摘 要 2019年8月，遼寧省部分城市的無線電管理專網(wǎng)終端發(fā)現(xiàn)疑似勒索病毒，這是近幾年無線電管理專網(wǎng)首次遭到勒索病毒攻擊。本文分析無線電管理專網(wǎng)了遭受病毒攻擊的原因以及有效提升專網(wǎng)病毒防御能力的方法。

關(guān)鍵詞 勒索病毒;病毒防護(hù);防御能力

前言

2017年5月勒索病毒爆發(fā)，迅速感染全球計(jì)算機(jī)網(wǎng)絡(luò)，給全球造成難以彌補(bǔ)的損失。全國無線電管理專網(wǎng)（內(nèi)網(wǎng)）也遭受勒索病毒的攻擊，導(dǎo)致部分省市的內(nèi)部網(wǎng)絡(luò)中斷、重要數(shù)據(jù)丟失等嚴(yán)重后果。由于病毒本身特性以及排殺病毒的技術(shù)手段限制，病毒并未能完全徹底清除。

1勒索病毒簡(jiǎn)介

伴隨著一種叫作“比特幣”的數(shù)字虛擬貨幣興起，“勒索病毒”也隨之而來。與一般計(jì)算機(jī)病毒類似，勒索病毒通過網(wǎng)絡(luò)以垃圾郵件、木馬軟件、服務(wù)器入侵等方式進(jìn)行傳播。而與一般計(jì)算機(jī)病毒不同的是，一旦計(jì)算機(jī)感染病毒，其操作系統(tǒng)仍可以正常開啟，而此時(shí)的傳統(tǒng)防御手段沒辦法立即識(shí)別并處置，勒索病毒會(huì)使絕大多數(shù)文件被加密算法修改，致使用戶無法正常讀取文件，必須向黑客繳納一定數(shù)量的“比特幣”作為贖金，才能拿到解密秘鑰還原被加密文件。常見的勒索病毒有：① WannaCry勒索病毒，爆發(fā)于2017年5月，利用“永恒之藍(lán)”漏洞在Windows操作系統(tǒng)計(jì)算機(jī)間傳播，常見后綴wncry。②Crysis/Dharma勒索病毒，通過遠(yuǎn)程網(wǎng)絡(luò)多以郵件形式植入用戶服務(wù)器進(jìn)行攻擊，常見后綴一般以id+勒索郵箱+其他后綴。③Paradise勒索病毒，出現(xiàn)于2018年7月，計(jì)算機(jī)被感染后，文件名末尾會(huì)附加一個(gè)超長(zhǎng)后綴，并在每個(gè)加密文件夾后附加勒索信件。④GlobeImposter勒索病毒，攻擊目標(biāo)通常是開啟遠(yuǎn)程桌面的服務(wù)器，通過暴力破解服務(wù)器密碼，對(duì)內(nèi)網(wǎng)服務(wù)器掃描并進(jìn)行投毒，常見后綴一般是動(dòng)物名+4444。⑤Gandcrab勒索病毒，文件被該病毒感染后，其后綴被修改為.GDCB、.GRAB、

.KRAB 或5～10位隨機(jī)字母，并將感染主機(jī)桌面背景替換為勒索信息圖片。

勒索病毒多種多樣，其行為特征也千差萬別。與一般計(jì)算機(jī)病毒相比，其危害更大。一旦病毒文件進(jìn)入內(nèi)部網(wǎng)絡(luò)，就會(huì)自動(dòng)運(yùn)行，同時(shí)它會(huì)自動(dòng)刪除勒索軟件樣本，以躲避殺毒軟件查殺和分析。勒索病毒具有蠕蟲特性，但其傳播速度更快、感染范圍更廣、攻擊行為更加隱蔽、防范難度更大，與一般計(jì)算機(jī)病毒相比其危害程度更深、造成損失更大[1]。

2現(xiàn)狀與防護(hù)漏洞

目前，從國家到各省以及省內(nèi)到各地市的無線電管理專網(wǎng)已經(jīng)廣泛應(yīng)用。但國家與省、省與省之間以及省內(nèi)各市的網(wǎng)絡(luò)安全管理水平有差距。網(wǎng)絡(luò)安全的概念存在“木桶理論”，即水桶能裝滿多少水，并不是取決于組成木桶的最長(zhǎng)的木條，而是取決于木桶中最短的那根木條。

無線電管理專網(wǎng)是無線電行業(yè)內(nèi)部搭建的與互聯(lián)網(wǎng)隔絕的專網(wǎng)，每個(gè)省市都有專門的管理部門或人員維護(hù)，即使這樣，勒索病毒也會(huì)乘虛而入。在實(shí)際情況中，大部分省市都能按照要求完成各個(gè)終端與服務(wù)器的漏洞補(bǔ)丁升級(jí)，并預(yù)留足夠的時(shí)間做大量維護(hù)預(yù)防工作。但這些僅僅是堆砌網(wǎng)絡(luò)防御設(shè)備，并不能提前部署安全防護(hù)手段。

3勒索病毒的基礎(chǔ)防范措施

在實(shí)際工作中消除無線電管理專網(wǎng)潛在安全隱患，防范勒索病毒攻擊，應(yīng)將一些基礎(chǔ)措施“做在前”。許多計(jì)算機(jī)病毒（包括勒索病毒）的傳播，并不一定經(jīng)過長(zhǎng)時(shí)間且復(fù)雜的攻擊過程，往往是一封不經(jīng)意的垃圾郵件或者一次違規(guī)使用未經(jīng)安全檢測(cè)的存儲(chǔ)介質(zhì)導(dǎo)致的，因此絕對(duì)不能忽視一些基礎(chǔ)防范措施。

3.1 增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

除了利用漏洞和暴力破解外，最多感染勒索病毒的原因就是利用網(wǎng)頁掛馬、垃圾電子郵件以及惡意捆綁程序，所以日常網(wǎng)絡(luò)工作中應(yīng)有以下安全意識(shí)：①不訪問不良信息網(wǎng)站，這些網(wǎng)站通常會(huì)引導(dǎo)訪客下載病毒文件或發(fā)動(dòng)釣魚、掛馬攻擊;②面對(duì)陌生人發(fā)來的陌生郵件，謹(jǐn)慎對(duì)待，尤其是不能隨意下載郵件中的附件，不能隨意點(diǎn)開郵件中附加的鏈接;③不能隨意使用U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)，使用前檢查其安全性;④不能輕易運(yùn)行帶有bat、vbs、vbe、js、jse等腳本的文件以及exe執(zhí)行程序。

3.2 增加服務(wù)口令強(qiáng)度

勒索病毒最常見的攻擊方式就是利用永恒之藍(lán)漏洞和爆破RDP（遠(yuǎn)程桌面協(xié)議）服務(wù)弱口令。應(yīng)對(duì)爆破RDP攻擊，應(yīng)將系統(tǒng)以及各個(gè)應(yīng)用的弱口令、空口令、統(tǒng)一重復(fù)口令全部修改，按照強(qiáng)口令要求，密碼長(zhǎng)度不少于8個(gè)字符，且包含大小寫字母、數(shù)字、特殊符號(hào)等，密碼做到定期更換，避免多臺(tái)服務(wù)器共用同一密碼等。

3.3 及時(shí)修復(fù)系統(tǒng)漏洞

在微軟發(fā)布高危系統(tǒng)漏洞后，應(yīng)盡快在微軟安全響應(yīng)中心下載最新補(bǔ)丁，盡快修復(fù)系統(tǒng)存在的漏洞。如果不能及時(shí)關(guān)注響應(yīng)這些漏洞信息，應(yīng)借助計(jì)算機(jī)安全軟件完成漏洞修復(fù)。另外，計(jì)算機(jī)安全軟件也需要及時(shí)跟進(jìn)版本更新，養(yǎng)成定期檢測(cè)、修復(fù)漏洞的習(xí)慣。

3.4 限制權(quán)限和端口管理

嚴(yán)格限制內(nèi)網(wǎng)主機(jī)可進(jìn)行訪問的網(wǎng)絡(luò)、主機(jī)范圍。嚴(yán)格限制各網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問。采用白名單機(jī)制，只允許開放必要的端口，其他端口一律禁止訪問，僅限管理員IP對(duì)管理端口進(jìn)行訪問，盡量關(guān)閉135、139、445、3389等端口，通過防火墻配置、安全軟件進(jìn)行端口準(zhǔn)入或隔離管理。

4感染勒索病毒后應(yīng)對(duì)措施

如果一旦確認(rèn)感染勒索病毒，及時(shí)啟動(dòng)必要自救措施，防止病毒進(jìn)一步擴(kuò)散，進(jìn)而造成更大損失。首先應(yīng)立即隔離被感染主機(jī)，主要包括物理隔離和訪問控制兩種手段，物理隔離主要指斷網(wǎng)或斷電;訪問控制主要指對(duì)訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。其次確定感染的范圍，應(yīng)對(duì)感染主機(jī)所在局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等。

5結(jié)束語

2017年勒索病毒大范圍攻擊網(wǎng)絡(luò)至今，各種勒索病毒變種攻擊事情依舊層出不窮，以目前發(fā)展趨勢(shì)分析，勒索病毒威脅仍將繼續(xù)，它已經(jīng)成為互聯(lián)網(wǎng)最嚴(yán)重的安全風(fēng)險(xiǎn)之一。在未來，無論是政府、企事業(yè)單位還是個(gè)人，都應(yīng)該提高網(wǎng)絡(luò)安全意識(shí)，加大網(wǎng)絡(luò)安全方面的投入，提高網(wǎng)絡(luò)攻擊的預(yù)防、抵抗和應(yīng)急處置能力。

參考文獻(xiàn)

[1] 李宇星.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問題分析[J].信息通信，2018，29（11）：275-276.

作者簡(jiǎn)介

楊旭（1982-），男，遼寧省沈陽市人;學(xué)歷：本科，職稱：工程師，現(xiàn)就職單位：遼寧省無線電監(jiān)測(cè)站，研究方向：網(wǎng)絡(luò)通信安全。