新型計算機勒索病毒研究

趙乾 楊釗 伍權樹 鐘翡

摘要：近期一系列對比特幣進行勒索的新型計算機勒索病毒席卷全球150多個國家，病毒來勢洶洶且種類不斷翻新，大有愈演愈烈之勢。文章通過探討計算機勒索病毒的分類、成因和攻擊原理，探尋防護計算機勒索病毒的策略方法。

關鍵詞：勒索病毒；WannaCry； Petya； BadRabbit

近年來，計算機勒索病毒（以下簡稱勒索病毒）爆發頻率高、破壞程度強且社會影響較大。顧名思義，勒索病毒是病毒研發者或黑客組織用于勒索被攻擊計算機用戶錢財的一系列計算機程序的總稱，通常由漏洞攻擊工具、病毒本體、局域網傳播工具和木馬后門程序等組成。不同于其他計算機病毒以“炫技”“報復”“盜取”等為目的，勒索病毒多以篡改存儲數據為手段，以非法索取受害者財物為目的，病毒研發者的犯罪動機極其明顯，犯罪手段非常極端。

1 勒索病毒的分類

按照攻擊手段的不同，勒索病毒可分為誘導攻擊型和主動攻擊型兩種。一是誘導攻擊型勒索病毒，指通過偽裝病毒程序和代碼.誘導計算機用戶在不知情的情況下啟動病毒程序，進而植入勒索病毒。最早的誘導勒索程序出現于1989年，而后勒索程序不斷升級迭代，由計算機程序演變為計算機病毒，2007年3月曾出現以敲詐勒索為目的的“勒索者病毒”（Harm.Extortioner.a），它是通過E語言編寫的程序，運行后刪除各分區中的文件，彈出非正版警告，并提供“購買”方法達到誘導和欺騙的目的。2017年11月出現的BadRabbit、Ransom病毒，是通過誘導用戶下載并安裝植入了病毒的Adobe Flashplayer更新包，并誘導用戶啟動病毒程序。二是主動攻擊型勒索病毒，指主要通過黑客技術入侵用戶計算機系統而植入的勒索病毒。主動攻擊型勒索病毒首次出現在2017年5月，以攻擊微軟MS17-010漏洞的WannaCry和Petya（WannaCry變種）為代表，這一類型病毒主動尋找并攻擊系統漏洞獲得系統權限并植入病毒本體，是黑客技術與病毒技術結合的產物，其危害性遠超其他類型的勒索病毒。

2 勒索病毒的成因

早期的勒索病毒以惡作劇為主，以獲利為輔，其病毒代碼的水平較低級，隱藏性和危害性相對較弱，這類病毒極易被查殺，且破壞影響極易被消除，這是因為：（l）當時病毒作者多為單打獨斗，技術手段不成體系，更多的是通過“炫技”以達到擴大知名度的目的。（2）當時計算機安全防護技術普及不夠廣泛，大多數系統在沒有安全防護手段的保護下運行，容易淪為“肉雞”。（3）支付手段落后且容易被溯源，制作勒索病毒的違法成本較高，風險較大。

隨著計算機病毒技術、黑客組織的發展，以及某些國家安全機構的失職，導致勒索病毒順利“著床”，并迅猛發展。其成因主要包括：（l）黑客組織發展壯大。黑客組織依靠官方組織和民間自發成立，具有較強的組織性。隨著“棱鏡門”事件和維基解密等反黑幕組織的出現，越來越多的證據顯示，以某國政府為背景的黑客組織正在打破網絡安全防護的平衡，NSA（美國國家安全局）下屬一支代號“方程式”（Equation Group）的黑客部隊，其針對各種操作系統研究的黑客攻擊手段，已經形成了具有攻擊框架和攻擊工具的戰略級“武器庫”。民間存在一些“地下”黑客組織，諸如因攻破NSA武器庫而得名的“影子經紀人”（Shadow Brokers）、向IS宣戰的“匿名者”（Anonymous）黑客組織等，民間黑客組織具有更加嚴密的組織層次，其政治目的、軍事目的和經濟目的的隱蔽性使其更難防御。（2）病毒工具更加豐富。隨著網絡攻擊技術、計算機病毒技術、密碼技術的發展，一批模塊化的病毒工具被生產出來，并流向非法組織和個人。NSA“方程式”組織泄漏的針對Windows和Swift系統的攻擊工具多達12種之多，病毒作者僅僅基于其中一種“永恒之藍”便制作了WannaCry和Petya這兩個令全世界恐慌的勒索病毒，而官方和地下的黑客組織所掌握“武器庫”規模則難以估算。（3）虛擬貨幣缺少監管。以“比特幣”為代表的虛擬貨幣逐漸形成特有的市場，其基于P2P數據庫和密碼學的設計確保了流通交易的匿名性，為不法分子洗錢和非法獲利提供了平臺。

綜上所述，在黑客組織、病毒技術和虛擬貨幣支付體系成熟的大環境下，網絡勒索行為的門檻降低、風險趨零、組織優化、獲利豐厚，增加了網絡犯罪分子的囂張氣焰，使得勒索病毒在短期內頻繁爆發并迭代。

3 勒索病毒攻擊原理

勒索病毒攻擊分為5個步驟：攻擊系統、植入病毒、實施破壞、勒索用戶、掛載木馬，其中前4個步驟為常見步驟，第5個步驟為部分變種病毒所特有，下面以WannaCry病毒攻擊步驟為例來探討勒索病毒攻擊的原理。

3.1系統攻擊

勒索病毒的攻擊手段包括蠕蟲攻擊和木馬植入。蠕蟲攻擊指基于“永恒之藍”攻擊工具開發的針對MS17-010漏洞的蠕蟲病毒的攻擊行為，初始攻擊由黑客主動發起，一旦存在可利用的SMB漏洞，蠕蟲病毒會入侵主機并依托主機向其他局域網主機發起新的攻擊，直至攻擊對象全部感染。木馬植入是指通過運行掛載的木馬程序，從系統內部打開病毒入侵的端口，并以此為源頭向其他局域網主機發起攻擊。

3.2植入病毒

植入病毒是指被攻擊的主機通過被開放的端口傳輸病毒代碼，病毒代碼最早是通過遠程控制注入，當局域網中的一臺主機被攻陷后，則以被攻陷主機為支撐，向新的局域網主機發起攻擊并注入病毒，病毒代碼被注入后，在主機系統內立即啟用。

3.3實施破壞

病毒代碼一旦運行，會對主機存儲的文件進行加密，WannaCry采用RSA+AES加密算法，是美國聯邦政府采用的一種區塊加密標準，這項加密算法異常復雜，想要完全破解AES花費的時間要以數十億年計，極大地保證了數據的安全性。加密的對象是圖片、文檔、視頻、壓縮包等文檔資料，根據病毒版本的不同，被加密的文件會按照ONION或WNCRY兩種后綴名來存儲。

3.4勒索用戶

病毒對文件完成加密后，會鎖定系統并針對操作系統所在區域生成對應的語言提示，提示用戶支付約300美元（相當于2 069元人民幣）的比特幣到指定比特幣帳號。有趣的是，經反匯編病毒程序，可以看到病毒的勒索界面包含28種語言包，可見病毒作者對病毒的國際影響范圍早有預期，據比特幣分析機構的相關數據顯示，在WannaCry爆發的一周內.制作者通過比特幣交易平臺獲得的贖金約為7萬美元。

3.5掛載木馬

在一些變種勒索病毒中還發現掛載了其他木馬，用于盜取主機用戶的信用卡和身份信息等，可見勒索病毒不再拘泥于單一的獲利手段，開始回歸傳統的病毒攻擊方式，以期建立長期的價值獲取機制。

4 勒索病毒的防護策略

截至2017年11月，僅WannaCry -種勒索病毒已經導致烏克蘭、俄羅斯、印度、西班牙、法國、英國等150個國家的政府、銀行、電力、通信、交通、醫療、石化等公共服務系統不同程度的癱瘓，預計約有30萬臺主機受到攻擊，損失達80億美元，我國部分高校學生因學位論文被加密而失去按時畢業的機會。應對勒索病毒所造成的威脅，形成“封堵漏洞、云端管理、數據備份、升級病毒庫”相結合的策略，是預防勒索病毒感染的有效方法。

4.1健全法治

2017年6月1日施行的《中華人民共和國網絡安全法>第五條規定：“國家采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網絡違法犯罪活動，維護網絡空間安全和秩序。”為我國在法律上懲治網絡勒索行為提供了法律依據，并對國家網信部門和基礎網絡運行商的安全防護職能進行了明確，網絡安全事件按照危害程度、影響范圍等因素進行分級，并規定相應的應急處置措施等，從行政的角度對類似勒索病毒爆發的安全事件防護和處置措施進行了規范。我國雖然是計算機用戶數量最大的國家，但據專業網站對勒索病毒產生的影響分析，從主機端口被攻擊的數量、支付贖金的數量和系統補丁安裝的數量上看，我國在病毒事件前后采取的安全處置行動的響應速度最快，受益用戶最多，防護效果最好。

4.2封堵漏洞

隨著“永恒之藍”攻擊工具泄漏的還有“永恒王者、永恒浪漫、永恒協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查”等NSA針對Windows研發的系統攻擊工具，每一款攻擊工具都可能被不法分子利用，發起勒索病毒攻擊。微軟在NSA武器庫泄漏不久就緊急發布了MS17-010，MSI0-061，MS09-050，MS08-067等系統補丁，對SMB，Kerberos，Server netAPI等漏洞進行了修復，可以完全抵御這次危機。另外，防病毒軟件對病毒庫進行了升級，利用軟件防火墻技術封堵了“永恒”系列攻擊工具的漏洞。

4.3云端管理

勒索病毒發起的局域網攻擊使得一部分并未暴露在主動攻擊威脅下的主機也淪為被攻擊對象，這是因為一方面大多數局域網用戶為企業、園區、校園等內部網絡，在外網防火墻的保護下，局域網主機缺乏內部安全防護措施，另一方面為了方便局域網通信，135、137、138、139、445等被勒索病毒利用的端口并未屏蔽，這些因素導致了局域網用戶更容易遭受勒索病毒的攻擊。對于局域網用戶的管理應當部署統一的入侵監測、主機監控和防病毒系統，通過云端統一管理局域網的安全事件，采用用戶組策略來封堵勒索病毒在局域網的傳播。

4.4數據備份

勒索病毒采用RSA+AES加密算法，理論上無法在有限的時間內破解，在WannaCry病毒出現后，提出過采用數據恢復軟件進行文件恢復的方法，但在Petya和BadRabbit病毒爆發后，病毒開始對文件列表進行加密，并寫入無序信息，導致數據恢復方法徹底失效。針對勒索病毒的加密技術，目前并無有效的解決方法，但卻可以提前進行預防，對重要的數據經常進行數據備份或采取云端備份的方式，減少主機被攻擊后帶來的損失。