文件，由于勒索病毒的贖金一般為比特幣或其他數(shù)字貨幣，數(shù)字貨幣的購(gòu)買(mǎi)和支付對(duì)一般用戶來(lái)說(shuō)具有一定的難度和風(fēng)險(xiǎn)，建議用戶謹(jǐn)慎操作或聯(lián)系專(zhuān)業(yè)的網(wǎng)絡(luò)安全從業(yè)者。

5 結(jié)束語(yǔ)

勒索病毒各種變種攻擊事情依舊層出不窮，以目前勒索病毒的發(fā)展趨勢(shì)分析，2019年勒索病毒威脅仍將繼續(xù)，成為企業(yè)和個(gè)人最嚴(yán)重的安全風(fēng)險(xiǎn)之一。在未來(lái)，無(wú)論是企業(yè)還是個(gè)人，都應(yīng)該提高網(wǎng)絡(luò)安全意識(shí)，加大網(wǎng)絡(luò)安全方面的投入，提高網(wǎng)絡(luò)攻擊的預(yù)防、抵抗和應(yīng)急處置能力。

[1]王樂(lè)東,李孟君,熊偉.勒索病毒的機(jī)理分析與安全防御對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017(08).

[2]竇媛媛.勒索病毒來(lái)襲, 醫(yī)療系統(tǒng)成了最怕捏的“軟柿子”[J].今日科苑, 2017.

[3]本刊編輯部.對(duì)話反病毒廠商勒索軟件應(yīng)對(duì)策略[J].中國(guó)信息安全, 2017.