◆劉國宏

(中國煙草總公司 北京 100000)

勒索病毒研究與企業(yè)應(yīng)對實(shí)例

◆劉國宏

(中國煙草總公司 北京 100000)

勒索病毒從其出現(xiàn)至今，已有近三十年的歷史，從最初的偽裝成反病毒軟件到今天的大規(guī)模爆發(fā)的勒索病毒，勒索病毒不斷進(jìn)行著開發(fā)與升級?，F(xiàn)如今勒索病毒呈現(xiàn)出爆發(fā)性增長趨勢，成為網(wǎng)絡(luò)上重要的威脅。因此，本文對勒索病毒進(jìn)行分析與研究。并通過本公司信息部門針對此次“永恒之藍(lán)”勒索病毒的防范應(yīng)對過程，進(jìn)行了分析與經(jīng)驗(yàn)總結(jié)。

勒索病毒；永恒之藍(lán)

0 前言

近日，世界有上百個國家的計(jì)算機(jī)系統(tǒng)都遭受到名為WannaCry病毒攻擊。WannaCry是“蠕蟲式”的勒索病毒軟件，其大小位 3.3MB，病毒制造者利用了 NSA（National Security Agency，美國國家安全局）泄露出來的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）對其進(jìn)行傳播。所以很多媒體將此次攻擊稱為“永恒之藍(lán)”。此次勒索病毒大規(guī)模的爆發(fā)，造成了極大的影響。如何對勒索病毒進(jìn)行有效的防范，是擺在我們面前的一個重要問題。

1 勒索病毒概述

勒索病毒，也稱之為贖金木馬，并不是一個新鮮事物，它誕生于上世紀(jì)八十年代。通過幾十年的逐漸發(fā)展和成熟，近幾年來有愈演愈烈的趨勢，已成為個人和企業(yè)用戶必須面對的最危險(xiǎn)的網(wǎng)絡(luò)威脅之一。

勒索病毒通常將用戶的文檔、源代碼通過多種方式進(jìn)行加密，使文件無法直接被用戶使用。然后勒索病毒通過彈窗、創(chuàng)建文本文件等多種形式向用戶發(fā)出勒索通知，要求用戶通過指定渠道支付贖金，用來得到解密文件的密碼。以WannaCry病毒為例，當(dāng)用戶主機(jī)系統(tǒng)被該勒索病毒入侵后，彈出勒索對話框，如圖1所示。

圖1 勒索病毒彈窗

此時(shí)用戶主機(jī)上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前，由于勒索病毒采用了高強(qiáng)度加密算法，暫時(shí)無法有效破解勒索病毒的惡意加密文件的行為。用戶系統(tǒng)如果被被勒索病毒攻擊，只能通過重裝操作系統(tǒng)的方式來清理勒索病毒，但用戶被勒索病毒所加密的數(shù)據(jù)文件不能夠被直接恢復(fù)[4]。

2017年 5月 14日，WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0，新的變種傳播速度更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網(wǎng)絡(luò)攻擊，影響到了金融、能源、醫(yī)療等行業(yè)，造成了社會危機(jī)[1]。我國部分Windows操作系統(tǒng)用戶遭受感染，一些政府部門也受到影響，一些業(yè)務(wù)因?yàn)槭艿嚼账鞑《竟舳鴷和＾k理。

“勒索病毒”之所以在現(xiàn)在的互聯(lián)網(wǎng)上泛濫，主要基于以下幾點(diǎn)原因：

（1）從用戶角度上來說，現(xiàn)在數(shù)據(jù)的價(jià)值越來越重要，“勒索病毒”直接加密用戶私人數(shù)據(jù)，造成數(shù)據(jù)無法被用戶使用，造成極大的經(jīng)濟(jì)與精神損失；

（2）對病毒制造者而言，現(xiàn)在高強(qiáng)度加密算法隨手可得，病毒編寫基本無門檻；

（3）病毒產(chǎn)業(yè)的黑色“產(chǎn)業(yè)鏈”日趨完善，勒索病毒頻頻爆發(fā)，背后都有一套完整的原始病毒制造、病毒批量變形、病毒傳播、最終變現(xiàn)的黑色“產(chǎn)業(yè)鏈”。隨著病毒制造門檻的降低、代碼變形和混淆技術(shù)的成熟、病毒傳播手段的豐富、變現(xiàn)模式的“創(chuàng)新”（例如：虛擬貨幣的出現(xiàn)），使得無法追查到實(shí)際收款人。因此，此類安全問題仍會持續(xù)上演。

圖2 勒索病毒生命周期圖

2 勒索病毒傳播方式

勒索病毒經(jīng)過幾十年的發(fā)展，已經(jīng)形成了一套完整的制造與傳播體系。

首先病毒制造者制造出病毒，然后通過病毒混淆器，批量生成病毒的不同變種，然后通過以下手段進(jìn)行傳播：

2.1 漏洞類傳播

通過操作系統(tǒng)、瀏覽器或其第三方應(yīng)用程序的漏洞進(jìn)行傳播并激活；此次WannaCry病毒就是主要利用Windows系統(tǒng)永恒之藍(lán)漏洞進(jìn)行傳播。

2.2 誘騙類傳播

（1）偽裝成應(yīng)用程序或者與其他惡意軟件捆綁打包，誘導(dǎo)用戶運(yùn)行激活病毒；

（2）通過聊天軟件發(fā)送，并有針對性地通過誘導(dǎo)性的文件名誘騙接收者運(yùn)行病毒；

（3）通過電子郵件群發(fā)帶有病毒附件的垃圾郵件，并配以誘導(dǎo)性的說明和附件名，誘騙接收者運(yùn)行病毒。

3 預(yù)防與查殺

當(dāng)前，網(wǎng)絡(luò)安全業(yè)界尚無法有效破解勒索病毒的惡意加密文件行為。只能采取有效的方法進(jìn)行預(yù)防。

在勒索病毒爆發(fā)期，用戶要先斷網(wǎng)再開機(jī)，即先拔掉網(wǎng)線（關(guān)閉無線網(wǎng)卡等）再行開機(jī)，這樣基本可以避免被勒索病毒感染。開機(jī)后盡快想辦法打上安全補(bǔ)丁，或安裝各家網(wǎng)絡(luò)安全公司針對此事推出的防御工具，進(jìn)行有效的加固后，才可以聯(lián)網(wǎng)。同時(shí)建議盡快備份電腦中的重要文件資料到移動硬盤、優(yōu)盤，備份完后脫機(jī)保存該存儲設(shè)備，同時(shí)對于不明鏈接、文件和郵件要提高警惕，加強(qiáng)防范。以此次爆發(fā)的WannaCry病毒為例，其臨時(shí)解決方案為：

（1）開啟Windows系統(tǒng)防火墻；

（2）利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接（該操作會影響使用445端口的服務(wù)）；

（3）打開系統(tǒng)自動更新，檢查相應(yīng)的更新并進(jìn)行安裝。

4 中毒后應(yīng)急處理方案

如計(jì)算機(jī)系統(tǒng)已經(jīng)中毒，因?yàn)槔账鞑《臼菍⒃募x取到內(nèi)存中完成加密，生成一個加密文件，并刪除原文件。因此文件存在被恢復(fù)的可能。加密原理如圖3所示。

圖3 勒索病毒加密文件原理

主流的勒索病毒通常有兩種加密文件的方式，一種是直接加密覆蓋原文件，原始文件直接被加密的文件所覆蓋。這種情況下沒有勒索者的密鑰，幾乎是無法恢復(fù)的；另一種則是先加密生成副本文件，然后刪除原始文件，如果是這種情況，則文件是有恢復(fù)的可能。

但是，病毒制造者通常會對文件進(jìn)行處理，比如在刪除文件之后，用隨機(jī)數(shù)據(jù)把原始文件復(fù)寫一遍，此時(shí)如果用文件恢復(fù)的辦法，只能恢復(fù)出一堆垃圾數(shù)據(jù)。

因此，如重要文件被勒索病毒加密，可以嘗試使用專業(yè)數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù)，數(shù)據(jù)有可能被恢復(fù)出來。安全廠商也針對一些特定勒索病毒推出過專有的數(shù)據(jù)恢復(fù)軟件。比如360公司針對Wannacrypt 勒索病毒發(fā)布過相應(yīng)的數(shù)據(jù)恢復(fù)工具。

5 針對勒索病毒的企業(yè)內(nèi)網(wǎng)安全防范對策

針對勒索病毒的防范，企業(yè)（事業(yè)、公司、校園等）網(wǎng)絡(luò)管理人員一定要做到如下幾點(diǎn)：

（1）加強(qiáng)對員工安全意識的培訓(xùn)，強(qiáng)調(diào)員工不要隨意打開可疑郵件中的附件，即使發(fā)件郵箱看起來很可靠；

（2）加固所有的設(shè)備和系統(tǒng)，不僅僅是針對Windows系統(tǒng)，企業(yè)日常使用的包括安卓和郵件服務(wù)器在內(nèi)的系統(tǒng)都需要進(jìn)行加固保護(hù)；

（3）實(shí)時(shí)更新操作系統(tǒng)和應(yīng)用程序上存在的最新漏洞；

（4）確保安全防護(hù)產(chǎn)品更新到最新的版本和特征代碼庫；

（5）開啟安全防護(hù)產(chǎn)品上的未知威脅檢測功能和惡意程序行為檢測功能；

（6）通過應(yīng)用程序控制功能幫助企業(yè)管理內(nèi)部應(yīng)用程序的使用；

（7）重要文件、重要信息數(shù)據(jù)要定期備份，并脫機(jī)存放[5]。

6 針對勒索病毒的企業(yè)內(nèi)網(wǎng)應(yīng)對實(shí)例

2017年5月13日我公司接到關(guān)于緊急處置排查勒索病毒的通知后，立即啟動網(wǎng)絡(luò)安全應(yīng)急預(yù)案。信息安全管理員在通知網(wǎng)絡(luò)及安全運(yùn)維人員采取相關(guān)措施的同時(shí)，向信息安全主管領(lǐng)導(dǎo)作了情況匯報(bào)。

6.1 互聯(lián)網(wǎng)安全形勢的預(yù)判

（1）互聯(lián)網(wǎng)端口封堵

我公司早在2017年4月17日，在關(guān)注到CNVD漏洞平臺發(fā)布的相關(guān)安全風(fēng)險(xiǎn)通報(bào)后，通過分析相關(guān)安全風(fēng)險(xiǎn)的影響范圍和可能出現(xiàn)的發(fā)展方向，我公司首先在互聯(lián)網(wǎng)邊界防火墻對風(fēng)險(xiǎn)端口采取了防患于未然的封堵措施。為了安全起見，5月13日在互聯(lián)網(wǎng)出口的行為管理設(shè)備上配置了針對“永恒之藍(lán)”的防護(hù)策略，聯(lián)動封堵了相關(guān)風(fēng)險(xiǎn)端口。

（2）系統(tǒng)補(bǔ)丁推送

為了徹底解決終端計(jì)算機(jī)安全風(fēng)險(xiǎn)的抵御能力，加固終端計(jì)算機(jī)設(shè)備系統(tǒng)的相關(guān)漏洞。我公司部署了360天擎企業(yè)版網(wǎng)絡(luò)防病毒系統(tǒng)，并配置了強(qiáng)制推送系統(tǒng)漏洞補(bǔ)丁策略。我公司在4月13日下發(fā)通知，要求全部終端計(jì)算機(jī)安裝企業(yè)版360天擎企業(yè)版網(wǎng)絡(luò)防病毒軟件，對所有終端計(jì)算機(jī)進(jìn)行補(bǔ)丁強(qiáng)制推送，從根本上解決終端技術(shù)設(shè)備的安全防護(hù)問題。

6.2 應(yīng)急處理過程

（1）企業(yè)網(wǎng)邊界端口封堵

我公司密切關(guān)注勒索病毒的發(fā)展態(tài)勢，意識到本次病毒入侵的嚴(yán)重性。2017年5月13日下午，在各節(jié)點(diǎn)邊界防火墻上封堵了相關(guān)風(fēng)險(xiǎn)端口，并更新了安全設(shè)備特征庫。

在核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)三層網(wǎng)絡(luò)設(shè)備上全部配置了限制相關(guān)風(fēng)險(xiǎn)端口的ACL。

（2）通知各隸屬單位進(jìn)行病毒防范

2017年5月13日下午，公司通過QQ、微信群通知隸屬單位系統(tǒng)管理員、信息安全管理員按要求進(jìn)行勒索病毒的防范。

（3）在OA系統(tǒng)下發(fā)緊急通知

2017年5月14日上午，根據(jù)上級單位安全防范通知精神制定了《關(guān)于“永恒之藍(lán)”勒索病毒防范的緊急通知》，當(dāng)日下午在OA系統(tǒng)下發(fā)了緊急通知，進(jìn)行提醒。

（4）切斷辦公區(qū)樓層交換機(jī)

為了確保萬無一失，2017年5月14日晚通知機(jī)關(guān)及各下屬單位系統(tǒng)管理員，安排所有運(yùn)維人員早上7:00之前到單位對樓層交換機(jī)進(jìn)行斷電處理，切斷了所有終端計(jì)算機(jī)接入網(wǎng)絡(luò)的通道。

（5）對所有終端計(jì)算機(jī)進(jìn)行安全排查

2017年5月15日，通過安全監(jiān)測工具對所有的終端計(jì)算機(jī)設(shè)備進(jìn)行安全檢查。采用打補(bǔ)丁、封堵風(fēng)險(xiǎn)端口等措施對存在風(fēng)險(xiǎn)的計(jì)算機(jī)設(shè)備進(jìn)行補(bǔ)救。對更新補(bǔ)丁、封堵端口不成功等不符合要求的終端計(jì)算機(jī)采取斷網(wǎng)措施禁止接入公司網(wǎng)絡(luò)。2017年5月15日13:00所有終端計(jì)算機(jī)安全排查完成后，啟動接入網(wǎng)絡(luò)設(shè)備，終端計(jì)算機(jī)設(shè)備相繼聯(lián)網(wǎng)正常運(yùn)行。

（6）根據(jù)威脅變化態(tài)勢進(jìn)一步采取應(yīng)對措施

我公司信息安全部門繼續(xù)觀察分析勒索病毒的發(fā)展態(tài)勢，隨時(shí)調(diào)整防護(hù)措施及方案。并督促下屬單位做好終端計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的防護(hù)及修補(bǔ)工作。

我公司針對此次勒索病毒，共加固Windows服務(wù)器134臺；終端計(jì)算機(jī)完成防護(hù)2392臺，其中下屬單位完成加固終端計(jì)算機(jī)1627臺。

通過上述方式我公司對“永恒之藍(lán)”勒索病毒進(jìn)行了有效的應(yīng)對，未出現(xiàn)網(wǎng)絡(luò)安全事故。

7 結(jié)語

在信息安全領(lǐng)域中，攻擊和防御是一個永恒的話題，互聯(lián)網(wǎng)在給我們帶來便利的同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在不斷的加劇。此次勒索病毒的爆發(fā)也給我們敲響了警鐘，需要我們不斷對其進(jìn)行研究并關(guān)注。企業(yè)信息安全部門也要通過實(shí)例進(jìn)行總結(jié)，構(gòu)建一個安全穩(wěn)定的企業(yè)網(wǎng)絡(luò)運(yùn)行環(huán)境和常備不懈的安全防范意識。

[1] 什么是 wannacry 勒索病毒． https：//zhidao．baidu．com/question/2121905220571823667．html．

[2] 安天安全研究與應(yīng)急處理中心．勒索軟件簡史[J]．中國信息安全，2017．

[3] “蠕蟲式”的勒索病毒泛濫全世界 100多個國家．http：//weibo．com/p/2304181440b28a20102wvo1．

[4] 火絨安全．“勒索病毒”深度分析報(bào)告．http：//www．Huorong．cn/info/146173937921．html．

[5] 保護(hù)文件數(shù)據(jù)．遠(yuǎn)離勒索軟件．http：//science．china．com．cn/2016-03/22/content_8652756．html ．