摘要：隨著基礎(chǔ)設(shè)施的不斷增加和發(fā)展，互聯(lián)網(wǎng)技術(shù)已經(jīng)應(yīng)用到各個(gè)方面，新應(yīng)用的不斷出現(xiàn)，網(wǎng)絡(luò)規(guī)模越來越龐大，拓?fù)浣Y(jié)構(gòu)越來越復(fù)雜，網(wǎng)絡(luò)安全的管理難度也隨之增加。勒索病毒是一種新型計(jì)算機(jī)病毒，主要以郵件和程序木馬的形式傳播，具有傳播速度快、危害極大等特點(diǎn)。勒索病毒通過安全加密算法對(duì)信息加密，一般情況下無法在合理時(shí)間內(nèi)暴力破解，必須獲得相應(yīng)的私鑰才可能解密。勒索病毒的更新變種非?？?，對(duì)常規(guī)殺毒軟件具有免疫性。本文從勒索病毒的原理出發(fā)，依據(jù)攻擊形式、受害者分析、攻擊者分析、攻擊漏洞等方面，找到防護(hù)途徑和解決辦法。

關(guān)鍵詞：勒索病毒；攻擊原理；防護(hù)途徑；解決方法；計(jì)算機(jī)安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）22-0079-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

隨著互聯(lián)網(wǎng)的普及和信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已成為人們生活和工作中不可或缺的一部分。然而，隨之而來的是網(wǎng)絡(luò)安全問題的日益嚴(yán)峻。其中，勒索病毒作為一種極具破壞性和危害性的網(wǎng)絡(luò)威脅，給個(gè)人、企業(yè)甚至整個(gè)社會(huì)帶來了嚴(yán)重的經(jīng)濟(jì)損失和社會(huì)影響。近年來，計(jì)算機(jī)勒索病毒在全球肆虐，以其高度隱蔽性和高效性備受關(guān)注。其攻擊手段也日益多樣化和復(fù)雜化，加密技術(shù)的發(fā)展使攻擊者的技術(shù)能力不斷提高，給網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)[1-2]。

1 勒索病毒概述

1.1 勒索病毒概念

勒索病毒是一種新型的電腦惡意軟件，其主要目的是通過加密或封鎖用戶的文件或系統(tǒng)，然后勒索用戶支付贖金以解密或解除封鎖。它主要通過郵件附件、惡意鏈接、網(wǎng)絡(luò)下載等方式傳播。勒索病毒性質(zhì)惡劣、危害極大，在感染用戶系統(tǒng)后會(huì)立即加密用戶文件或封鎖系統(tǒng)，然后顯示勒索信息要求用戶支付贖金，給用戶帶來巨大的損失。勒索病毒通過各種加密算法對(duì)文件進(jìn)行加密，被攻擊者一般無法自行解密文件，因此只有獲得相應(yīng)的解密私鑰后才有可能破解[3]。

1.2 勒索病毒類型及發(fā)展史

勒索病毒的分類主要根據(jù)其攻擊目標(biāo)、傳播途徑和加密技術(shù)等方面的不同特征進(jìn)行劃分。每種類型的勒索病毒都對(duì)用戶系統(tǒng)和數(shù)據(jù)造成不同程度的損害和威脅。主要包括：文件加密型勒索病毒、系統(tǒng)鎖定型勒索病毒、移動(dòng)設(shè)備型勒索病毒、聯(lián)網(wǎng)設(shè)備型勒索病毒、多功能型勒索病毒等。

1989年，AIDS Trojan是世界上第一個(gè)被記錄到史冊(cè)中的勒索病毒，之后開始了勒索病毒廣泛傳播的現(xiàn)象。從2013年下半年開始，勒索病毒使用AES和RSA等加密算法來加密某些特定類型的文件，這使受攻擊者進(jìn)行無密鑰解密幾乎不可能完成，攻擊者會(huì)要求受害者必須通過使用虛擬貨幣來支付，以防止交易被追查。2016年隨著漏洞利用工具包的廣泛傳播，漏洞攻擊工具被網(wǎng)絡(luò)安全攻擊者廣泛使用[4]。例如，Wanna Cry勒索蠕蟲病毒是破壞性病毒和蠕蟲傳播的聯(lián)合。其目的不在于勒索資金，而是要制造影響整個(gè)世界的大規(guī)模破壞行動(dòng)。

2 勒索病毒分析

2.1 受害者和攻擊者分析

針對(duì)個(gè)人用戶，攻擊者利用網(wǎng)頁文件、盜版軟件、外掛軟件對(duì)病毒進(jìn)行偽裝，誘導(dǎo)受害者進(jìn)行下載并開始運(yùn)行病毒。運(yùn)行后，對(duì)受害者的計(jì)算機(jī)進(jìn)行加密。

針對(duì)企業(yè)用戶，勒索病毒常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠(yuǎn)程訪問弱口令攻擊、釣魚郵件攻擊、Web服務(wù)漏洞和弱口令攻擊、數(shù)據(jù)庫漏洞和弱口令攻擊等[5]。

勒索病毒攻擊者主要有三個(gè)步驟進(jìn)行攻擊，如圖1所示：

1） 嘗試攻擊公網(wǎng)的服務(wù)器，并獲得一定的操作權(quán)限。

2） 利用這臺(tái)機(jī)器做中轉(zhuǎn)，繼續(xù)尋找內(nèi)網(wǎng)中容易受攻擊的機(jī)器，進(jìn)一步在整個(gè)內(nèi)網(wǎng)中擴(kuò)散攻擊范圍。

3） 在入侵了一定數(shù)量的設(shè)備后，挖礦木馬和勒索病毒將會(huì)向這些設(shè)備中植入。

2.2 勒索病毒攻擊原理

操作系統(tǒng)和應(yīng)用程序軟件的數(shù)量、版本眾多。這些系統(tǒng)、軟件和程序都存在各種漏洞，恰恰是這些漏洞的存在使得勒索病毒的攻擊速度更快、效率更高。

勒索病毒的核心技術(shù)是加密算法。主流的加密算法之一是RSA加密算法，由Ron Rivest、Adi Shamir和Leonard Adleman提出，是一種非對(duì)稱公開密鑰加密算法，常用于數(shù)字簽名[6]。RSA加密算法依賴于大質(zhì)數(shù)對(duì)P和Q生成一對(duì)公鑰e和私鑰d，并使用公鑰e對(duì)明文信息M加密，私鑰d對(duì)密文C進(jìn)行解密。加密和解密的公式如（1）和（2）所示：

[[C=Mmodn] （1） [M=Cmodn] （2） ]

加密和解密過程如圖2所示，其中n=P×Q。

勒索病毒基于RSA加密算法，該加解密算法屬于公開密鑰密碼體制，要求密鑰成對(duì)出現(xiàn)，一個(gè)用于加密，另一個(gè)用于解密，并且不可能從其中一個(gè)推導(dǎo)出另一個(gè)。

下面是一個(gè)簡單的勒索病毒加密過程。首先，病毒作者在自己電腦上基于RSA算法生成私鑰A和公鑰A。然后，病毒軟件在目標(biāo)電腦上隨機(jī)生成私鑰B和公鑰B，利用公鑰B將受害者電腦上的文件進(jìn)行加密，得到加密文件。接著，通過公鑰A將受害者電腦上的私鑰B加密，得到加密私鑰K。最后，刪除受害者電腦上的私鑰B、公鑰A以及受害者文件。具體加密過程如圖3所示。

通過上述加密過程，我們知道受害者主機(jī)被感染后僅存有被加密的文件、勒索軟件生成的公鑰B以及加密私鑰K。在解密過程中，我們必須使用攻擊者的加密私鑰A將加密私鑰K解密，得出私鑰B，然后再通過私鑰B將加密文件解密，得到原受害者文件。具體的解密執(zhí)行過程如圖4所示。

2.3 勒索病毒發(fā)展趨勢(shì)

近年來，勒索病毒軟件已成為黑客攻擊者組織獲利的主要手段之一，同時(shí)也是發(fā)展最迅速的網(wǎng)絡(luò)安全威脅之一[7]。勒索病毒的發(fā)展趨勢(shì)如圖5所示：

1） 雙重勒索成為新常態(tài)。攻擊者不僅會(huì)加密重要數(shù)據(jù)并勒索贖金，還會(huì)竊取大量重要的商業(yè)信息，使得受害機(jī)構(gòu)不僅面臨數(shù)據(jù)泄露的威脅，同時(shí)還會(huì)在法律法規(guī)遵從、財(cái)產(chǎn)損失和聲譽(yù)等方面受到影響。

2） 互聯(lián)網(wǎng)上暴露的物聯(lián)網(wǎng)（IoT） 設(shè)備成為勒索軟件攻擊的新突破口。

3） 遠(yuǎn)程辦公場景的迅速增加，部分原因是網(wǎng)絡(luò)開放度提高和接口增加，這為勒索病毒提供了新的攻擊機(jī)會(huì)。

4） 低成本、高效率、低門檻、云技術(shù)的層次化普及，使得云原生數(shù)據(jù)安全變得尤為重要[8-9]。

3 安全防護(hù)技術(shù)

3.1 破解難度分析

勒索病毒使用的加密算法越強(qiáng)大，破解的難度就越大。如果加密算法使用的是AES、RSA等公認(rèn)的安全算法，那么破解的難度會(huì)很大，目前還沒有有效的方法可以在合理的時(shí)間內(nèi)暴力破解[10]。

RSA加密算法的加密過程非常迅速，基本可以忽略不計(jì)，但解密過程耗時(shí)較長。解密時(shí)間與解密文件的大小呈線性增長趨勢(shì)。在一臺(tái)擁有四核2.4GHz處理器、4GB內(nèi)存的PC機(jī)上，模擬一個(gè)簡單的RSA加解密過程。在已知RSA加密公鑰和解密私鑰的情況下，對(duì)不同大小的文件進(jìn)行RSA加密，將加密后的內(nèi)容存儲(chǔ)起來形成密文文件，然后使用已知的RSA私鑰對(duì)密文文件進(jìn)行解密。記錄加解密過程所用時(shí)間如下表所示。其中，加解密文件的單位為KB，加解密時(shí)間的單位為秒。

由表1可知，隨著文件大小的增加，解密時(shí)間也隨之增長。在未知私鑰的情況下，解密的難度非常大，因?yàn)槠平馑借€需要分解一個(gè)已知的大合數(shù)n，以找到其質(zhì)因數(shù)p和q。目前，尚無已知的快速算法可以在合理的時(shí)間內(nèi)完成這項(xiàng)任務(wù)，尤其是當(dāng)n非常大時(shí)。

總的來說，破解勒索病毒是一項(xiàng)復(fù)雜且困難的任務(wù)。為了防止勒索病毒對(duì)系統(tǒng)造成損害，更關(guān)鍵的是做好預(yù)防措施，如定期備份數(shù)據(jù)、保持系統(tǒng)更新、使用安全軟件等。

3.2 防護(hù)途徑

隨著勒索病毒威脅的持續(xù)增加，安全研究人員和廠商不斷探索和發(fā)展各種防御手段和安全防護(hù)技術(shù)，以有效對(duì)抗不斷變化的勒索病毒攻擊。針對(duì)勒索病毒，在傳統(tǒng)防御手段的基礎(chǔ)上，使用最新的防護(hù)技術(shù)包括以下措施：

1） 及時(shí)更新和維護(hù)安全補(bǔ)?。宏P(guān)注系統(tǒng)安全公告，及時(shí)安裝安全補(bǔ)丁，修復(fù)漏洞，提高系統(tǒng)安全性，同時(shí)安裝正規(guī)的防病毒軟件，定期更新病毒庫。

2） 強(qiáng)化網(wǎng)絡(luò)安全措施：增加防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等安全措施，限制惡意流量傳播和入侵。

3） 安全策略和權(quán)限管理：建立嚴(yán)格的訪問控制策略，限制用戶訪問權(quán)限，防止惡意軟件傳播和惡意操作。

4） 行為分析和異常檢測：利用機(jī)器學(xué)習(xí)和人工智能技術(shù)對(duì)系統(tǒng)和網(wǎng)絡(luò)行為實(shí)時(shí)監(jiān)測和分析，及時(shí)發(fā)現(xiàn)異常行為和惡意活動(dòng)。

5） 簽名識(shí)別和智能防御：利用網(wǎng)絡(luò)安全廠商提供的勒索病毒特征庫和智能防御引擎，實(shí)時(shí)識(shí)別和阻止已知的勒索病毒攻擊。

6） 備份和災(zāi)難恢復(fù)：定期備份重要數(shù)據(jù)并建立完善的災(zāi)難恢復(fù)計(jì)劃，以便在遭受勒索病毒攻擊時(shí)能快速恢復(fù)數(shù)據(jù)和系統(tǒng)。

此外，加強(qiáng)用戶的安全意識(shí)教育，提高他們對(duì)勒索病毒的辨識(shí)和防御能力也至關(guān)重要。綜合利用上述各種防御手段和安全防護(hù)技術(shù)可以有效提高系統(tǒng)和網(wǎng)絡(luò)對(duì)勒索病毒的抵抗能力，減少因勒索攻擊造成的損失。

4 結(jié)論

勒索病毒作為一種具有極大破壞性的網(wǎng)絡(luò)威脅，對(duì)個(gè)人、企業(yè)和整個(gè)社會(huì)的安全穩(wěn)定構(gòu)成嚴(yán)重威脅。要有效應(yīng)對(duì)勒索病毒的攻擊，需要采取綜合的安全防護(hù)策略，結(jié)合技術(shù)手段和管理措施，加強(qiáng)對(duì)勒索病毒的監(jiān)測、防護(hù)和處置。相信隨著科技的不斷進(jìn)步和防護(hù)技術(shù)的不斷完善，我們一定能夠更好地保護(hù)網(wǎng)絡(luò)安全，確保網(wǎng)絡(luò)空間的和平與安全。

參考文獻(xiàn)：

[1] 姜彬，居曉琴，施志剛.勒索病毒的攻擊原理與防范措施探究[J].電腦知識(shí)與技術(shù)，2023，19（31）：95-97，106.

[2] 張旭，李健珝，張洪飛.市級(jí)政務(wù)云勒索病毒監(jiān)測及防護(hù)[J].網(wǎng)絡(luò)安全與信息化，2023， （11）：145-147.

[3] 董昱宏，宋廣佳.勒索病毒技術(shù)發(fā)展研究綜述[J].計(jì)算機(jī)應(yīng)用與軟件，2023，40（1）：331-343.

[4] 方興東.勒索病毒事件對(duì)全球網(wǎng)絡(luò)治理的影響[J].中國信息安全，2017（7）：30-32.

[5] 張耕源.論網(wǎng)絡(luò)空間安全與攻防技術(shù)[J].信息系統(tǒng)工程，2023（12）：137-140.

[6] 薛丹丹，王媛媛，邵一瀟，等.勒索病毒的原理及防御措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（2）：10-12.

[7] 任澤坤，鄧月銳，鄭梅姣，等.從“勒索病毒”攻擊談我國計(jì)算機(jī)網(wǎng)絡(luò)安全管理現(xiàn)狀[J].中國管理信息化，2017（15）：196-197.

[8] 蔣凡，魏弋翔，莊嚴(yán)，等.安全私有云有效應(yīng)對(duì)勒索病毒的原理分析[J].信息網(wǎng)絡(luò)安全，2017（8）：83-88.

[9] 趙佩.勒索病毒攻擊事件漏洞分析及應(yīng)對(duì)防護(hù)策略[J].電子技術(shù)與軟件工程，2019（4）：201.

[10] 王春海，楚小斌，趙志波.如何避免勒索病毒傳播途徑風(fēng)險(xiǎn)[J].網(wǎng)絡(luò)安全和信息化，2021（2）：123-127.

【通聯(lián)編輯：唐一東】