前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機(jī)勒索病毒及防治策略探討范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:近年來,計算機(jī)勒索病毒全球肆虐,對政企和個人用戶數(shù)據(jù)進(jìn)行加密勒索,造成巨大損失,隨著數(shù)字貨幣的隱蔽交易和加密技術(shù)的不斷提高,勒索病毒蔓延網(wǎng)絡(luò),對計算機(jī)安全防護(hù)形成巨大的威脅。從勒索病毒分類、攻擊過程出發(fā),提出了防治和應(yīng)對策略,對反勒索病毒具有指導(dǎo)的現(xiàn)實(shí)意義。
關(guān)鍵詞:病毒;比特幣病毒;勒索病毒;計算機(jī)安全
引言
近年來,黑客通過病毒加密數(shù)據(jù)來勒索用戶獲取巨額非法收入,稱為勒索病毒或者贖金木馬。2017年,全球上百個國家和地區(qū)都遭受“WannaCry”的勒索病毒,勒索病毒被普通用戶所廣泛了解,該病毒利用NSA泄露出來的系統(tǒng)危險漏洞“Eter-nalBlue”(永恒之藍(lán)色)[1],因此又被稱為“永恒之藍(lán)”病毒。計算機(jī)用戶中病毒后,用戶主機(jī)上的各種文檔、照片、音視頻文件、應(yīng)用程序或源代碼通過非對稱多種算法進(jìn)行加密,并且以文件后綴被改寫為“.WNCRY”,用戶只能在限定時間內(nèi)交付比特幣贖金才可以得到解密工具。如何有效防治勒索病毒,已經(jīng)成為目前亟待解決的重要問題。
1勒索病毒簡介
勒索病毒是自2016年廣泛爆發(fā)以來,病毒制作者不再以掛馬破壞計算機(jī)系統(tǒng)或文件為技術(shù)展示,而是以加密用戶文件為由勒索金錢進(jìn)行網(wǎng)絡(luò)非法犯罪,隨著數(shù)字貨幣的隱匿性交易以及計算機(jī)加密算法的演進(jìn)愈演愈烈,其已成為政企用戶電腦最大的安全威脅之一[2]。勒索病毒一般通過網(wǎng)頁掛馬、垃圾郵件,以及偽裝非正版軟件的破解文件等形式進(jìn)行網(wǎng)絡(luò)傳播,一旦入侵電腦,就會有選擇地遍歷用戶文件夾下文件,進(jìn)行相應(yīng)算法加密,使用戶無法正常讀取文件,必須支付贖金才能拿到解密工具。比如引發(fā)廣泛討論的2017年“永恒之藍(lán)”漏洞“WannaCry”病毒及其變種,2018年Satan病毒及其變種,2019年盛行的Gan-dCrab家族病毒以及Stop家族及其變種[3],以及2020年新型勒索病毒W(wǎng)annaRen,都具有快速傳播性和高危害性。
2勒索病毒分析
2.1勒索病毒分類
勒索病毒種類多、變種速度快。勒索病毒從攻擊手段層面講分為誘導(dǎo)勒索型和主動攻擊型。誘導(dǎo)攻擊型是通過偽裝成程序更新文件或者破解文件來誘使用戶下載并安裝,進(jìn)而啟動病毒程序進(jìn)行攻擊,比如常見的GandCrab和Stop家族等;主動攻擊型是指黑客通過操作系統(tǒng)漏洞直接入侵用戶主機(jī)或者RDP爆破植入勒索病毒,比如WannaCry,Santa病毒及其變種等。從攻擊后主機(jī)表現(xiàn)來看,一般分為鎖屏不加密文件型、鎖屏加密文件型以及蠕蟲傳播型[4],鎖屏不加密文件類型危害低已不常見;鎖屏加密文件最為嚴(yán)重,采用的高強(qiáng)度加密算法除非拿到私鑰,否則無解;蠕蟲傳播型是只加密用戶重要文件,不鎖屏亦不破壞用戶操作系統(tǒng)正常運(yùn)行,此類勒索病毒是最為常見的勒索病毒,其危害高、傳播廣,黑客通過非對稱算法加密用戶文件,勒索用戶支付比特幣交易來解密文件數(shù)據(jù),病毒變種多,迭代頻繁,防不勝防,一旦中招,很難解密文件,造成嚴(yán)重的數(shù)據(jù)丟失。
2.2勒索病毒攻擊流程
勒索病毒進(jìn)行網(wǎng)絡(luò)攻擊的過程:①病毒通過網(wǎng)頁掛馬、郵件釣魚或者弱口令漏洞進(jìn)行攻擊某一用戶主機(jī)。②當(dāng)該聯(lián)網(wǎng)的主機(jī)被攻擊后,就會在局域網(wǎng)內(nèi)探尋其他計算機(jī),對有漏洞的機(jī)器繼續(xù)進(jìn)行感染,以此實(shí)現(xiàn)大面積的植入感染,進(jìn)行勒索獲取非法收入。勒索病毒攻擊主機(jī)的過程大同小異,本文以Stop家族為例,分析勒索病毒攻擊計算機(jī)的運(yùn)行流程。1)病毒程序運(yùn)行。勒索病毒程序被用戶運(yùn)行,首先釋放到電腦內(nèi)存,加載到當(dāng)前用戶正在運(yùn)行的進(jìn)程,以此躲避所裝殺毒軟件的查殺,彈出用戶控制窗口進(jìn)行詢問,用戶如無法識別即會同意以此獲取管理員權(quán)限,獲取權(quán)限后可以在后續(xù)進(jìn)行更多類型文件的加密。2)創(chuàng)建UUID設(shè)置自啟動任務(wù)。病毒運(yùn)行后先進(jìn)行豁免區(qū)域查詢,如通過IP地址查詢?yōu)榛砻鈬?病毒制作者設(shè)置的特定國家可以攻擊豁免)用戶則程序自卸載否則繼續(xù)攻擊,此時病毒為當(dāng)前進(jìn)程創(chuàng)建UUID,并且復(fù)制自身到以UUID為名的新建目錄,以該文件路徑進(jìn)行自啟動任務(wù)的創(chuàng)建。3)生成RSA(非對稱加密算法)公鑰及用戶ID。訪問黑客服務(wù)器為攻擊用戶生成1024位的RSA公鑰和用戶唯一ID的身份認(rèn)證,通過服務(wù)器生成的方式稱為Online加密,該加密文件幾無破解可能,除非交贖金;若訪問服務(wù)器失敗則進(jìn)行本地生成公鑰和用戶ID,該方式稱為Offline加密,在可能的條件下是可以解密文件的。4)遍歷計算機(jī)文件進(jìn)行加密。遍歷文件是首先會豁免指定的文件夾及文件類型(一般為系統(tǒng)運(yùn)行文件,避免破壞系統(tǒng)正常運(yùn)行),對其余類型文件進(jìn)行高強(qiáng)度加密,加密過程中,對文件夾進(jìn)行磁盤層級遍歷,層級過深的文件不進(jìn)行加密。5)創(chuàng)建txt勒索信。病毒在每個磁盤根目錄下以及加密過的用戶文件目錄下創(chuàng)建_readme.txt的勒索信息。文件里含有具體的勒索信息,黑客郵箱,以及用戶ID,通過用戶ID可初步判斷是否為Offline加密。6)其余附加程序下載執(zhí)行。加密后會運(yùn)行一些腳本禁用任務(wù)管理器;修改hosts文件,使得用戶無法訪問微軟以及全球的殺毒軟件廠商;同時搜索瀏覽器cookies,瀏覽記錄,郵箱信息,數(shù)字錢包等信息打包上傳至黑客服務(wù)器。
3勒索病毒防治策略
由于高強(qiáng)度加密算法以及數(shù)字貨幣隱匿性交易,導(dǎo)致勒索病毒傳播快,代碼變形升級快,勒索模式創(chuàng)新又隱蔽,對于加密的文件解密困難,除非妥協(xié)交贖金,因此勒索病毒重在預(yù)防,而不是中毒后再尋求解密。
3.1增強(qiáng)日常安全意識
日常聯(lián)網(wǎng)使用計算機(jī)的過程中,要提高警惕,不訪問涉黃涉毒網(wǎng)站,不隨意點(diǎn)擊不明來源的執(zhí)行腳本或者可執(zhí)行文件,不點(diǎn)擊郵件不明鏈接或附件;安裝有效的殺毒軟件,進(jìn)行合理配置,定期查殺病毒,進(jìn)行可疑文件進(jìn)行及時隔離;盡量從官方渠道下載使用軟件,不輕信破解文件,如必需則在殺毒軟件沙盒監(jiān)督下運(yùn)行程序。
3.2強(qiáng)口令和漏洞封堵
多數(shù)病毒通過系統(tǒng)漏洞或者爆破弱口令作為主動攻擊點(diǎn),因此及時升級系統(tǒng)和打好修復(fù)補(bǔ)丁,避免系統(tǒng)漏洞被攻擊,及時升級殺毒軟件數(shù)據(jù)庫,提高防御能力;定期更新密碼口令,使用多重組合強(qiáng)密碼,不使用弱口令空口令,嚴(yán)格控制服務(wù)器訪問權(quán)限,每月定期更新口令密碼。
3.3防火墻配置及端口管理
外網(wǎng)防火墻加持,并且局域網(wǎng)防火墻配置策略,對445,3389,135,137,139高危端口禁用策略,實(shí)時監(jiān)督防火墻端口流量,嚴(yán)格管理訪問服務(wù)器的指定主機(jī),統(tǒng)一配置防病毒系統(tǒng)以及準(zhǔn)入策略,做到及時識別端口數(shù)據(jù)進(jìn)行木馬過濾,保證網(wǎng)絡(luò)安全性。
3.4數(shù)據(jù)雙備份
勒索病毒通常采用非對稱加密算法RSA+AES對文件進(jìn)行加密,解密時限未知,針對該新型勒索病毒的加密算法并沒有有效的解密方案,因此服務(wù)器或計算機(jī)中重要數(shù)據(jù)要及時進(jìn)行本地磁盤備份和云服務(wù)器雙備份,避免主機(jī)被攻擊而造成數(shù)據(jù)損失。
4結(jié)語
新型勒索病毒破壞大傳播快,變種多,加密用戶數(shù)據(jù)造成巨大損失,因此必須高度重視,從技術(shù)角度、管理角度和日常使用習(xí)慣都需要進(jìn)行防治策略應(yīng)對。本文從勒索病毒攻擊分析出發(fā),對勒索病毒攻擊提出防治措施和建議,對政企以及個人用戶計算機(jī)安全使用具有指導(dǎo)作用。
參考文獻(xiàn):
[1]金重振,葛萬龍.局域網(wǎng)勒索病毒的防護(hù)策略研究———以WannaCry為例[J].信息與電腦,2017(18):217-218.
[2]安天安全研究與應(yīng)急處理中心.勒索軟件簡史[J].中國信息安全,2017(4):50-57.
[3]張玉,謝林燕.關(guān)于常見勒索病毒與防范應(yīng)對措施的探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(6):7-9.
[4]萬子龍.勒索病毒攻擊原理及檢測方法研究[J].江西通信科技,2019(3):42-44.
作者:張寶移 單位:西安汽車職業(yè)大學(xué)