公務(wù)員期刊網(wǎng) 論文中心 正文

談?dòng)?jì)算機(jī)勒索病毒及防治策略

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了談?dòng)?jì)算機(jī)勒索病毒及防治策略范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

談?dòng)?jì)算機(jī)勒索病毒及防治策略

摘要:近年來(lái),計(jì)算機(jī)勒索病毒全球肆虐,對(duì)政企和個(gè)人用戶(hù)數(shù)據(jù)進(jìn)行加密勒索,造成巨大損失,隨著數(shù)字貨幣的隱蔽交易和加密技術(shù)的不斷提高,勒索病毒蔓延網(wǎng)絡(luò),對(duì)計(jì)算機(jī)安全防護(hù)形成巨大的威脅。從勒索病毒分類(lèi)、攻擊過(guò)程出發(fā),提出了防治和應(yīng)對(duì)策略,對(duì)反勒索病毒具有指導(dǎo)的現(xiàn)實(shí)意義。

關(guān)鍵詞:病毒;比特幣病毒;勒索病毒;計(jì)算機(jī)安全

引言

近年來(lái),黑客通過(guò)病毒加密數(shù)據(jù)來(lái)勒索用戶(hù)獲取巨額非法收入,稱(chēng)為勒索病毒或者贖金木馬。2017年,全球上百個(gè)國(guó)家和地區(qū)都遭受“WannaCry”的勒索病毒,勒索病毒被普通用戶(hù)所廣泛了解,該病毒利用NSA泄露出來(lái)的系統(tǒng)危險(xiǎn)漏洞“Eter-nalBlue”(永恒之藍(lán)色)[1],因此又被稱(chēng)為“永恒之藍(lán)”病毒。計(jì)算機(jī)用戶(hù)中病毒后,用戶(hù)主機(jī)上的各種文檔、照片、音視頻文件、應(yīng)用程序或源代碼通過(guò)非對(duì)稱(chēng)多種算法進(jìn)行加密,并且以文件后綴被改寫(xiě)為“.WNCRY”,用戶(hù)只能在限定時(shí)間內(nèi)交付比特幣贖金才可以得到解密工具。如何有效防治勒索病毒,已經(jīng)成為目前亟待解決的重要問(wèn)題。

1勒索病毒簡(jiǎn)介

勒索病毒是自2016年廣泛爆發(fā)以來(lái),病毒制作者不再以?huà)祚R破壞計(jì)算機(jī)系統(tǒng)或文件為技術(shù)展示,而是以加密用戶(hù)文件為由勒索金錢(qián)進(jìn)行網(wǎng)絡(luò)非法犯罪,隨著數(shù)字貨幣的隱匿性交易以及計(jì)算機(jī)加密算法的演進(jìn)愈演愈烈,其已成為政企用戶(hù)電腦最大的安全威脅之一[2]。勒索病毒一般通過(guò)網(wǎng)頁(yè)掛馬、垃圾郵件,以及偽裝非正版軟件的破解文件等形式進(jìn)行網(wǎng)絡(luò)傳播,一旦入侵電腦,就會(huì)有選擇地遍歷用戶(hù)文件夾下文件,進(jìn)行相應(yīng)算法加密,使用戶(hù)無(wú)法正常讀取文件,必須支付贖金才能拿到解密工具。比如引發(fā)廣泛討論的2017年“永恒之藍(lán)”漏洞“WannaCry”病毒及其變種,2018年Satan病毒及其變種,2019年盛行的Gan-dCrab家族病毒以及Stop家族及其變種[3],以及2020年新型勒索病毒W(wǎng)annaRen,都具有快速傳播性和高危害性。

2勒索病毒分析

2.1勒索病毒分類(lèi)

勒索病毒種類(lèi)多、變種速度快。勒索病毒從攻擊手段層面講分為誘導(dǎo)勒索型和主動(dòng)攻擊型。誘導(dǎo)攻擊型是通過(guò)偽裝成程序更新文件或者破解文件來(lái)誘使用戶(hù)下載并安裝,進(jìn)而啟動(dòng)病毒程序進(jìn)行攻擊,比如常見(jiàn)的GandCrab和Stop家族等;主動(dòng)攻擊型是指黑客通過(guò)操作系統(tǒng)漏洞直接入侵用戶(hù)主機(jī)或者RDP爆破植入勒索病毒,比如WannaCry,Santa病毒及其變種等。從攻擊后主機(jī)表現(xiàn)來(lái)看,一般分為鎖屏不加密文件型、鎖屏加密文件型以及蠕蟲(chóng)傳播型[4],鎖屏不加密文件類(lèi)型危害低已不常見(jiàn);鎖屏加密文件最為嚴(yán)重,采用的高強(qiáng)度加密算法除非拿到私鑰,否則無(wú)解;蠕蟲(chóng)傳播型是只加密用戶(hù)重要文件,不鎖屏亦不破壞用戶(hù)操作系統(tǒng)正常運(yùn)行,此類(lèi)勒索病毒是最為常見(jiàn)的勒索病毒,其危害高、傳播廣,黑客通過(guò)非對(duì)稱(chēng)算法加密用戶(hù)文件,勒索用戶(hù)支付比特幣交易來(lái)解密文件數(shù)據(jù),病毒變種多,迭代頻繁,防不勝防,一旦中招,很難解密文件,造成嚴(yán)重的數(shù)據(jù)丟失。

2.2勒索病毒攻擊流程

勒索病毒進(jìn)行網(wǎng)絡(luò)攻擊的過(guò)程:①病毒通過(guò)網(wǎng)頁(yè)掛馬、郵件釣魚(yú)或者弱口令漏洞進(jìn)行攻擊某一用戶(hù)主機(jī)。②當(dāng)該聯(lián)網(wǎng)的主機(jī)被攻擊后,就會(huì)在局域網(wǎng)內(nèi)探尋其他計(jì)算機(jī),對(duì)有漏洞的機(jī)器繼續(xù)進(jìn)行感染,以此實(shí)現(xiàn)大面積的植入感染,進(jìn)行勒索獲取非法收入。勒索病毒攻擊主機(jī)的過(guò)程大同小異,本文以Stop家族為例,分析勒索病毒攻擊計(jì)算機(jī)的運(yùn)行流程。1)病毒程序運(yùn)行。勒索病毒程序被用戶(hù)運(yùn)行,首先釋放到電腦內(nèi)存,加載到當(dāng)前用戶(hù)正在運(yùn)行的進(jìn)程,以此躲避所裝殺毒軟件的查殺,彈出用戶(hù)控制窗口進(jìn)行詢(xún)問(wèn),用戶(hù)如無(wú)法識(shí)別即會(huì)同意以此獲取管理員權(quán)限,獲取權(quán)限后可以在后續(xù)進(jìn)行更多類(lèi)型文件的加密。2)創(chuàng)建UUID設(shè)置自啟動(dòng)任務(wù)。病毒運(yùn)行后先進(jìn)行豁免區(qū)域查詢(xún),如通過(guò)IP地址查詢(xún)?yōu)榛砻鈬?guó)家(病毒制作者設(shè)置的特定國(guó)家可以攻擊豁免)用戶(hù)則程序自卸載否則繼續(xù)攻擊,此時(shí)病毒為當(dāng)前進(jìn)程創(chuàng)建UUID,并且復(fù)制自身到以UUID為名的新建目錄,以該文件路徑進(jìn)行自啟動(dòng)任務(wù)的創(chuàng)建。3)生成RSA(非對(duì)稱(chēng)加密算法)公鑰及用戶(hù)ID。訪(fǎng)問(wèn)黑客服務(wù)器為攻擊用戶(hù)生成1024位的RSA公鑰和用戶(hù)唯一ID的身份認(rèn)證,通過(guò)服務(wù)器生成的方式稱(chēng)為Online加密,該加密文件幾無(wú)破解可能,除非交贖金;若訪(fǎng)問(wèn)服務(wù)器失敗則進(jìn)行本地生成公鑰和用戶(hù)ID,該方式稱(chēng)為Offline加密,在可能的條件下是可以解密文件的。4)遍歷計(jì)算機(jī)文件進(jìn)行加密。遍歷文件是首先會(huì)豁免指定的文件夾及文件類(lèi)型(一般為系統(tǒng)運(yùn)行文件,避免破壞系統(tǒng)正常運(yùn)行),對(duì)其余類(lèi)型文件進(jìn)行高強(qiáng)度加密,加密過(guò)程中,對(duì)文件夾進(jìn)行磁盤(pán)層級(jí)遍歷,層級(jí)過(guò)深的文件不進(jìn)行加密。5)創(chuàng)建txt勒索信。病毒在每個(gè)磁盤(pán)根目錄下以及加密過(guò)的用戶(hù)文件目錄下創(chuàng)建_readme.txt的勒索信息。文件里含有具體的勒索信息,黑客郵箱,以及用戶(hù)ID,通過(guò)用戶(hù)ID可初步判斷是否為Offline加密。6)其余附加程序下載執(zhí)行。加密后會(huì)運(yùn)行一些腳本禁用任務(wù)管理器;修改hosts文件,使得用戶(hù)無(wú)法訪(fǎng)問(wèn)微軟以及全球的殺毒軟件廠(chǎng)商;同時(shí)搜索瀏覽器cookies,瀏覽記錄,郵箱信息,數(shù)字錢(qián)包等信息打包上傳至黑客服務(wù)器。

3勒索病毒防治策略

由于高強(qiáng)度加密算法以及數(shù)字貨幣隱匿性交易,導(dǎo)致勒索病毒傳播快,代碼變形升級(jí)快,勒索模式創(chuàng)新又隱蔽,對(duì)于加密的文件解密困難,除非妥協(xié)交贖金,因此勒索病毒重在預(yù)防,而不是中毒后再尋求解密。

3.1增強(qiáng)日常安全意識(shí)

日常聯(lián)網(wǎng)使用計(jì)算機(jī)的過(guò)程中,要提高警惕,不訪(fǎng)問(wèn)涉黃涉毒網(wǎng)站,不隨意點(diǎn)擊不明來(lái)源的執(zhí)行腳本或者可執(zhí)行文件,不點(diǎn)擊郵件不明鏈接或附件;安裝有效的殺毒軟件,進(jìn)行合理配置,定期查殺病毒,進(jìn)行可疑文件進(jìn)行及時(shí)隔離;盡量從官方渠道下載使用軟件,不輕信破解文件,如必需則在殺毒軟件沙盒監(jiān)督下運(yùn)行程序。

3.2強(qiáng)口令和漏洞封堵

多數(shù)病毒通過(guò)系統(tǒng)漏洞或者爆破弱口令作為主動(dòng)攻擊點(diǎn),因此及時(shí)升級(jí)系統(tǒng)和打好修復(fù)補(bǔ)丁,避免系統(tǒng)漏洞被攻擊,及時(shí)升級(jí)殺毒軟件數(shù)據(jù)庫(kù),提高防御能力;定期更新密碼口令,使用多重組合強(qiáng)密碼,不使用弱口令空口令,嚴(yán)格控制服務(wù)器訪(fǎng)問(wèn)權(quán)限,每月定期更新口令密碼。

3.3防火墻配置及端口管理

外網(wǎng)防火墻加持,并且局域網(wǎng)防火墻配置策略,對(duì)445,3389,135,137,139高危端口禁用策略,實(shí)時(shí)監(jiān)督防火墻端口流量,嚴(yán)格管理訪(fǎng)問(wèn)服務(wù)器的指定主機(jī),統(tǒng)一配置防病毒系統(tǒng)以及準(zhǔn)入策略,做到及時(shí)識(shí)別端口數(shù)據(jù)進(jìn)行木馬過(guò)濾,保證網(wǎng)絡(luò)安全性。

3.4數(shù)據(jù)雙備份

勒索病毒通常采用非對(duì)稱(chēng)加密算法RSA+AES對(duì)文件進(jìn)行加密,解密時(shí)限未知,針對(duì)該新型勒索病毒的加密算法并沒(méi)有有效的解密方案,因此服務(wù)器或計(jì)算機(jī)中重要數(shù)據(jù)要及時(shí)進(jìn)行本地磁盤(pán)備份和云服務(wù)器雙備份,避免主機(jī)被攻擊而造成數(shù)據(jù)損失。

4結(jié)語(yǔ)

新型勒索病毒破壞大傳播快,變種多,加密用戶(hù)數(shù)據(jù)造成巨大損失,因此必須高度重視,從技術(shù)角度、管理角度和日常使用習(xí)慣都需要進(jìn)行防治策略應(yīng)對(duì)。本文從勒索病毒攻擊分析出發(fā),對(duì)勒索病毒攻擊提出防治措施和建議,對(duì)政企以及個(gè)人用戶(hù)計(jì)算機(jī)安全使用具有指導(dǎo)作用。

參考文獻(xiàn):

[1]金重振,葛萬(wàn)龍.局域網(wǎng)勒索病毒的防護(hù)策略研究———以WannaCry為例[J].信息與電腦,2017(18):217-218.

[2]安天安全研究與應(yīng)急處理中心.勒索軟件簡(jiǎn)史[J].中國(guó)信息安全,2017(4):50-57.

[3]張玉,謝林燕.關(guān)于常見(jiàn)勒索病毒與防范應(yīng)對(duì)措施的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(6):7-9.

[4]萬(wàn)子龍.勒索病毒攻擊原理及檢測(cè)方法研究[J].江西通信科技,2019(3):42-44.

作者:張寶移 單位:西安汽車(chē)職業(yè)大學(xué)