勒索病毒研究與企業應對實例

◆劉國宏

(中國煙草總公司 北京 100000)

勒索病毒研究與企業應對實例

◆劉國宏

(中國煙草總公司 北京 100000)

勒索病毒從其出現至今，已有近三十年的歷史，從最初的偽裝成反病毒軟件到今天的大規模爆發的勒索病毒，勒索病毒不斷進行著開發與升級。現如今勒索病毒呈現出爆發性增長趨勢，成為網絡上重要的威脅。因此，本文對勒索病毒進行分析與研究。并通過本公司信息部門針對此次“永恒之藍”勒索病毒的防范應對過程，進行了分析與經驗總結。

勒索病毒；永恒之藍

0 前言

近日，世界有上百個國家的計算機系統都遭受到名為WannaCry病毒攻擊。WannaCry是“蠕蟲式”的勒索病毒軟件，其大小位 3.3MB，病毒制造者利用了 NSA（National Security Agency，美國國家安全局）泄露出來的危險漏洞“EternalBlue”（永恒之藍）對其進行傳播。所以很多媒體將此次攻擊稱為“永恒之藍”。此次勒索病毒大規模的爆發，造成了極大的影響。如何對勒索病毒進行有效的防范，是擺在我們面前的一個重要問題。

1 勒索病毒概述

勒索病毒，也稱之為贖金木馬，并不是一個新鮮事物，它誕生于上世紀八十年代。通過幾十年的逐漸發展和成熟，近幾年來有愈演愈烈的趨勢，已成為個人和企業用戶必須面對的最危險的網絡威脅之一。

勒索病毒通常將用戶的文檔、源代碼通過多種方式進行加密，使文件無法直接被用戶使用。然后勒索病毒通過彈窗、創建文本文件等多種形式向用戶發出勒索通知，要求用戶通過指定渠道支付贖金，用來得到解密文件的密碼。以WannaCry病毒為例，當用戶主機系統被該勒索病毒入侵后，彈出勒索對話框，如圖1所示。

圖1 勒索病毒彈窗

此時用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件后綴名被統一修改為“.WNCRY”。目前，由于勒索病毒采用了高強度加密算法，暫時無法有效破解勒索病毒的惡意加密文件的行為。用戶系統如果被被勒索病毒攻擊，只能通過重裝操作系統的方式來清理勒索病毒，但用戶被勒索病毒所加密的數據文件不能夠被直接恢復[4]。

2017年 5月 14日，WannaCry 勒索病毒出現了變種：WannaCry 2.0，新的變種傳播速度更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網絡攻擊，影響到了金融、能源、醫療等行業，造成了社會危機[1]。我國部分Windows操作系統用戶遭受感染，一些政府部門也受到影響，一些業務因為受到勒索病毒攻擊而暫停辦理。

“勒索病毒”之所以在現在的互聯網上泛濫，主要基于以下幾點原因：

（1）從用戶角度上來說，現在數據的價值越來越重要，“勒索病毒”直接加密用戶私人數據，造成數據無法被用戶使用，造成極大的經濟與精神損失；

（2）對病毒制造者而言，現在高強度加密算法隨手可得，病毒編寫基本無門檻；

（3）病毒產業的黑色“產業鏈”日趨完善，勒索病毒頻頻爆發，背后都有一套完整的原始病毒制造、病毒批量變形、病毒傳播、最終變現的黑色“產業鏈”。隨著病毒制造門檻的降低、代碼變形和混淆技術的成熟、病毒傳播手段的豐富、變現模式的“創新”（例如：虛擬貨幣的出現），使得無法追查到實際收款人。因此，此類安全問題仍會持續上演。

圖2 勒索病毒生命周期圖

2 勒索病毒傳播方式

勒索病毒經過幾十年的發展，已經形成了一套完整的制造與傳播體系。

首先病毒制造者制造出病毒，然后通過病毒混淆器，批量生成病毒的不同變種，然后通過以下手段進行傳播：

2.1 漏洞類傳播

通過操作系統、瀏覽器或其第三方應用程序的漏洞進行傳播并激活；此次WannaCry病毒就是主要利用Windows系統永恒之藍漏洞進行傳播。

2.2 誘騙類傳播

（1）偽裝成應用程序或者與其他惡意軟件捆綁打包，誘導用戶運行激活病毒；

（2）通過聊天軟件發送，并有針對性地通過誘導性的文件名誘騙接收者運行病毒；

（3）通過電子郵件群發帶有病毒附件的垃圾郵件，并配以誘導性的說明和附件名，誘騙接收者運行病毒。

3 預防與查殺

當前，網絡安全業界尚無法有效破解勒索病毒的惡意加密文件行為。只能采取有效的方法進行預防。

在勒索病毒爆發期，用戶要先斷網再開機，即先拔掉網線（關閉無線網卡等）再行開機，這樣基本可以避免被勒索病毒感染。開機后盡快想辦法打上安全補丁，或安裝各家網絡安全公司針對此事推出的防御工具，進行有效的加固后，才可以聯網。同時建議盡快備份電腦中的重要文件資料到移動硬盤、優盤，備份完后脫機保存該存儲設備，同時對于不明鏈接、文件和郵件要提高警惕，加強防范。以此次爆發的WannaCry病毒為例，其臨時解決方案為：

（1）開啟Windows系統防火墻；

（2）利用系統防火墻高級設置阻止向445端口進行連接（該操作會影響使用445端口的服務）；

（3）打開系統自動更新，檢查相應的更新并進行安裝。

4 中毒后應急處理方案

如計算機系統已經中毒，因為勒索病毒是將原文件讀取到內存中完成加密，生成一個加密文件，并刪除原文件。因此文件存在被恢復的可能。加密原理如圖3所示。

圖3 勒索病毒加密文件原理

主流的勒索病毒通常有兩種加密文件的方式，一種是直接加密覆蓋原文件，原始文件直接被加密的文件所覆蓋。這種情況下沒有勒索者的密鑰，幾乎是無法恢復的；另一種則是先加密生成副本文件，然后刪除原始文件，如果是這種情況，則文件是有恢復的可能。

但是，病毒制造者通常會對文件進行處理，比如在刪除文件之后，用隨機數據把原始文件復寫一遍，此時如果用文件恢復的辦法，只能恢復出一堆垃圾數據。

因此，如重要文件被勒索病毒加密，可以嘗試使用專業數據恢復軟件進行數據恢復，數據有可能被恢復出來。安全廠商也針對一些特定勒索病毒推出過專有的數據恢復軟件。比如360公司針對Wannacrypt 勒索病毒發布過相應的數據恢復工具。

5 針對勒索病毒的企業內網安全防范對策

針對勒索病毒的防范，企業（事業、公司、校園等）網絡管理人員一定要做到如下幾點：

（1）加強對員工安全意識的培訓，強調員工不要隨意打開可疑郵件中的附件，即使發件郵箱看起來很可靠；

（2）加固所有的設備和系統，不僅僅是針對Windows系統，企業日常使用的包括安卓和郵件服務器在內的系統都需要進行加固保護；

（3）實時更新操作系統和應用程序上存在的最新漏洞；

（4）確保安全防護產品更新到最新的版本和特征代碼庫；

（5）開啟安全防護產品上的未知威脅檢測功能和惡意程序行為檢測功能；

（6）通過應用程序控制功能幫助企業管理內部應用程序的使用；

（7）重要文件、重要信息數據要定期備份，并脫機存放[5]。

6 針對勒索病毒的企業內網應對實例

2017年5月13日我公司接到關于緊急處置排查勒索病毒的通知后，立即啟動網絡安全應急預案。信息安全管理員在通知網絡及安全運維人員采取相關措施的同時，向信息安全主管領導作了情況匯報。

6.1 互聯網安全形勢的預判

（1）互聯網端口封堵

我公司早在2017年4月17日，在關注到CNVD漏洞平臺發布的相關安全風險通報后，通過分析相關安全風險的影響范圍和可能出現的發展方向，我公司首先在互聯網邊界防火墻對風險端口采取了防患于未然的封堵措施。為了安全起見，5月13日在互聯網出口的行為管理設備上配置了針對“永恒之藍”的防護策略，聯動封堵了相關風險端口。

（2）系統補丁推送

為了徹底解決終端計算機安全風險的抵御能力，加固終端計算機設備系統的相關漏洞。我公司部署了360天擎企業版網絡防病毒系統，并配置了強制推送系統漏洞補丁策略。我公司在4月13日下發通知，要求全部終端計算機安裝企業版360天擎企業版網絡防病毒軟件，對所有終端計算機進行補丁強制推送，從根本上解決終端技術設備的安全防護問題。

6.2 應急處理過程

（1）企業網邊界端口封堵

我公司密切關注勒索病毒的發展態勢，意識到本次病毒入侵的嚴重性。2017年5月13日下午，在各節點邊界防火墻上封堵了相關風險端口，并更新了安全設備特征庫。

在核心交換機、匯聚交換機、接入交換機三層網絡設備上全部配置了限制相關風險端口的ACL。

（2）通知各隸屬單位進行病毒防范

2017年5月13日下午，公司通過QQ、微信群通知隸屬單位系統管理員、信息安全管理員按要求進行勒索病毒的防范。

（3）在OA系統下發緊急通知

2017年5月14日上午，根據上級單位安全防范通知精神制定了《關于“永恒之藍”勒索病毒防范的緊急通知》，當日下午在OA系統下發了緊急通知，進行提醒。

（4）切斷辦公區樓層交換機

為了確保萬無一失，2017年5月14日晚通知機關及各下屬單位系統管理員，安排所有運維人員早上7:00之前到單位對樓層交換機進行斷電處理，切斷了所有終端計算機接入網絡的通道。

（5）對所有終端計算機進行安全排查

2017年5月15日，通過安全監測工具對所有的終端計算機設備進行安全檢查。采用打補丁、封堵風險端口等措施對存在風險的計算機設備進行補救。對更新補丁、封堵端口不成功等不符合要求的終端計算機采取斷網措施禁止接入公司網絡。2017年5月15日13:00所有終端計算機安全排查完成后，啟動接入網絡設備，終端計算機設備相繼聯網正常運行。

（6）根據威脅變化態勢進一步采取應對措施

我公司信息安全部門繼續觀察分析勒索病毒的發展態勢，隨時調整防護措施及方案。并督促下屬單位做好終端計算機及網絡設備的防護及修補工作。

我公司針對此次勒索病毒，共加固Windows服務器134臺；終端計算機完成防護2392臺，其中下屬單位完成加固終端計算機1627臺。

通過上述方式我公司對“永恒之藍”勒索病毒進行了有效的應對，未出現網絡安全事故。

7 結語

在信息安全領域中，攻擊和防御是一個永恒的話題，互聯網在給我們帶來便利的同時，網絡安全風險也在不斷的加劇。此次勒索病毒的爆發也給我們敲響了警鐘，需要我們不斷對其進行研究并關注。企業信息安全部門也要通過實例進行總結，構建一個安全穩定的企業網絡運行環境和常備不懈的安全防范意識。

[1] 什么是 wannacry 勒索病毒． https：//zhidao．baidu．com/question/2121905220571823667．html．

[2] 安天安全研究與應急處理中心．勒索軟件簡史[J]．中國信息安全，2017．

[3] “蠕蟲式”的勒索病毒泛濫全世界 100多個國家．http：//weibo．com/p/2304181440b28a20102wvo1．

[4] 火絨安全．“勒索病毒”深度分析報告．http：//www．Huorong．cn/info/146173937921．html．

[5] 保護文件數據．遠離勒索軟件．http：//science．china．com．cn/2016-03/22/content_8652756．html ．