馮潔瑩

摘 ?要： 勒索病毒近年來在數(shù)量上呈爆發(fā)式增長，嚴(yán)重影響全球眾多關(guān)鍵信息基礎(chǔ)設(shè)施，成為網(wǎng)絡(luò)安全中的一個關(guān)注熱點(diǎn)。文章介紹了勒索病毒的現(xiàn)狀，結(jié)合高校的網(wǎng)絡(luò)環(huán)境，綜合多種勒索病毒防治手段，提出了一系列通用的勒索病毒預(yù)防和應(yīng)急響應(yīng)措施。經(jīng)浙江大學(xué)網(wǎng)絡(luò)安全工作的實(shí)踐證明，合理應(yīng)用這些措施，能有效提高勒索病毒的防護(hù)水平。

關(guān)鍵詞： 勒索病毒; 預(yù)防; 應(yīng)急響應(yīng); 高校

中圖分類號：TP309.5 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號：1006-8228（2019）10-54-03

Abstract： In recent years， extortion virus has shown explosive growth in number， which has seriously affected many key information infrastructure areas around the world and has become a focus in network security. This paper briefly introduces the current situation of extortion virus， based on the network environment of colleges and universities and various methods of extortion virus prevention and control， puts forward a series of general measures to prevent and emergency respond to extortion virus. The practice of network security work in Zhejiang University has proved that the reasonable application of these measures can effectively improve the level of protection against extortion virus.

Key words： extortion virus; prevention; emergency measures; colleges and universities

0 引言

勒索病毒是在僵尸網(wǎng)絡(luò)基礎(chǔ)上的一種控制形式的升級。黑客在控制了用戶計算機(jī)以后，將用戶數(shù)據(jù)加密，并勒索用戶用虛擬貨幣為數(shù)據(jù)解密支付贖金[1]。

對勒索病毒的研究最早始于1996年[2]。在之后的二十多年間，眾多勒索病毒如TeslaCrypt[3]、VaultCrypt[4]、NanoLocker[5]、Android Simplelocker[6]、OSX/KeRanger-A[7]、NotPetya[8]、Cerber[9]等陸續(xù)出現(xiàn)在人們視野中。

近三年是勒索病毒又一個爆發(fā)高峰期。2017年5月12日，WannaCry勒索病毒[10]在短時間內(nèi)席卷全球，大量的政府部門、企業(yè)單位及教育機(jī)構(gòu)受到病毒侵害，中國高校成了此次勒索病毒事件中被感染的重災(zāi)區(qū)[11]。2017年6月27日晚，烏克蘭、俄羅斯、印度及歐洲多個國家遭遇Petya勒索病毒[12]襲擊，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場都不同程度受到了影響[13]。2018年8月21日起全國多地發(fā)生GlobeImposter勒索病毒事件。2018年10月27日凌晨，杭州某衛(wèi)生信息系統(tǒng)黑屏，數(shù)據(jù)庫文件被加密，業(yè)務(wù)系統(tǒng)無法啟動，初步判斷系感染GandCrabV5.0.4勒索病毒。2019年3月11日起，勒索病毒GandCrab V5.2對我國有關(guān)政府部門和高校開展釣魚郵件攻擊。這些勒索病毒在全球范圍內(nèi)，給政府、教育、醫(yī)院、能源、通信、制造業(yè)等領(lǐng)域造成了前所未有的重大損失。

由于勒索病毒變種多、攻擊形式多樣，且成功運(yùn)行后解密較為困難，而高校存在網(wǎng)絡(luò)環(huán)境復(fù)雜、上網(wǎng)用戶多、服務(wù)器分散等問題，因此要特別重視勒索病毒的預(yù)防和應(yīng)急處置工作。

1 勒索病毒的預(yù)防措施

目前應(yīng)對勒索病毒的措施主要以預(yù)防為主，同時加強(qiáng)整體網(wǎng)絡(luò)安全管理，增加有效的技術(shù)治理手段，具體分為如下幾塊內(nèi)容。

1.1 增強(qiáng)安全意識

勒索病毒的攻擊手段之一是通過偽裝病毒程序和代碼， 誘導(dǎo)計算機(jī)用戶在不知情的情況下啟動病毒程序， 進(jìn)而植入勒索病毒[14]，主要感染途徑為網(wǎng)頁掛馬、垃圾電子郵件、捆綁惡意程序等。日常使用網(wǎng)絡(luò)時要具備以下安全意識：

⑴ 不訪問色情、博彩等不良網(wǎng)站，不輕易下載陌生人發(fā)來的郵件附件，不點(diǎn)擊陌生郵件中的鏈接;

⑵ 不隨意使用陌生U盤、移動硬盤，不輕易解壓不明壓縮文件;

⑶ 不輕易運(yùn)行陌生的腳本文件和可執(zhí)行程序，陌生文件運(yùn)行前使用殺毒軟件進(jìn)行查殺;

⑷ 定期對全盤進(jìn)行病毒查殺，清理可疑文件，備份數(shù)據(jù)。

增強(qiáng)安全意識的培訓(xùn)工作應(yīng)落實(shí)到高校網(wǎng)絡(luò)安全工作的日常宣傳、線上線下安全培訓(xùn)等活動中。

1.2 密碼和端口管理

勒索病毒的另一種攻擊手段是通過黑客技術(shù)入侵用戶計算機(jī)系統(tǒng)，進(jìn)而植入的勒索病毒[14]，代表就是WannaCry和Petya勒索病毒。主要通過利用系統(tǒng)和應(yīng)用程序漏洞（永恒之藍(lán)等）和爆破服務(wù)（RDP、FTP、MySQL、SQLServer等）弱口令、空口令、服務(wù)器共用口令。對密碼爆破攻擊，可從如下幾點(diǎn)進(jìn)行防范：

⑴ 不使用弱口令、空口令，多臺服務(wù)器不共用同一個口令;

⑵ 設(shè)置強(qiáng)密碼，長度不少于8個字符，至少包含大小寫字母、數(shù)字、特殊符號中的三類，不使用人名、計算機(jī)名、用戶名、郵箱名等;

⑶ 對多賬戶服務(wù)器嚴(yán)格控制每個賬戶的權(quán)限;

⑷ 做到定期更換口令。

此外，應(yīng)對開放的端口進(jìn)行管理。除了必要的業(yè)務(wù)需求，應(yīng)關(guān)閉 135、139、445、3389等端口，或通過防火墻配置、安全軟件隔離、準(zhǔn)入管理等手段，僅允許指定機(jī)器訪問。

高校網(wǎng)絡(luò)安全相關(guān)部門應(yīng)關(guān)注外界勒索病毒的爆發(fā)情況，及時發(fā)布預(yù)警通知，將影響降到最低。

1.3 及時修復(fù)漏洞

來自Recorded Future的報告顯示，2018年黑客最常用的十大漏洞中，有八個漏洞都來自微軟，與日常學(xué)習(xí)工作不可或缺的office和IE有關(guān)，不及時修復(fù)會導(dǎo)致遠(yuǎn)程代碼執(zhí)行，進(jìn)而被植入勒索病毒。

除了廣為人知的永恒之藍(lán)之外，JBoss反序列化漏洞、Tomcat任意文件上傳漏洞、Tomcat web管理后臺弱口令爆破、ApacheStruts2遠(yuǎn)程代碼執(zhí)行漏洞等Web應(yīng)用漏洞也是勒索病毒的利用途徑。

因此，高校網(wǎng)絡(luò)安全相關(guān)部門應(yīng)及時跟進(jìn)微軟發(fā)布的高危漏洞公告，發(fā)布的漏洞預(yù)警公告，并督促校內(nèi)各單位盡快修復(fù)系統(tǒng)存在的漏洞。校內(nèi)各單位應(yīng)提高安全意識，高度重視收到的漏洞通報，及時修復(fù)漏洞，避免被惡意利用。如果不能及時關(guān)注響應(yīng)這些漏洞信息，可借助安全軟件修復(fù)漏洞，當(dāng)前主流的殺毒軟件和安全衛(wèi)士均提供漏洞更新服務(wù)。有條件的單位可以定期對名下系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行自查。

1.4 加固安全防護(hù)

高校目前均部署有一系列的安全設(shè)備，如Web應(yīng)用防火墻、APT預(yù)警平臺、防病毒網(wǎng)關(guān)等，合理利用各個設(shè)備的優(yōu)勢，及時更新規(guī)則庫，調(diào)整防護(hù)策略，關(guān)注并處理設(shè)備的告警信息。

高校網(wǎng)絡(luò)安全相關(guān)部門應(yīng)定期開展校園網(wǎng)病毒專項(xiàng)檢查工作，及時發(fā)現(xiàn)已失陷主機(jī)，通知所屬用戶處置或協(xié)助用戶進(jìn)行處置和安全加固。

2 勒索病毒的應(yīng)急響應(yīng)

百密一疏，再全面的防護(hù)措施，也會有漏網(wǎng)之魚。當(dāng)流量分析或威脅監(jiān)測系統(tǒng)產(chǎn)生大量“SMB遠(yuǎn)程溢出攻擊”、“弱口令爆破”等告警信息，或者某臺設(shè)備出現(xiàn)CPU或內(nèi)存資源占用異常時，應(yīng)加以重視，可能是病毒在嘗試攻擊。一旦校園網(wǎng)內(nèi)某臺主機(jī)感染勒索病毒，除了該主機(jī)自身的文件會被加密外，勒索病毒往往還會利用這臺主機(jī)去攻擊同一局域網(wǎng)內(nèi)的其他主機(jī)。

因此，一旦發(fā)現(xiàn)某臺主機(jī)疑似感染或已被感染，高校網(wǎng)絡(luò)安全相關(guān)部門應(yīng)盡快采取應(yīng)急響應(yīng)措施。一般處理步驟如下。

2.1 隔離

對疑似感染或已被感染的主機(jī)進(jìn)行斷網(wǎng)或限制訪問處理，防止勒索病毒擴(kuò)散。

2.2 排查

排查相關(guān)業(yè)務(wù)系統(tǒng)是否受到影響，確定是否有其他主機(jī)受影響，明確病毒影響范圍。

2.3 加固

勒索病毒攻擊途徑一般為未修復(fù)的系統(tǒng)漏洞、應(yīng)用漏洞和弱口令爆破，因此，在明確局域網(wǎng)內(nèi)已有主機(jī)感染勒索病毒后，應(yīng)檢測其他主機(jī)是否有上述的問題存在。系統(tǒng)漏洞可以使用Nessus等進(jìn)行檢測，應(yīng)用漏洞可以使用AWVS、APPScan等進(jìn)行檢測。檢測報告將給出詳細(xì)的漏洞描述、危害和修復(fù)建議。弱口令應(yīng)立即修改為強(qiáng)密碼，若條件允許，還可配置防暴力破解策略，增強(qiáng)安全性。

2.4 恢復(fù)

對已被勒索病毒加密的設(shè)備，一般有備份還原、數(shù)據(jù)恢復(fù)、工具解密、支付解密四種方法。

⑴ 備份還原：該方法適用于備份文件未受勒索病毒影響的情況。通常，本地備份和同一局域網(wǎng)內(nèi)的異機(jī)備份都會被病毒遍歷到而被加密，因此，最佳的備份方式是不在同一局域網(wǎng)內(nèi)的異地備份。進(jìn)行備份還原前，應(yīng)進(jìn)行磁盤格式化并重裝系統(tǒng)，確保病毒已被徹底清除。因此，對重要的系統(tǒng)和設(shè)備，一定要進(jìn)行合理的數(shù)據(jù)備份，這也是目前最有效的恢復(fù)方法。

⑵ 數(shù)據(jù)恢復(fù)：該方法適用于原文件未被覆蓋的情況，可以嘗試使用一些數(shù)據(jù)恢復(fù)工具，或者尋求專業(yè)數(shù)據(jù)恢復(fù)人員的幫助。

⑶ 工具解密：目前已有部分勒索軟件被破解，可以嘗試一些官方反勒索病毒網(wǎng)站提供的解密工具。

⑷ 支付解密：建議只有在數(shù)據(jù)非常重要且采用其他方法都無法恢復(fù)時使用。不要直接向?qū)Ψ劫~戶支付贖金，需聽取安全人員的建議，謹(jǐn)慎處置。

3 結(jié)束語

2019年以來，勒索病毒攻擊雖有所減緩，但從未停止。如2019年3月11日的GandCrabV5.2勒索病毒攻擊。當(dāng)天，浙江大學(xué)郵件系統(tǒng)截獲該勒索病毒釣魚郵件700多封，這些郵件均被投遞到了垃圾郵件箱，次日仍有收到20多封釣魚郵件。浙江大學(xué)信息技術(shù)中心緊急發(fā)布漏洞預(yù)警通知，升級郵件系統(tǒng)病毒庫，并郵件通知相關(guān)用戶提高警惕。目前浙江大學(xué)未發(fā)現(xiàn)有師生中該勒索病毒。

此起彼伏的勒索病毒事件提醒我們，勒索病毒種類多樣、破壞性大，但可防可控。我們要在處理勒索病毒事件的過程中，提高威脅洞察能力，積累經(jīng)驗(yàn)，不斷增強(qiáng)勒索病毒的預(yù)防、抵抗和應(yīng)急處置能力。

參考文獻(xiàn)（References）：

[1] Adamov A， Carlsson A. The state of ransomware. Trends and mitigation techniques[C]//2017 IEEE East- West Design & Test Symposium （EWDTS）. Piscataway， NJ： IEEE， 2017：1-8

[2] Young A.， Yung M.， Cryptovirology： Extortion-based security threats and countermeasures. In Security and Privacy Proceedings， IEEE Symposium， 1996， pp. 129–140.

[3] Owen G.， Savage N.， Empirical analysis of Tor Hidden Services， IET Information Security， Volume 10， Issue： 3， 2016：113-118

[4] Adamov A.， VaultCrypt： From Russia with Love，NioGuard Security Lab and Ukrainian Cyberpolice，2015.

[5] NanoLocker - Ransomware analysis， MalwareClipboard，http：//blog.malwareclipboard.com/2016/01/nanolockerransomware-analysis.html，2016.

[6] ESET Analyzes Simplocker – First Android File - Encrypting，TOR-enabled Ransomware， ESET，2014.

[7] Claud Xiao， Jin Chen， New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer， Palo Alto Networks，March 2016， https：//researchcenter.paloaltonetworks.com/2016.

[8] EternalPetya / NotPetya Ransomware Analysis， Nioguard Security Lab， June 2017.

[9] New variant of Cerber ransomware （Ferber） analyzed， Nioguard Security Lab， July 2017.

[10] Berry A.， Homan J.， Eitzman R.， WannaCryMalware Profile， FireEye， May 2017.

[11] 馬也， 吳文燦與麥永浩， 從WannaCry勒索病毒事件談高校網(wǎng)絡(luò)安全[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018.4：66-68

[12] Petya – Taking Ransomware To The Low Level，MalwareBytes， April 2016.

[13] 李威， Petya勒索蠕蟲完全分析報告[J]. 計算機(jī)與網(wǎng)絡(luò)， 2017.43（14）：50-52

[14] 趙乾等， 新型計算機(jī)勒索病毒研究[J].無線互聯(lián)科技，2018. 1： 26-27