趙乾 楊釗 伍權(quán)樹 鐘翡

摘要：近期一系列對(duì)比特幣進(jìn)行勒索的新型計(jì)算機(jī)勒索病毒席卷全球150多個(gè)國(guó)家，病毒來勢(shì)洶洶且種類不斷翻新，大有愈演愈烈之勢(shì)。文章通過探討計(jì)算機(jī)勒索病毒的分類、成因和攻擊原理，探尋防護(hù)計(jì)算機(jī)勒索病毒的策略方法。

關(guān)鍵詞：勒索病毒；WannaCry； Petya； BadRabbit

近年來，計(jì)算機(jī)勒索病毒（以下簡(jiǎn)稱勒索病毒）爆發(fā)頻率高、破壞程度強(qiáng)且社會(huì)影響較大。顧名思義，勒索病毒是病毒研發(fā)者或黑客組織用于勒索被攻擊計(jì)算機(jī)用戶錢財(cái)?shù)囊幌盗杏?jì)算機(jī)程序的總稱，通常由漏洞攻擊工具、病毒本體、局域網(wǎng)傳播工具和木馬后門程序等組成。不同于其他計(jì)算機(jī)病毒以“炫技”“報(bào)復(fù)”“盜取”等為目的，勒索病毒多以篡改存儲(chǔ)數(shù)據(jù)為手段，以非法索取受害者財(cái)物為目的，病毒研發(fā)者的犯罪動(dòng)機(jī)極其明顯，犯罪手段非常極端。

1 勒索病毒的分類

按照攻擊手段的不同，勒索病毒可分為誘導(dǎo)攻擊型和主動(dòng)攻擊型兩種。一是誘導(dǎo)攻擊型勒索病毒，指通過偽裝病毒程序和代碼.誘導(dǎo)計(jì)算機(jī)用戶在不知情的情況下啟動(dòng)病毒程序，進(jìn)而植入勒索病毒。最早的誘導(dǎo)勒索程序出現(xiàn)于1989年，而后勒索程序不斷升級(jí)迭代，由計(jì)算機(jī)程序演變?yōu)橛?jì)算機(jī)病毒，2007年3月曾出現(xiàn)以敲詐勒索為目的的“勒索者病毒”（Harm.Extortioner.a），它是通過E語言編寫的程序，運(yùn)行后刪除各分區(qū)中的文件，彈出非正版警告，并提供“購(gòu)買”方法達(dá)到誘導(dǎo)和欺騙的目的。2017年11月出現(xiàn)的BadRabbit、Ransom病毒，是通過誘導(dǎo)用戶下載并安裝植入了病毒的Adobe Flashplayer更新包，并誘導(dǎo)用戶啟動(dòng)病毒程序。二是主動(dòng)攻擊型勒索病毒，指主要通過黑客技術(shù)入侵用戶計(jì)算機(jī)系統(tǒng)而植入的勒索病毒。主動(dòng)攻擊型勒索病毒首次出現(xiàn)在2017年5月，以攻擊微軟MS17-010漏洞的WannaCry和Petya（WannaCry變種）為代表，這一類型病毒主動(dòng)尋找并攻擊系統(tǒng)漏洞獲得系統(tǒng)權(quán)限并植入病毒本體，是黑客技術(shù)與病毒技術(shù)結(jié)合的產(chǎn)物，其危害性遠(yuǎn)超其他類型的勒索病毒。

2 勒索病毒的成因

早期的勒索病毒以惡作劇為主，以獲利為輔，其病毒代碼的水平較低級(jí)，隱藏性和危害性相對(duì)較弱，這類病毒極易被查殺，且破壞影響極易被消除，這是因?yàn)椋海╨）當(dāng)時(shí)病毒作者多為單打獨(dú)斗，技術(shù)手段不成體系，更多的是通過“炫技”以達(dá)到擴(kuò)大知名度的目的。（2）當(dāng)時(shí)計(jì)算機(jī)安全防護(hù)技術(shù)普及不夠廣泛，大多數(shù)系統(tǒng)在沒有安全防護(hù)手段的保護(hù)下運(yùn)行，容易淪為“肉雞”。（3）支付手段落后且容易被溯源，制作勒索病毒的違法成本較高，風(fēng)險(xiǎn)較大。

隨著計(jì)算機(jī)病毒技術(shù)、黑客組織的發(fā)展，以及某些國(guó)家安全機(jī)構(gòu)的失職，導(dǎo)致勒索病毒順利“著床”，并迅猛發(fā)展。其成因主要包括：（l）黑客組織發(fā)展壯大。黑客組織依靠官方組織和民間自發(fā)成立，具有較強(qiáng)的組織性。隨著“棱鏡門”事件和維基解密等反黑幕組織的出現(xiàn)，越來越多的證據(jù)顯示，以某國(guó)政府為背景的黑客組織正在打破網(wǎng)絡(luò)安全防護(hù)的平衡，NSA（美國(guó)國(guó)家安全局）下屬一支代號(hào)“方程式”（Equation Group）的黑客部隊(duì)，其針對(duì)各種操作系統(tǒng)研究的黑客攻擊手段，已經(jīng)形成了具有攻擊框架和攻擊工具的戰(zhàn)略級(jí)“武器庫(kù)”。民間存在一些“地下”黑客組織，諸如因攻破NSA武器庫(kù)而得名的“影子經(jīng)紀(jì)人”（Shadow Brokers）、向IS宣戰(zhàn)的“匿名者”（Anonymous）黑客組織等，民間黑客組織具有更加嚴(yán)密的組織層次，其政治目的、軍事目的和經(jīng)濟(jì)目的的隱蔽性使其更難防御。（2）病毒工具更加豐富。隨著網(wǎng)絡(luò)攻擊技術(shù)、計(jì)算機(jī)病毒技術(shù)、密碼技術(shù)的發(fā)展，一批模塊化的病毒工具被生產(chǎn)出來，并流向非法組織和個(gè)人。NSA“方程式”組織泄漏的針對(duì)Windows和Swift系統(tǒng)的攻擊工具多達(dá)12種之多，病毒作者僅僅基于其中一種“永恒之藍(lán)”便制作了WannaCry和Petya這兩個(gè)令全世界恐慌的勒索病毒，而官方和地下的黑客組織所掌握“武器庫(kù)”規(guī)模則難以估算。（3）虛擬貨幣缺少監(jiān)管。以“比特幣”為代表的虛擬貨幣逐漸形成特有的市場(chǎng)，其基于P2P數(shù)據(jù)庫(kù)和密碼學(xué)的設(shè)計(jì)確保了流通交易的匿名性，為不法分子洗錢和非法獲利提供了平臺(tái)。

綜上所述，在黑客組織、病毒技術(shù)和虛擬貨幣支付體系成熟的大環(huán)境下，網(wǎng)絡(luò)勒索行為的門檻降低、風(fēng)險(xiǎn)趨零、組織優(yōu)化、獲利豐厚，增加了網(wǎng)絡(luò)犯罪分子的囂張氣焰，使得勒索病毒在短期內(nèi)頻繁爆發(fā)并迭代。

3 勒索病毒攻擊原理

勒索病毒攻擊分為5個(gè)步驟：攻擊系統(tǒng)、植入病毒、實(shí)施破壞、勒索用戶、掛載木馬，其中前4個(gè)步驟為常見步驟，第5個(gè)步驟為部分變種病毒所特有，下面以WannaCry病毒攻擊步驟為例來探討勒索病毒攻擊的原理。

3.1系統(tǒng)攻擊

勒索病毒的攻擊手段包括蠕蟲攻擊和木馬植入。蠕蟲攻擊指基于“永恒之藍(lán)”攻擊工具開發(fā)的針對(duì)MS17-010漏洞的蠕蟲病毒的攻擊行為，初始攻擊由黑客主動(dòng)發(fā)起，一旦存在可利用的SMB漏洞，蠕蟲病毒會(huì)入侵主機(jī)并依托主機(jī)向其他局域網(wǎng)主機(jī)發(fā)起新的攻擊，直至攻擊對(duì)象全部感染。木馬植入是指通過運(yùn)行掛載的木馬程序，從系統(tǒng)內(nèi)部打開病毒入侵的端口，并以此為源頭向其他局域網(wǎng)主機(jī)發(fā)起攻擊。

3.2植入病毒

植入病毒是指被攻擊的主機(jī)通過被開放的端口傳輸病毒代碼，病毒代碼最早是通過遠(yuǎn)程控制注入，當(dāng)局域網(wǎng)中的一臺(tái)主機(jī)被攻陷后，則以被攻陷主機(jī)為支撐，向新的局域網(wǎng)主機(jī)發(fā)起攻擊并注入病毒，病毒代碼被注入后，在主機(jī)系統(tǒng)內(nèi)立即啟用。

3.3實(shí)施破壞

病毒代碼一旦運(yùn)行，會(huì)對(duì)主機(jī)存儲(chǔ)的文件進(jìn)行加密，WannaCry采用RSA+AES加密算法，是美國(guó)聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)，這項(xiàng)加密算法異常復(fù)雜，想要完全破解AES花費(fèi)的時(shí)間要以數(shù)十億年計(jì)，極大地保證了數(shù)據(jù)的安全性。加密的對(duì)象是圖片、文檔、視頻、壓縮包等文檔資料，根據(jù)病毒版本的不同，被加密的文件會(huì)按照ONION或WNCRY兩種后綴名來存儲(chǔ)。

3.4勒索用戶

病毒對(duì)文件完成加密后，會(huì)鎖定系統(tǒng)并針對(duì)操作系統(tǒng)所在區(qū)域生成對(duì)應(yīng)的語言提示，提示用戶支付約300美元（相當(dāng)于2 069元人民幣）的比特幣到指定比特幣帳號(hào)。有趣的是，經(jīng)反匯編病毒程序，可以看到病毒的勒索界面包含28種語言包，可見病毒作者對(duì)病毒的國(guó)際影響范圍早有預(yù)期，據(jù)比特幣分析機(jī)構(gòu)的相關(guān)數(shù)據(jù)顯示，在WannaCry爆發(fā)的一周內(nèi).制作者通過比特幣交易平臺(tái)獲得的贖金約為7萬美元。

3.5掛載木馬

在一些變種勒索病毒中還發(fā)現(xiàn)掛載了其他木馬，用于盜取主機(jī)用戶的信用卡和身份信息等，可見勒索病毒不再拘泥于單一的獲利手段，開始回歸傳統(tǒng)的病毒攻擊方式，以期建立長(zhǎng)期的價(jià)值獲取機(jī)制。

4 勒索病毒的防護(hù)策略

截至2017年11月，僅WannaCry -種勒索病毒已經(jīng)導(dǎo)致烏克蘭、俄羅斯、印度、西班牙、法國(guó)、英國(guó)等150個(gè)國(guó)家的政府、銀行、電力、通信、交通、醫(yī)療、石化等公共服務(wù)系統(tǒng)不同程度的癱瘓，預(yù)計(jì)約有30萬臺(tái)主機(jī)受到攻擊，損失達(dá)80億美元，我國(guó)部分高校學(xué)生因?qū)W位論文被加密而失去按時(shí)畢業(yè)的機(jī)會(huì)。應(yīng)對(duì)勒索病毒所造成的威脅，形成“封堵漏洞、云端管理、數(shù)據(jù)備份、升級(jí)病毒庫(kù)”相結(jié)合的策略，是預(yù)防勒索病毒感染的有效方法。

4.1健全法治

2017年6月1日施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法>第五條規(guī)定：“國(guó)家采取措施，監(jiān)測(cè)、防御、處置來源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)空間安全和秩序?！睘槲覈?guó)在法律上懲治網(wǎng)絡(luò)勒索行為提供了法律依據(jù)，并對(duì)國(guó)家網(wǎng)信部門和基礎(chǔ)網(wǎng)絡(luò)運(yùn)行商的安全防護(hù)職能進(jìn)行了明確，網(wǎng)絡(luò)安全事件按照危害程度、影響范圍等因素進(jìn)行分級(jí)，并規(guī)定相應(yīng)的應(yīng)急處置措施等，從行政的角度對(duì)類似勒索病毒爆發(fā)的安全事件防護(hù)和處置措施進(jìn)行了規(guī)范。我國(guó)雖然是計(jì)算機(jī)用戶數(shù)量最大的國(guó)家，但據(jù)專業(yè)網(wǎng)站對(duì)勒索病毒產(chǎn)生的影響分析，從主機(jī)端口被攻擊的數(shù)量、支付贖金的數(shù)量和系統(tǒng)補(bǔ)丁安裝的數(shù)量上看，我國(guó)在病毒事件前后采取的安全處置行動(dòng)的響應(yīng)速度最快，受益用戶最多，防護(hù)效果最好。

4.2封堵漏洞

隨著“永恒之藍(lán)”攻擊工具泄漏的還有“永恒王者、永恒浪漫、永恒協(xié)作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學(xué)者、日食之翼和尊重審查”等NSA針對(duì)Windows研發(fā)的系統(tǒng)攻擊工具，每一款攻擊工具都可能被不法分子利用，發(fā)起勒索病毒攻擊。微軟在NSA武器庫(kù)泄漏不久就緊急發(fā)布了MS17-010，MSI0-061，MS09-050，MS08-067等系統(tǒng)補(bǔ)丁，對(duì)SMB，Kerberos，Server netAPI等漏洞進(jìn)行了修復(fù)，可以完全抵御這次危機(jī)。另外，防病毒軟件對(duì)病毒庫(kù)進(jìn)行了升級(jí)，利用軟件防火墻技術(shù)封堵了“永恒”系列攻擊工具的漏洞。

4.3云端管理

勒索病毒發(fā)起的局域網(wǎng)攻擊使得一部分并未暴露在主動(dòng)攻擊威脅下的主機(jī)也淪為被攻擊對(duì)象，這是因?yàn)橐环矫娲蠖鄶?shù)局域網(wǎng)用戶為企業(yè)、園區(qū)、校園等內(nèi)部網(wǎng)絡(luò)，在外網(wǎng)防火墻的保護(hù)下，局域網(wǎng)主機(jī)缺乏內(nèi)部安全防護(hù)措施，另一方面為了方便局域網(wǎng)通信，135、137、138、139、445等被勒索病毒利用的端口并未屏蔽，這些因素導(dǎo)致了局域網(wǎng)用戶更容易遭受勒索病毒的攻擊。對(duì)于局域網(wǎng)用戶的管理應(yīng)當(dāng)部署統(tǒng)一的入侵監(jiān)測(cè)、主機(jī)監(jiān)控和防病毒系統(tǒng)，通過云端統(tǒng)一管理局域網(wǎng)的安全事件，采用用戶組策略來封堵勒索病毒在局域網(wǎng)的傳播。

4.4數(shù)據(jù)備份

勒索病毒采用RSA+AES加密算法，理論上無法在有限的時(shí)間內(nèi)破解，在WannaCry病毒出現(xiàn)后，提出過采用數(shù)據(jù)恢復(fù)軟件進(jìn)行文件恢復(fù)的方法，但在Petya和BadRabbit病毒爆發(fā)后，病毒開始對(duì)文件列表進(jìn)行加密，并寫入無序信息，導(dǎo)致數(shù)據(jù)恢復(fù)方法徹底失效。針對(duì)勒索病毒的加密技術(shù)，目前并無有效的解決方法，但卻可以提前進(jìn)行預(yù)防，對(duì)重要的數(shù)據(jù)經(jīng)常進(jìn)行數(shù)據(jù)備份或采取云端備份的方式，減少主機(jī)被攻擊后帶來的損失。