淺談高校勒索病毒預防和應急措施

馮潔瑩

摘 ?要： 勒索病毒近年來在數量上呈爆發式增長，嚴重影響全球眾多關鍵信息基礎設施，成為網絡安全中的一個關注熱點。文章介紹了勒索病毒的現狀，結合高校的網絡環境，綜合多種勒索病毒防治手段，提出了一系列通用的勒索病毒預防和應急響應措施。經浙江大學網絡安全工作的實踐證明，合理應用這些措施，能有效提高勒索病毒的防護水平。

關鍵詞： 勒索病毒; 預防; 應急響應; 高校

中圖分類號：TP309.5 ? ? ? ? ?文獻標志碼：A ? ? 文章編號：1006-8228（2019）10-54-03

Abstract： In recent years， extortion virus has shown explosive growth in number， which has seriously affected many key information infrastructure areas around the world and has become a focus in network security. This paper briefly introduces the current situation of extortion virus， based on the network environment of colleges and universities and various methods of extortion virus prevention and control， puts forward a series of general measures to prevent and emergency respond to extortion virus. The practice of network security work in Zhejiang University has proved that the reasonable application of these measures can effectively improve the level of protection against extortion virus.

Key words： extortion virus; prevention; emergency measures; colleges and universities

0 引言

勒索病毒是在僵尸網絡基礎上的一種控制形式的升級。黑客在控制了用戶計算機以后，將用戶數據加密，并勒索用戶用虛擬貨幣為數據解密支付贖金[1]。

對勒索病毒的研究最早始于1996年[2]。在之后的二十多年間，眾多勒索病毒如TeslaCrypt[3]、VaultCrypt[4]、NanoLocker[5]、Android Simplelocker[6]、OSX/KeRanger-A[7]、NotPetya[8]、Cerber[9]等陸續出現在人們視野中。

近三年是勒索病毒又一個爆發高峰期。2017年5月12日，WannaCry勒索病毒[10]在短時間內席卷全球，大量的政府部門、企業單位及教育機構受到病毒侵害，中國高校成了此次勒索病毒事件中被感染的重災區[11]。2017年6月27日晚，烏克蘭、俄羅斯、印度及歐洲多個國家遭遇Petya勒索病毒[12]襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度受到了影響[13]。2018年8月21日起全國多地發生GlobeImposter勒索病毒事件。2018年10月27日凌晨，杭州某衛生信息系統黑屏，數據庫文件被加密，業務系統無法啟動，初步判斷系感染GandCrabV5.0.4勒索病毒。2019年3月11日起，勒索病毒GandCrab V5.2對我國有關政府部門和高校開展釣魚郵件攻擊。這些勒索病毒在全球范圍內，給政府、教育、醫院、能源、通信、制造業等領域造成了前所未有的重大損失。

由于勒索病毒變種多、攻擊形式多樣，且成功運行后解密較為困難，而高校存在網絡環境復雜、上網用戶多、服務器分散等問題，因此要特別重視勒索病毒的預防和應急處置工作。

1 勒索病毒的預防措施

目前應對勒索病毒的措施主要以預防為主，同時加強整體網絡安全管理，增加有效的技術治理手段，具體分為如下幾塊內容。

1.1 增強安全意識

勒索病毒的攻擊手段之一是通過偽裝病毒程序和代碼， 誘導計算機用戶在不知情的情況下啟動病毒程序， 進而植入勒索病毒[14]，主要感染途徑為網頁掛馬、垃圾電子郵件、捆綁惡意程序等。日常使用網絡時要具備以下安全意識：

⑴ 不訪問色情、博彩等不良網站，不輕易下載陌生人發來的郵件附件，不點擊陌生郵件中的鏈接;

⑵ 不隨意使用陌生U盤、移動硬盤，不輕易解壓不明壓縮文件;

⑶ 不輕易運行陌生的腳本文件和可執行程序，陌生文件運行前使用殺毒軟件進行查殺;

⑷ 定期對全盤進行病毒查殺，清理可疑文件，備份數據。

增強安全意識的培訓工作應落實到高校網絡安全工作的日常宣傳、線上線下安全培訓等活動中。

1.2 密碼和端口管理

勒索病毒的另一種攻擊手段是通過黑客技術入侵用戶計算機系統，進而植入的勒索病毒[14]，代表就是WannaCry和Petya勒索病毒。主要通過利用系統和應用程序漏洞（永恒之藍等）和爆破服務（RDP、FTP、MySQL、SQLServer等）弱口令、空口令、服務器共用口令。對密碼爆破攻擊，可從如下幾點進行防范：

⑴ 不使用弱口令、空口令，多臺服務器不共用同一個口令;

⑵ 設置強密碼，長度不少于8個字符，至少包含大小寫字母、數字、特殊符號中的三類，不使用人名、計算機名、用戶名、郵箱名等;

⑶ 對多賬戶服務器嚴格控制每個賬戶的權限;

⑷ 做到定期更換口令。

此外，應對開放的端口進行管理。除了必要的業務需求，應關閉 135、139、445、3389等端口，或通過防火墻配置、安全軟件隔離、準入管理等手段，僅允許指定機器訪問。

高校網絡安全相關部門應關注外界勒索病毒的爆發情況，及時發布預警通知，將影響降到最低。

1.3 及時修復漏洞

來自Recorded Future的報告顯示，2018年黑客最常用的十大漏洞中，有八個漏洞都來自微軟，與日常學習工作不可或缺的office和IE有關，不及時修復會導致遠程代碼執行，進而被植入勒索病毒。

除了廣為人知的永恒之藍之外，JBoss反序列化漏洞、Tomcat任意文件上傳漏洞、Tomcat web管理后臺弱口令爆破、ApacheStruts2遠程代碼執行漏洞等Web應用漏洞也是勒索病毒的利用途徑。

因此，高校網絡安全相關部門應及時跟進微軟發布的高危漏洞公告，發布的漏洞預警公告，并督促校內各單位盡快修復系統存在的漏洞。校內各單位應提高安全意識，高度重視收到的漏洞通報，及時修復漏洞，避免被惡意利用。如果不能及時關注響應這些漏洞信息，可借助安全軟件修復漏洞，當前主流的殺毒軟件和安全衛士均提供漏洞更新服務。有條件的單位可以定期對名下系統和應用系統進行自查。

1.4 加固安全防護

高校目前均部署有一系列的安全設備，如Web應用防火墻、APT預警平臺、防病毒網關等，合理利用各個設備的優勢，及時更新規則庫，調整防護策略，關注并處理設備的告警信息。

高校網絡安全相關部門應定期開展校園網病毒專項檢查工作，及時發現已失陷主機，通知所屬用戶處置或協助用戶進行處置和安全加固。

2 勒索病毒的應急響應

百密一疏，再全面的防護措施，也會有漏網之魚。當流量分析或威脅監測系統產生大量“SMB遠程溢出攻擊”、“弱口令爆破”等告警信息，或者某臺設備出現CPU或內存資源占用異常時，應加以重視，可能是病毒在嘗試攻擊。一旦校園網內某臺主機感染勒索病毒，除了該主機自身的文件會被加密外，勒索病毒往往還會利用這臺主機去攻擊同一局域網內的其他主機。

因此，一旦發現某臺主機疑似感染或已被感染，高校網絡安全相關部門應盡快采取應急響應措施。一般處理步驟如下。

2.1 隔離

對疑似感染或已被感染的主機進行斷網或限制訪問處理，防止勒索病毒擴散。

2.2 排查

排查相關業務系統是否受到影響，確定是否有其他主機受影響，明確病毒影響范圍。

2.3 加固

勒索病毒攻擊途徑一般為未修復的系統漏洞、應用漏洞和弱口令爆破，因此，在明確局域網內已有主機感染勒索病毒后，應檢測其他主機是否有上述的問題存在。系統漏洞可以使用Nessus等進行檢測，應用漏洞可以使用AWVS、APPScan等進行檢測。檢測報告將給出詳細的漏洞描述、危害和修復建議。弱口令應立即修改為強密碼，若條件允許，還可配置防暴力破解策略，增強安全性。

2.4 恢復

對已被勒索病毒加密的設備，一般有備份還原、數據恢復、工具解密、支付解密四種方法。

⑴ 備份還原：該方法適用于備份文件未受勒索病毒影響的情況。通常，本地備份和同一局域網內的異機備份都會被病毒遍歷到而被加密，因此，最佳的備份方式是不在同一局域網內的異地備份。進行備份還原前，應進行磁盤格式化并重裝系統，確保病毒已被徹底清除。因此，對重要的系統和設備，一定要進行合理的數據備份，這也是目前最有效的恢復方法。

⑵ 數據恢復：該方法適用于原文件未被覆蓋的情況，可以嘗試使用一些數據恢復工具，或者尋求專業數據恢復人員的幫助。

⑶ 工具解密：目前已有部分勒索軟件被破解，可以嘗試一些官方反勒索病毒網站提供的解密工具。

⑷ 支付解密：建議只有在數據非常重要且采用其他方法都無法恢復時使用。不要直接向對方賬戶支付贖金，需聽取安全人員的建議，謹慎處置。

3 結束語

2019年以來，勒索病毒攻擊雖有所減緩，但從未停止。如2019年3月11日的GandCrabV5.2勒索病毒攻擊。當天，浙江大學郵件系統截獲該勒索病毒釣魚郵件700多封，這些郵件均被投遞到了垃圾郵件箱，次日仍有收到20多封釣魚郵件。浙江大學信息技術中心緊急發布漏洞預警通知，升級郵件系統病毒庫，并郵件通知相關用戶提高警惕。目前浙江大學未發現有師生中該勒索病毒。

此起彼伏的勒索病毒事件提醒我們，勒索病毒種類多樣、破壞性大，但可防可控。我們要在處理勒索病毒事件的過程中，提高威脅洞察能力，積累經驗，不斷增強勒索病毒的預防、抵抗和應急處置能力。

參考文獻（References）：

[1] Adamov A， Carlsson A. The state of ransomware. Trends and mitigation techniques[C]//2017 IEEE East- West Design & Test Symposium （EWDTS）. Piscataway， NJ： IEEE， 2017：1-8

[2] Young A.， Yung M.， Cryptovirology： Extortion-based security threats and countermeasures. In Security and Privacy Proceedings， IEEE Symposium， 1996， pp. 129–140.

[3] Owen G.， Savage N.， Empirical analysis of Tor Hidden Services， IET Information Security， Volume 10， Issue： 3， 2016：113-118

[4] Adamov A.， VaultCrypt： From Russia with Love，NioGuard Security Lab and Ukrainian Cyberpolice，2015.

[5] NanoLocker - Ransomware analysis， MalwareClipboard，http：//blog.malwareclipboard.com/2016/01/nanolockerransomware-analysis.html，2016.

[6] ESET Analyzes Simplocker – First Android File - Encrypting，TOR-enabled Ransomware， ESET，2014.

[7] Claud Xiao， Jin Chen， New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer， Palo Alto Networks，March 2016， https：//researchcenter.paloaltonetworks.com/2016.

[8] EternalPetya / NotPetya Ransomware Analysis， Nioguard Security Lab， June 2017.

[9] New variant of Cerber ransomware （Ferber） analyzed， Nioguard Security Lab， July 2017.

[10] Berry A.， Homan J.， Eitzman R.， WannaCryMalware Profile， FireEye， May 2017.

[11] 馬也， 吳文燦與麥永浩， 從WannaCry勒索病毒事件談高校網絡安全[J]. 網絡安全技術與應用， 2018.4：66-68

[12] Petya – Taking Ransomware To The Low Level，MalwareBytes， April 2016.

[13] 李威， Petya勒索蠕蟲完全分析報告[J]. 計算機與網絡， 2017.43（14）：50-52

[14] 趙乾等， 新型計算機勒索病毒研究[J].無線互聯科技，2018. 1： 26-27