技術(shù)宅

讓人欲哭無(wú)淚的病毒——認(rèn)識(shí)勒索軟件

大家都知道，最近全球很多電腦都感染了一種名為“想哭”（WannaCry）的勒索軟件，中招的電腦會(huì)在屏幕上顯示一個(gè)紅色頁(yè)面，里面的內(nèi)容是告知用戶電腦文件已被加密，需要使用者支付一定的報(bào)酬才能解密（圖1）。

那么“想哭”到底是一種什么樣的病毒？其實(shí)“想哭”病毒并非什么新型病毒，它實(shí)質(zhì)上是一款蠕蟲病毒。作為病毒的一種，在目前電腦普遍安裝防毒軟件的情況下要想實(shí)現(xiàn)大面積的傳播并不容易。但是現(xiàn)在很多蠕蟲病毒會(huì)將多種破壞要素集于一身，比如2001年7月15日發(fā)現(xiàn)的“紅色代碼”蠕蟲病毒，它將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體，在歐美地區(qū)肆虐，變種的“紅色代碼”二代病毒則在中國(guó)破壞猛烈，大量網(wǎng)絡(luò)服務(wù)器遭受攻擊而癱瘓。2003年8月發(fā)現(xiàn)的“沖擊波”蠕蟲病毒則利用Windows系統(tǒng)的RPC漏洞進(jìn)行瘋狂傳播。這次發(fā)現(xiàn)的“想哭”病毒也是利用Windows的“永恒之藍(lán)”系統(tǒng)漏洞實(shí)現(xiàn)傳播的。

它怎么進(jìn)入電腦——蠕蟲病毒傳播途徑解密

如上所述，“想哭”實(shí)質(zhì)上一種蠕蟲病毒，這種病毒傳播的一個(gè)重要特性就是善于利用各種網(wǎng)絡(luò)工具和系統(tǒng)漏洞，通過(guò)網(wǎng)絡(luò)進(jìn)行大面積的傳播。以這次“想哭”病毒為例，既然是病毒，傳播的途徑無(wú)非是主動(dòng)和被動(dòng)傳播這兩類。

主動(dòng)傳播是病毒制造者（或者黑客）通過(guò)針對(duì)目標(biāo)系統(tǒng)發(fā)起掃描和攻擊，比如“想哭”病毒利用NSA開發(fā)的永恒之藍(lán)（ETERNALBLUE）模塊，他們通過(guò)掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開放了445文件共享端口的Windows用戶，如果該用戶的Windows沒(méi)有安裝MS17-010補(bǔ)丁，黑客們就可以針對(duì)Windows SMB服務(wù)漏洞植入惡意代碼，從而讓“想哭”病毒傳播到這些電腦上。對(duì)于被感染的電腦，其上的惡意代碼會(huì)繼續(xù)掃描并感染同一局域網(wǎng)內(nèi)所有未安裝上述補(bǔ)丁的電腦。從這次“想哭”病毒的傳播看，主動(dòng)傳播是其主要的感染方式（圖2）。

被動(dòng)傳播則是病毒制造者（或者黑客）通過(guò)在網(wǎng)頁(yè)、郵件等附加病毒代碼的方式，然后誘使用戶點(diǎn)擊，最終將病毒下載到用戶本地硬盤運(yùn)行。由于這次“想哭”病毒利用的是Windows SMB服務(wù)漏洞，局域網(wǎng)中任意一臺(tái)電腦感染后就會(huì)傳播到所有未安裝補(bǔ)丁的電腦上，從而造成該病毒在一個(gè)公司大面積感染。

這次“想哭”病毒正是利用病毒常見的傳播方式，同時(shí)利用Windows底層漏洞實(shí)現(xiàn)在全球的瘋狂傳播，短短幾天就感染數(shù)十萬(wàn)臺(tái)電腦（圖3）。

如何讓你“想哭”——病毒勒索原理解讀

根據(jù)以往的經(jīng)驗(yàn)，電腦中病毒并不可怕，中毒了無(wú)非就是殺毒，病毒殺完之后就沒(méi)事了。但是這次感染“想哭”病毒的用戶為什么會(huì)有欲哭無(wú)淚的感覺(jué)？這是因?yàn)椤跋肟蕖辈《臼褂昧思用苡脩粑募姆椒?，不付贖金就可能導(dǎo)致文件徹底丟失！

這次“想哭”病毒的感染過(guò)程是這樣的，在電腦感染了病毒后，這個(gè)病毒首先會(huì)對(duì)用戶電腦文件進(jìn)行遍歷搜索（安全專家分析是高達(dá)170種常見文件），會(huì)查找.docx、.xlsx、.jpg等文件格式，在找到這些文件后就使用RSA和AES加密方法對(duì)這些文件進(jìn)行強(qiáng)加密，加密完成后則將用戶源文件全部刪除，同時(shí)在桌面彈出支付贖金解密提示（圖4）。

因?yàn)檫@里病毒使用的是一種非對(duì)稱加密算法，首先病毒會(huì)隨機(jī)生成AES密鑰，使用AES-128-CBC方法對(duì)文件進(jìn)行加密，然后將對(duì)應(yīng)的AES密鑰通過(guò)RSA-2048加密，再將RSA加密后的密鑰和AES加密過(guò)的文件寫入到最終的.WNCRY文件里，并將解密密鑰保存在黑客服務(wù)器上，只有用戶支付贖金才能獲得相應(yīng)的解密密鑰。這樣感染病毒的電腦上就會(huì)包含大量后綴為.WNCRY的文件，實(shí)際上這些都是被病毒加密的文件（圖5）。

由于RSA公鑰加密是一種非對(duì)稱加密算法，其算法過(guò)程需要一對(duì)密鑰，即公鑰（公開密鑰）和私鑰（私有密鑰），公鑰對(duì)內(nèi)容進(jìn)行加密，私鑰對(duì)公鑰加密的內(nèi)容進(jìn)行解密。由于這里私鑰被黑客掌握，因此個(gè)人用戶基本上無(wú)法實(shí)現(xiàn)對(duì)加密文件的解密（圖6）。

因?yàn)椴《臼褂肁ES密鑰通過(guò)RSA-2048加密，按目前的計(jì)算能力來(lái)說(shuō)破解RSA-1024位密鑰至少就需要兩年時(shí)間，而破解2048位密鑰起碼需要80年！顯然要解密這些文件，估計(jì)很多用戶都活不到那么長(zhǎng)的時(shí)間看到解密的結(jié)果。因此“想哭”病毒給我們帶來(lái)的損失是極其巨大的，這也正是這類勒索病毒應(yīng)該引起我們高度重視的原因。

未雨綢繆做好安全防范

如上所述，類似“想哭”這類勒索病毒一旦中招就會(huì)給我們帶來(lái)很大損失。那么作為用戶應(yīng)該如何更好地防范這些勒索病毒？

首先要做好數(shù)據(jù)的及時(shí)備份，比如對(duì)于電腦重要數(shù)據(jù)，企業(yè)用戶應(yīng)該定期使用移動(dòng)硬盤及時(shí)備份，個(gè)人用戶則可以使用網(wǎng)盤定期備份（注意只能使用“電腦→網(wǎng)盤”單向備份，否則本地文件被加密后刪除，會(huì)導(dǎo)致網(wǎng)盤文件被刪除）。

其次做好常見軟件和系統(tǒng)的補(bǔ)丁安裝工作，常用軟件和系統(tǒng)推送重要安全補(bǔ)丁后要及時(shí)安裝，這樣才能有效防止病毒利用漏洞進(jìn)行感染和傳播。