勒索病毒的防御方法

◆胡國強

?

勒索病毒的防御方法

◆胡國強

（西北農(nóng)林科技大學(xué)網(wǎng)絡(luò)與教育技術(shù)中心 陜西 712100）

2017年5月12日，勒索病毒強勢來襲，全球近百個國家遭受勒索病毒“WannaCry”影響。本文詳細(xì)分析了勒索病毒的特點，并給出了防御勒索病毒的具體方法。

勒索病毒；防御；方法

0 引言

Snort入侵檢測系統(tǒng)是目前使用最廣的開源入侵檢測系統(tǒng)之一，具有良好的跨平臺性，并提供豐富的報警機制。Snort 的檢測采用的是模式匹配策略。模式匹配過程是系統(tǒng)運行的主要過程，是系統(tǒng)主要的性能瓶頸。針對此問題已有很多學(xué)者做了大量研究，文獻(xiàn)[3]對BM算法做了改進(jìn)，去除了傳統(tǒng)的好后綴規(guī)則，改進(jìn)了壞字符規(guī)則。文獻(xiàn)[4]提出一種基于隨機指紋模型的多模式匹配方法。文獻(xiàn)[5]基于BM算法的優(yōu)點改進(jìn)AC算法，提出了多目標(biāo)AC-BM算法，大大降低重復(fù)搜索文本串的次數(shù)。

2017年5月12日晚，勒索病毒“WannaCry”感染事件在全球爆發(fā)，短時間內(nèi)已經(jīng)擴散至全球上百個國家。據(jù)統(tǒng)計，全球99個國家和地區(qū)爆發(fā)了超過7.5萬起電腦病毒攻擊事件，俄羅斯、英國、中國、烏克蘭等國紛紛“中招”，英國國家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊，多家公立醫(yī)院的電腦系統(tǒng)幾乎同時癱瘓，電話線路也被切斷，導(dǎo)致很多急診病人被迫轉(zhuǎn)移。從國家互聯(lián)網(wǎng)應(yīng)急中心獲悉，此次爆發(fā)的勒索病毒屬于蠕蟲式勒索軟件，通過利用編號為MS17－010的Windows漏洞（被稱為“永恒之藍(lán)”）主動傳播感染受害者。電腦被勒索病毒感染后文件會被加密鎖定，支付黑客所要贖金后才能解密恢復(fù)，受攻擊對象甚至包括醫(yī)院、高校等公益性機構(gòu)。歐盟刑警組織說，這次網(wǎng)絡(luò)攻擊“達(dá)到史無前例的級別”。截至2017年5月14日10時30分，國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個IP地址遭受“永恒之藍(lán)”漏洞攻擊；被該勒索軟件感染的IP地址數(shù)量近3.5萬個，其中中國境內(nèi)IP約1.8萬個。

網(wǎng)絡(luò)病毒一直是互聯(lián)網(wǎng)用戶心中揮之不去的陰影，2007年，“熊貓燒香”在數(shù)百萬電腦用戶里除之不盡，成為人們噩夢般的記憶[1]；最近，勒索病毒又在全球肆虐。面對一次又一次的病毒攻擊，人們都有疑惑，為什么病毒攻擊影響這樣大？怎樣防范病毒攻擊？如何保障我們的電腦安全？面對疑問，深入剖析一下勒索病毒，能夠帶給我們一些亡羊補牢的思考與啟示[2]。

1 勒索病毒的特點

勒索病毒（也稱敲詐者病毒）是不法分子通過發(fā)送郵件等網(wǎng)絡(luò)釣魚方式，向受害電腦或服務(wù)器植入敲詐病毒來加密硬盤上的文件或鎖屏，并以此敲詐勒索用戶錢財?shù)囊环N惡意軟件，此軟件要求受害者支付數(shù)額不等的贖金（一般要求以比特幣方式支付）后才予以解密。

最早的勒索病毒的病毒名為“艾滋病信息木馬”（Trojan/DOS.AidsInfo），始于1989年。最近幾年隨著用戶使用終端方式的改變、比特幣等電子貨幣的發(fā)明和匿名通信網(wǎng)絡(luò)的興起，勒索病毒的傳播、劫持和敲詐方式也發(fā)生了很大的變化。如今敲詐者病毒的攻擊范圍已經(jīng)涵蓋了Windows、Mac、Android、IOS和虛擬桌面。360互聯(lián)網(wǎng)安全中心發(fā)布的《2016敲詐者病毒威脅形式分析報告》指出，勒索病毒病毒作為新型網(wǎng)絡(luò)犯罪生力軍已經(jīng)泛濫成災(zāi)，2016已經(jīng)出現(xiàn)了九起大規(guī)模攻擊事件，給世界組織機構(gòu)造成不可估量的損失。2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入勒索病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當(dāng)于人民幣2069元的比特幣才可解鎖。

該病毒有以下特點：

（1）勒索病毒利用Windows操作系統(tǒng)445端口存在的漏洞（MS17-010）進(jìn)行傳播。

445端口是很常用的TCP端口，被被網(wǎng)絡(luò)安全業(yè)內(nèi)人士戲稱為“灰洞”，開啟此端口可在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機[3]，但是，也給勒索病毒在局域網(wǎng)內(nèi)瘋狂傳播提供了通道。

（2）勒索病毒入侵服務(wù)器或主機后，對服務(wù)器或主機硬盤的文件進(jìn)行加密。

被該勒索軟件入侵后，用戶主機系統(tǒng)內(nèi)的Office文件、壓縮文檔和媒體文件、電子郵件和郵件數(shù)據(jù)庫、數(shù)據(jù)庫文件、源代碼和項目文件、密匙和證書、設(shè)計軟件生成的文件或虛擬機文件都將被加密。

（3）勒索受害者以獲取比特幣。

用戶主機遭受攻擊后，要求受害者支付價值數(shù)百美元的比特幣（BitCoin）。比特幣是一種P2P（點對點）形式的數(shù)字貨幣，它不依靠特定貨幣機構(gòu)發(fā)行，它依據(jù)特定算法產(chǎn)生，并使用密碼學(xué)的設(shè)計來確保貨幣流通各個環(huán)節(jié)安全性[4]。由于比特幣具有去中心化、匿名性、無隱藏成本等特性，造就其成為黑客收取“贖金”的通道。

（4）加密后的文件很難破解

這種病毒使用的是2048位RSA加密，目前的計算機沒有辦法解密，暴力破解的時間可能要以百萬年計或是等到量子計算機實用化。獵豹移動安全專家李鐵軍表示，“這次全球性爆發(fā)病毒，沒有密鑰，救不了”，這意味著該病毒只能防御，暫時不能被破解。

（5）具有蠕蟲病毒的所有特征，可以自我復(fù)制、自我傳播，可以借助于網(wǎng)絡(luò)進(jìn)行變種更新。

勒索病毒是一種“蠕蟲式”病毒，具有蠕蟲病毒的所有特征，可以自我復(fù)制、傳播速度快，2017年5月12日，WannaCry勒索病毒爆發(fā)；2017年5月14日，WannaCry勒索病毒出現(xiàn)了變種WannaCry 2.0；5月17日，國家計算機病毒應(yīng)急處理中心與亞信科技（中國）有限公司聯(lián)合監(jiān)測發(fā)現(xiàn)一種名為“UIWIX”勒索病毒新變種。由此可見，勒索病毒在網(wǎng)絡(luò)中極易進(jìn)行變種更新。

2 防御方法

勒索病毒的具體防御方法：

（1）開機前斷掉網(wǎng)絡(luò)，將重要文件備份至移動硬盤。

打開電腦前，應(yīng)拔掉網(wǎng)線，然后開機。開機后，打開電腦上安裝的防火墻，并將重要文件拷貝至移動硬盤，以免由于感染病毒或木馬丟失重要文件。

（2）開機后，開啟防火墻，在防火墻上配置策略，關(guān)閉TCP445端口。

電腦正常開機后，開啟系統(tǒng)防火墻，在防火墻配置禁用端口策略，并把TCP445端口加入到該策略中，以避免病毒通過該端口在局域網(wǎng)內(nèi)傳播。

（3）連接網(wǎng)絡(luò)后，打開Windows更新，安裝最新補丁。

插上網(wǎng)線，連接網(wǎng)絡(luò)。接入網(wǎng)絡(luò)后，打開Windows更新，安裝最新的系統(tǒng)補丁，同時升級電腦上安裝的安全軟件。

（4）安裝正版的防火墻和殺毒軟件。

盡量購買正版的殺毒軟件和防火墻軟件，安裝正版的防火墻和殺毒軟件，以提升防護效果。

3 結(jié)束語

文章分析了勒索病毒的特點，并給出了具體的防御方法。文章認(rèn)為作為國家整體安全體系重要組成部分之一的網(wǎng)絡(luò)安全，確有許多值得反思和警誡的地方。下一步，將深入研究、找出先階段網(wǎng)絡(luò)安全存在的問題及應(yīng)對策略。

[1]馬俊.對網(wǎng)絡(luò)生態(tài)構(gòu)建的幾點思考——以"熊貓燒香"病毒案為例[J].新聞界, 2007.

[2]張錫杰.關(guān)于加強網(wǎng)絡(luò)信息安全的幾點思考——從"熊貓燒香"案暴露出的隱患談起[J].中國行政管理, 2007.

[3]王遠(yuǎn)志.基于Hadoop的全網(wǎng)絡(luò)流量異常監(jiān)測算法研究[D].鄭州大學(xué)，2014.

[4]王春,李津.比特幣交易網(wǎng)站負(fù)責(zé)人潛逃卷走玩家2000[EB/OL]. http://news.ifeng.com/society/1/detail_2013_12/11/32014620_0.shtml, 2017.

[5]劉積芬.網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].上海:東華大學(xué)，2013.