談計算機勒索病毒及防治策略
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談計算機勒索病毒及防治策略范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:近年來,計算機勒索病毒全球肆虐,對政企和個人用戶數(shù)據(jù)進行加密勒索,造成巨大損失,隨著數(shù)字貨幣的隱蔽交易和加密技術(shù)的不斷提高,勒索病毒蔓延網(wǎng)絡(luò),對計算機安全防護形成巨大的威脅。從勒索病毒分類、攻擊過程出發(fā),提出了防治和應(yīng)對策略,對反勒索病毒具有指導的現(xiàn)實意義。
關(guān)鍵詞:病毒;比特幣病毒;勒索病毒;計算機安全
引言
近年來,黑客通過病毒加密數(shù)據(jù)來勒索用戶獲取巨額非法收入,稱為勒索病毒或者贖金木馬。2017年,全球上百個國家和地區(qū)都遭受“WannaCry”的勒索病毒,勒索病毒被普通用戶所廣泛了解,該病毒利用NSA泄露出來的系統(tǒng)危險漏洞“Eter-nalBlue”(永恒之藍色)[1],因此又被稱為“永恒之藍”病毒。計算機用戶中病毒后,用戶主機上的各種文檔、照片、音視頻文件、應(yīng)用程序或源代碼通過非對稱多種算法進行加密,并且以文件后綴被改寫為“.WNCRY”,用戶只能在限定時間內(nèi)交付比特幣贖金才可以得到解密工具。如何有效防治勒索病毒,已經(jīng)成為目前亟待解決的重要問題。
1勒索病毒簡介
勒索病毒是自2016年廣泛爆發(fā)以來,病毒制作者不再以掛馬破壞計算機系統(tǒng)或文件為技術(shù)展示,而是以加密用戶文件為由勒索金錢進行網(wǎng)絡(luò)非法犯罪,隨著數(shù)字貨幣的隱匿性交易以及計算機加密算法的演進愈演愈烈,其已成為政企用戶電腦最大的安全威脅之一[2]。勒索病毒一般通過網(wǎng)頁掛馬、垃圾郵件,以及偽裝非正版軟件的破解文件等形式進行網(wǎng)絡(luò)傳播,一旦入侵電腦,就會有選擇地遍歷用戶文件夾下文件,進行相應(yīng)算法加密,使用戶無法正常讀取文件,必須支付贖金才能拿到解密工具。比如引發(fā)廣泛討論的2017年“永恒之藍”漏洞“WannaCry”病毒及其變種,2018年Satan病毒及其變種,2019年盛行的Gan-dCrab家族病毒以及Stop家族及其變種[3],以及2020年新型勒索病毒W(wǎng)annaRen,都具有快速傳播性和高危害性。
2勒索病毒分析
2.1勒索病毒分類
勒索病毒種類多、變種速度快。勒索病毒從攻擊手段層面講分為誘導勒索型和主動攻擊型。誘導攻擊型是通過偽裝成程序更新文件或者破解文件來誘使用戶下載并安裝,進而啟動病毒程序進行攻擊,比如常見的GandCrab和Stop家族等;主動攻擊型是指黑客通過操作系統(tǒng)漏洞直接入侵用戶主機或者RDP爆破植入勒索病毒,比如WannaCry,Santa病毒及其變種等。從攻擊后主機表現(xiàn)來看,一般分為鎖屏不加密文件型、鎖屏加密文件型以及蠕蟲傳播型[4],鎖屏不加密文件類型危害低已不常見;鎖屏加密文件最為嚴重,采用的高強度加密算法除非拿到私鑰,否則無解;蠕蟲傳播型是只加密用戶重要文件,不鎖屏亦不破壞用戶操作系統(tǒng)正常運行,此類勒索病毒是最為常見的勒索病毒,其危害高、傳播廣,黑客通過非對稱算法加密用戶文件,勒索用戶支付比特幣交易來解密文件數(shù)據(jù),病毒變種多,迭代頻繁,防不勝防,一旦中招,很難解密文件,造成嚴重的數(shù)據(jù)丟失。
2.2勒索病毒攻擊流程
勒索病毒進行網(wǎng)絡(luò)攻擊的過程:①病毒通過網(wǎng)頁掛馬、郵件釣魚或者弱口令漏洞進行攻擊某一用戶主機。②當該聯(lián)網(wǎng)的主機被攻擊后,就會在局域網(wǎng)內(nèi)探尋其他計算機,對有漏洞的機器繼續(xù)進行感染,以此實現(xiàn)大面積的植入感染,進行勒索獲取非法收入。勒索病毒攻擊主機的過程大同小異,本文以Stop家族為例,分析勒索病毒攻擊計算機的運行流程。1)病毒程序運行。勒索病毒程序被用戶運行,首先釋放到電腦內(nèi)存,加載到當前用戶正在運行的進程,以此躲避所裝殺毒軟件的查殺,彈出用戶控制窗口進行詢問,用戶如無法識別即會同意以此獲取管理員權(quán)限,獲取權(quán)限后可以在后續(xù)進行更多類型文件的加密。2)創(chuàng)建UUID設(shè)置自啟動任務(wù)。病毒運行后先進行豁免區(qū)域查詢,如通過IP地址查詢?yōu)榛砻鈬?病毒制作者設(shè)置的特定國家可以攻擊豁免)用戶則程序自卸載否則繼續(xù)攻擊,此時病毒為當前進程創(chuàng)建UUID,并且復制自身到以UUID為名的新建目錄,以該文件路徑進行自啟動任務(wù)的創(chuàng)建。3)生成RSA(非對稱加密算法)公鑰及用戶ID。訪問黑客服務(wù)器為攻擊用戶生成1024位的RSA公鑰和用戶唯一ID的身份認證,通過服務(wù)器生成的方式稱為Online加密,該加密文件幾無破解可能,除非交贖金;若訪問服務(wù)器失敗則進行本地生成公鑰和用戶ID,該方式稱為Offline加密,在可能的條件下是可以解密文件的。4)遍歷計算機文件進行加密。遍歷文件是首先會豁免指定的文件夾及文件類型(一般為系統(tǒng)運行文件,避免破壞系統(tǒng)正常運行),對其余類型文件進行高強度加密,加密過程中,對文件夾進行磁盤層級遍歷,層級過深的文件不進行加密。5)創(chuàng)建txt勒索信。病毒在每個磁盤根目錄下以及加密過的用戶文件目錄下創(chuàng)建_readme.txt的勒索信息。文件里含有具體的勒索信息,黑客郵箱,以及用戶ID,通過用戶ID可初步判斷是否為Offline加密。6)其余附加程序下載執(zhí)行。加密后會運行一些腳本禁用任務(wù)管理器;修改hosts文件,使得用戶無法訪問微軟以及全球的殺毒軟件廠商;同時搜索瀏覽器cookies,瀏覽記錄,郵箱信息,數(shù)字錢包等信息打包上傳至黑客服務(wù)器。
3勒索病毒防治策略
由于高強度加密算法以及數(shù)字貨幣隱匿性交易,導致勒索病毒傳播快,代碼變形升級快,勒索模式創(chuàng)新又隱蔽,對于加密的文件解密困難,除非妥協(xié)交贖金,因此勒索病毒重在預(yù)防,而不是中毒后再尋求解密。
3.1增強日常安全意識
日常聯(lián)網(wǎng)使用計算機的過程中,要提高警惕,不訪問涉黃涉毒網(wǎng)站,不隨意點擊不明來源的執(zhí)行腳本或者可執(zhí)行文件,不點擊郵件不明鏈接或附件;安裝有效的殺毒軟件,進行合理配置,定期查殺病毒,進行可疑文件進行及時隔離;盡量從官方渠道下載使用軟件,不輕信破解文件,如必需則在殺毒軟件沙盒監(jiān)督下運行程序。
3.2強口令和漏洞封堵
多數(shù)病毒通過系統(tǒng)漏洞或者爆破弱口令作為主動攻擊點,因此及時升級系統(tǒng)和打好修復補丁,避免系統(tǒng)漏洞被攻擊,及時升級殺毒軟件數(shù)據(jù)庫,提高防御能力;定期更新密碼口令,使用多重組合強密碼,不使用弱口令空口令,嚴格控制服務(wù)器訪問權(quán)限,每月定期更新口令密碼。
3.3防火墻配置及端口管理
外網(wǎng)防火墻加持,并且局域網(wǎng)防火墻配置策略,對445,3389,135,137,139高危端口禁用策略,實時監(jiān)督防火墻端口流量,嚴格管理訪問服務(wù)器的指定主機,統(tǒng)一配置防病毒系統(tǒng)以及準入策略,做到及時識別端口數(shù)據(jù)進行木馬過濾,保證網(wǎng)絡(luò)安全性。
3.4數(shù)據(jù)雙備份
勒索病毒通常采用非對稱加密算法RSA+AES對文件進行加密,解密時限未知,針對該新型勒索病毒的加密算法并沒有有效的解密方案,因此服務(wù)器或計算機中重要數(shù)據(jù)要及時進行本地磁盤備份和云服務(wù)器雙備份,避免主機被攻擊而造成數(shù)據(jù)損失。
4結(jié)語
新型勒索病毒破壞大傳播快,變種多,加密用戶數(shù)據(jù)造成巨大損失,因此必須高度重視,從技術(shù)角度、管理角度和日常使用習慣都需要進行防治策略應(yīng)對。本文從勒索病毒攻擊分析出發(fā),對勒索病毒攻擊提出防治措施和建議,對政企以及個人用戶計算機安全使用具有指導作用。
參考文獻:
[1]金重振,葛萬龍.局域網(wǎng)勒索病毒的防護策略研究———以WannaCry為例[J].信息與電腦,2017(18):217-218.
[2]安天安全研究與應(yīng)急處理中心.勒索軟件簡史[J].中國信息安全,2017(4):50-57.
[3]張玉,謝林燕.關(guān)于常見勒索病毒與防范應(yīng)對措施的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(6):7-9.
[4]萬子龍.勒索病毒攻擊原理及檢測方法研究[J].江西通信科技,2019(3):42-44.
作者:張寶移 單位:西安汽車職業(yè)大學
