勒索病毒原理分析與企業有效防范勒索病毒研究

曾敏 戴衛龍

摘 ?要：隨著互聯網的不斷普及，人們接觸使用互聯網的頻率越來越高。互聯網在給人們提供便利的同時，也帶來了巨大的威脅。近段時期來，全球范圍內出現多起加密勒索病毒事件，雖然信息安全防護技術在不斷提高，但攻擊者的技術手段也隨之提高，給網絡安全造成了巨大的隱患和挑戰。筆者通過對勒索病毒攻擊特點與原理的深入分析，并結合所屬公司的實際情況提出了具體有效的防范措施，對局域網反勒索病毒具有重要的現實意義。

關鍵詞：網絡病毒;勒索病毒;網絡安全

中圖分類號：TP309.5 ? ?文獻標識碼：A 文章編號：2096-4706（2019）18-0124-03

Abstract：With the continuous popularity of the internet，the frequency of people’s access to the internet is getting higher and higher，while internet provides convenience to people，it also brings enormous threat. In recent years，there have been many encrypted extortion virus incidents around the world. Although the information security protection technology has been continuously improving，the technical means of attackers have also been improved，which has caused tremendous hidden dangers and challenges to network security. Through in-depth analysis of the characteristics and principles of blackmail virus attack，and combined with the actual situation of the company，the author puts forward specific and effective preventive measures，which has important practical significance for LAN anti-blackmail virus.

Keywords：network virus;blackmail virus;network security

0 ?引 ?言

勒索病毒，也稱贖金木馬，其在上世紀八十年代就已經出現，隨著互聯網技術及加密技術的不斷發展。近年來隨著比特幣等數字貨幣的發展，勒索病毒有愈演愈烈的趨勢，在全球范圍內連續發生多起勒索病毒事件，嚴重影響了企業及個人用戶的正常使用[1]。勒索病毒通常以垃圾郵件、網頁木馬等形式在網絡中進行傳播，一旦電腦遭到勒索病毒入侵，病毒將把電腦中絕大多數文件以特殊加密算法進行加密，使得用戶無法正常讀取和使用電腦中的任何文件，給用戶造成了巨大的損失。

隨著2017年WannaCry大規模爆發，勒索病毒已經發展成為威脅度最高的木馬病毒，據統計，超過80%的勒索病毒都是以企業為入侵對象，并且大型企業受威脅的頻率也逐年提升。這些大型企業內部文件一旦全部無法使用，將給企業造成巨大的損失，為此許多企業都選擇支付相應的金額換取這些文件。隨著勒索病毒的種類不斷地增長以及危害程度的提升，如何有效防范勒索病毒已經成為全球政企機構所必須面對的網絡安全問題[2]。

筆者所屬的株洲時代新材料科技股份有限公司是一家大型的制造企業，隨著近些年的快速發展，目前在全國已有多家子公司以及一家海外公司，因此，如何有效防范勒索病毒是公司網絡管理部門急需解決的問題，具有重大的研究意義。

1 ?勒索病毒原理分析

1.1 ?勒索病毒的特點分析

通過結合日常網絡安全工作以及對勒索病毒的具體研究發現，勒索病毒主要具備以下幾個方面的特點[3]：

（1）勒索病毒利用Windows操作系統445端口漏洞進行傳播。445端口是常用的TCP端口，但由于這一端口具有較高的訪問權限，也常被業內人士戲稱為“灰洞”。一旦勒索病毒獲取了445端口的權限，將可以在局域網中輕松訪問共享文件夾或共享打印機，因此445端口也稱為勒索病毒入侵的重要路徑之一。

（2）勒索病毒入侵服務器或主機后，對硬盤文件進行加密。勒索軟件入侵服務器或主機后，將對系統內的各種Office文件、壓縮包、媒體文件、電子郵件、數據庫文件、源代碼、密匙、證書等進行加密處理。

（3）勒索病毒一般采用2048位的RSA算法進行文件加密，這種加密算法目前仍沒有有效的解密方法，暴力解密所需要的時間往往以百萬年計。

（4）勒索病毒作為一種蠕蟲病毒，具有普通蠕蟲病毒的所有特征，能夠自我復制、自我傳播，可以借助網絡進行變種更新，具有較快的傳播速度。

1.2 ?勒索病毒運行流程分析

勒索病毒部分的運行流程如下所示：

（1）勒索病毒中含有加密的壓縮文件，通過解壓釋放出勒索病毒文件。

（2）通過命令行將感染主機內所有文件的訪問權限設置為完全訪問權限。

（3）解密文件數據，提取出含有主要加密邏輯代碼的動態庫，調用該動態庫中的函數對主機中文件進行加密。

（4）調用勒索動態庫代碼。首先導入一個RSA公鑰，并生成一組RSA會話密鑰;其次將會話密鑰的公鑰導出并寫入到00000000.pky文件中;之后將會話密鑰中的私鑰用剛導入的RSA公鑰進行加密后，存放在00000000.eky文件中。

勒索病毒會對主機內全部文件進行遍歷，一旦文件擴展名存在于病毒內部的擴展名列表中，即將該路徑加入到加密操作的對象列表中，并在遍歷結束后對列表內全部對象進行加密操作。

2 ?有效防范勒索病毒具體措施

公司采用的是內外網隔離的方式，公司的網絡復雜，全國多個地方都有子公司，子公司通過光纖接入到總部的內網，還有一個海外公司，海外公司的網絡是可以訪問互聯網的，直接接到公司內網，采用防火墻、訪問控制、容災等來保護內網及內網服務器，結合勒索病毒的特點及運行流程，公司的網絡主要采取了以下措施進行勒索病毒的防范。

2.1 ?從網絡結構角度防范

445端口是勒索病毒傳播入侵的重要窗口，外部互聯網中的勒索病毒對內部局域網發起攻擊需要內部局域網用戶直接暴露在外部互聯網中且沒有安裝相應的補丁，因此內網用戶不會受到來自外部互聯網中勒索病毒的入侵。但對企業來說，如果企業內部網絡中存在連接到外部互聯網的節點，那么一旦該節點受到入侵，將可能導致整個內部網絡被感染。

為了避免被勒索病毒感染，內部局域網內主機需要及時禁用445端口并安裝官方發布的漏洞補丁，同時做好安全加固和文件備份工作。同時在局域網內部配置訪問控制策略，對局域網內部主機間的135、137、139、445等通信端口的訪問權限進行限制。根據不同系統進行數據流向的訪問控制，訪問控制策略細化到IP地址和端口。在核心交換機、匯聚交換機上全部配置限制相關風險端口的ACL。

2.2 ?從防火墻角度防范

在總部與各子公司間架設物理防火墻（架構如圖1所示），在防火墻上配置策略，針對不同的服務器只開通其所需的端口號（部分配置截圖如圖2所示），并將所有的TCP 445端口加入到防火墻配置禁用端口策略中，避免勒索病毒通過該端口在局域網內進行傳播。對防火墻端口流量進行實時監控，任何流量異常的事件都實時通過郵件反饋給管理員。并開啟IPS特征庫、防病毒特征庫、應用識別及URL分類庫升級服務，針對經過防火墻的數據，進行病毒、木馬、入侵過濾，保證網絡的安全性。

2.3 ?從操作方式角度防范

將重要文件備份至共享服務器。同時做好服務器及文件的定期備份工作，定期將重要服務器及重要文件備份到備份存儲中，以避免被勒索病毒加密（部分備份截圖如圖3所示）。為了避免勒索病毒通過共享存儲在內網主機間進行傳播，定期對共享介質進行木馬查殺。

3 ?結 ?論

本文主要對勒索病毒的原理進行了詳細的分析，分別從勒索病毒的特點以及運行流程兩大方面進行研究，結合筆者所屬株洲時代新材料科技股份有限公司關于網絡安全方面的實際手段，從網絡結構、防火墻以及操作方式三大角度提出了相應的防范勒索病毒的具體措施，對公司針對勒索病毒的有效防范具有重大意義。

參考文獻：

[1] 安天安全研究與應急處理中心.勒索軟件簡史 [J].中國信息安全，2017（4）：50-57.

[2] 徐新.病毒防治安全技術在計算機局域網中的有效運用 [J].電子技術與軟件工程，2016（24）：214.

[3] 金重振，葛萬龍.局域網勒索病毒的防護策略研究——以WannaCry為例 [J].信息與電腦，2017（18）：217-218.

作者簡介：曾敏（1989.08-），男，漢族，湖南永州人，助理工程師，碩士研究生，研究方向：計算機技術。