公务员期刊网 论文中心 正文

计算机勒索病毒及防治策略探讨

计算机勒索病毒及防治策略探讨

摘要:近年来,计算机勒索病毒全球肆虐,对政企和个人用户数据进行加密勒索,造成巨大损失,随着数字货币的隐蔽交易和加密技术的不断提高,勒索病毒蔓延网络,对计算机安全防护形成巨大的威胁。从勒索病毒分类、攻击过程出发,提出了防治和应对策略,对反勒索病毒具有指导的现实意义。

关键词:病毒;比特币病毒;勒索病毒;计算机安全

引言

近年来,黑客通过病毒加密数据来勒索用户获取巨额非法收入,称为勒索病毒或者赎金木马。2017年,全球上百个国家和地区都遭受“WannaCry”的勒索病毒,勒索病毒被普通用户所广泛了解,该病毒利用NSA泄露出来的系统危险漏洞“Eter-nalBlue”(永恒之蓝色)[1],因此又被称为“永恒之蓝”病毒。计算机用户中病毒后,用户主机上的各种文档、照片、音视频文件、应用程序或源代码通过非对称多种算法进行加密,并且以文件后缀被改写为“.WNCRY”,用户只能在限定时间内交付比特币赎金才可以得到解密工具。如何有效防治勒索病毒,已经成为目前亟待解决的重要问题。

1勒索病毒简介

勒索病毒是自2016年广泛爆发以来,病毒制作者不再以挂马破坏计算机系统或文件为技术展示,而是以加密用户文件为由勒索金钱进行网络非法犯罪,随着数字货币的隐匿性交易以及计算机加密算法的演进愈演愈烈,其已成为政企用户电脑最大的安全威胁之一[2]。勒索病毒一般通过网页挂马、垃圾邮件,以及伪装非正版软件的破解文件等形式进行网络传播,一旦入侵电脑,就会有选择地遍历用户文件夹下文件,进行相应算法加密,使用户无法正常读取文件,必须支付赎金才能拿到解密工具。比如引发广泛讨论的2017年“永恒之蓝”漏洞“WannaCry”病毒及其变种,2018年Satan病毒及其变种,2019年盛行的Gan-dCrab家族病毒以及Stop家族及其变种[3],以及2020年新型勒索病毒WannaRen,都具有快速传播性和高危害性。

2勒索病毒分析

2.1勒索病毒分类

勒索病毒种类多、变种速度快。勒索病毒从攻击手段层面讲分为诱导勒索型和主动攻击型。诱导攻击型是通过伪装成程序更新文件或者破解文件来诱使用户下载并安装,进而启动病毒程序进行攻击,比如常见的GandCrab和Stop家族等;主动攻击型是指黑客通过操作系统漏洞直接入侵用户主机或者RDP爆破植入勒索病毒,比如WannaCry,Santa病毒及其变种等。从攻击后主机表现来看,一般分为锁屏不加密文件型、锁屏加密文件型以及蠕虫传播型[4],锁屏不加密文件类型危害低已不常见;锁屏加密文件最为严重,采用的高强度加密算法除非拿到私钥,否则无解;蠕虫传播型是只加密用户重要文件,不锁屏亦不破坏用户操作系统正常运行,此类勒索病毒是最为常见的勒索病毒,其危害高、传播广,黑客通过非对称算法加密用户文件,勒索用户支付比特币交易来解密文件数据,病毒变种多,迭代频繁,防不胜防,一旦中招,很难解密文件,造成严重的数据丢失。

2.2勒索病毒攻击流程

勒索病毒进行网络攻击的过程:①病毒通过网页挂马、邮件钓鱼或者弱口令漏洞进行攻击某一用户主机。②当该联网的主机被攻击后,就会在局域网内探寻其他计算机,对有漏洞的机器继续进行感染,以此实现大面积的植入感染,进行勒索获取非法收入。勒索病毒攻击主机的过程大同小异,本文以Stop家族为例,分析勒索病毒攻击计算机的运行流程。1)病毒程序运行。勒索病毒程序被用户运行,首先释放到电脑内存,加载到当前用户正在运行的进程,以此躲避所装杀毒软件的查杀,弹出用户控制窗口进行询问,用户如无法识别即会同意以此获取管理员权限,获取权限后可以在后续进行更多类型文件的加密。2)创建UUID设置自启动任务。病毒运行后先进行豁免区域查询,如通过IP地址查询为豁免国家(病毒制作者设置的特定国家可以攻击豁免)用户则程序自卸载否则继续攻击,此时病毒为当前进程创建UUID,并且复制自身到以UUID为名的新建目录,以该文件路径进行自启动任务的创建。3)生成RSA(非对称加密算法)公钥及用户ID。访问黑客服务器为攻击用户生成1024位的RSA公钥和用户唯一ID的身份认证,通过服务器生成的方式称为Online加密,该加密文件几无破解可能,除非交赎金;若访问服务器失败则进行本地生成公钥和用户ID,该方式称为Offline加密,在可能的条件下是可以解密文件的。4)遍历计算机文件进行加密。遍历文件是首先会豁免指定的文件夹及文件类型(一般为系统运行文件,避免破坏系统正常运行),对其余类型文件进行高强度加密,加密过程中,对文件夹进行磁盘层级遍历,层级过深的文件不进行加密。5)创建txt勒索信。病毒在每个磁盘根目录下以及加密过的用户文件目录下创建_readme.txt的勒索信息。文件里含有具体的勒索信息,黑客邮箱,以及用户ID,通过用户ID可初步判断是否为Offline加密。6)其余附加程序下载执行。加密后会运行一些脚本禁用任务管理器;修改hosts文件,使得用户无法访问微软以及全球的杀毒软件厂商;同时搜索浏览器cookies,浏览记录,邮箱信息,数字钱包等信息打包上传至黑客服务器。

3勒索病毒防治策略

由于高强度加密算法以及数字货币隐匿性交易,导致勒索病毒传播快,代码变形升级快,勒索模式创新又隐蔽,对于加密的文件解密困难,除非妥协交赎金,因此勒索病毒重在预防,而不是中毒后再寻求解密。

3.1增强日常安全意识

日常联网使用计算机的过程中,要提高警惕,不访问涉黄涉毒网站,不随意点击不明来源的执行脚本或者可执行文件,不点击邮件不明链接或附件;安装有效的杀毒软件,进行合理配置,定期查杀病毒,进行可疑文件进行及时隔离;尽量从官方渠道下载使用软件,不轻信破解文件,如必需则在杀毒软件沙盒监督下运行程序。

3.2强口令和漏洞封堵

多数病毒通过系统漏洞或者爆破弱口令作为主动攻击点,因此及时升级系统和打好修复补丁,避免系统漏洞被攻击,及时升级杀毒软件数据库,提高防御能力;定期更新密码口令,使用多重组合强密码,不使用弱口令空口令,严格控制服务器访问权限,每月定期更新口令密码。

3.3防火墙配置及端口管理

外网防火墙加持,并且局域网防火墙配置策略,对445,3389,135,137,139高危端口禁用策略,实时监督防火墙端口流量,严格管理访问服务器的指定主机,统一配置防病毒系统以及准入策略,做到及时识别端口数据进行木马过滤,保证网络安全性。

3.4数据双备份

勒索病毒通常采用非对称加密算法RSA+AES对文件进行加密,解密时限未知,针对该新型勒索病毒的加密算法并没有有效的解密方案,因此服务器或计算机中重要数据要及时进行本地磁盘备份和云服务器双备份,避免主机被攻击而造成数据损失。

4结语

新型勒索病毒破坏大传播快,变种多,加密用户数据造成巨大损失,因此必须高度重视,从技术角度、管理角度和日常使用习惯都需要进行防治策略应对。本文从勒索病毒攻击分析出发,对勒索病毒攻击提出防治措施和建议,对政企以及个人用户计算机安全使用具有指导作用。

参考文献:

[1]金重振,葛万龙.局域网勒索病毒的防护策略研究———以WannaCry为例[J].信息与电脑,2017(18):217-218.

[2]安天安全研究与应急处理中心.勒索软件简史[J].中国信息安全,2017(4):50-57.

[3]张玉,谢林燕.关于常见勒索病毒与防范应对措施的探讨[J].网络安全技术与应用,2019(6):7-9.

[4]万子龙.勒索病毒攻击原理及检测方法研究[J].江西通信科技,2019(3):42-44.

作者:张宝移 单位:西安汽车职业大学