新型計算機勒索病毒研究

趙乾 楊釗 伍權(quán)樹 鐘翡

摘要：近期一系列對比特幣進(jìn)行勒索的新型計算機勒索病毒席卷全球150多個國家，病毒來勢洶洶且種類不斷翻新，大有愈演愈烈之勢。文章通過探討計算機勒索病毒的分類、成因和攻擊原理，探尋防護(hù)計算機勒索病毒的策略方法。

關(guān)鍵詞：勒索病毒；WannaCry； Petya； BadRabbit

近年來，計算機勒索病毒（以下簡稱勒索病毒）爆發(fā)頻率高、破壞程度強且社會影響較大。顧名思義，勒索病毒是病毒研發(fā)者或黑客組織用于勒索被攻擊計算機用戶錢財?shù)囊幌盗杏嬎銠C程序的總稱，通常由漏洞攻擊工具、病毒本體、局域網(wǎng)傳播工具和木馬后門程序等組成。不同于其他計算機病毒以“炫技”“報復(fù)”“盜取”等為目的，勒索病毒多以篡改存儲數(shù)據(jù)為手段，以非法索取受害者財物為目的，病毒研發(fā)者的犯罪動機極其明顯，犯罪手段非常極端。

1 勒索病毒的分類

按照攻擊手段的不同，勒索病毒可分為誘導(dǎo)攻擊型和主動攻擊型兩種。一是誘導(dǎo)攻擊型勒索病毒，指通過偽裝病毒程序和代碼.誘導(dǎo)計算機用戶在不知情的情況下啟動病毒程序，進(jìn)而植入勒索病毒。最早的誘導(dǎo)勒索程序出現(xiàn)于1989年，而后勒索程序不斷升級迭代，由計算機程序演變?yōu)橛嬎銠C病毒，2007年3月曾出現(xiàn)以敲詐勒索為目的的“勒索者病毒”（Harm.Extortioner.a），它是通過E語言編寫的程序，運行后刪除各分區(qū)中的文件，彈出非正版警告，并提供“購買”方法達(dá)到誘導(dǎo)和欺騙的目的。2017年11月出現(xiàn)的BadRabbit、Ransom病毒，是通過誘導(dǎo)用戶下載并安裝植入了病毒的Adobe Flashplayer更新包，并誘導(dǎo)用戶啟動病毒程序。二是主動攻擊型勒索病毒，指主要通過黑客技術(shù)入侵用戶計算機系統(tǒng)而植入的勒索病毒。主動攻擊型勒索病毒首次出現(xiàn)在2017年5月，以攻擊微軟MS17-010漏洞的WannaCry和Petya（WannaCry變種）為代表，這一類型病毒主動尋找并攻擊系統(tǒng)漏洞獲得系統(tǒng)權(quán)限并植入病毒本體，是黑客技術(shù)與病毒技術(shù)結(jié)合的產(chǎn)物，其危害性遠(yuǎn)超其他類型的勒索病毒。

2 勒索病毒的成因

早期的勒索病毒以惡作劇為主，以獲利為輔，其病毒代碼的水平較低級，隱藏性和危害性相對較弱，這類病毒極易被查殺，且破壞影響極易被消除，這是因為：（l）當(dāng)時病毒作者多為單打獨斗，技術(shù)手段不成體系，更多的是通過“炫技”以達(dá)到擴大知名度的目的。（2）當(dāng)時計算機安全防護(hù)技術(shù)普及不夠廣泛，大多數(shù)系統(tǒng)在沒有安全防護(hù)手段的保護(hù)下運行，容易淪為“肉雞”。（3）支付手段落后且容易被溯源，制作勒索病毒的違法成本較高，風(fēng)險較大。

隨著計算機病毒技術(shù)、黑客組織的發(fā)展，以及某些國家安全機構(gòu)的失職，導(dǎo)致勒索病毒順利“著床”，并迅猛發(fā)展。其成因主要包括：（l）黑客組織發(fā)展壯大。黑客組織依靠官方組織和民間自發(fā)成立，具有較強的組織性。隨著“棱鏡門”事件和維基解密等反黑幕組織的出現(xiàn)，越來越多的證據(jù)顯示，以某國政府為背景的黑客組織正在打破網(wǎng)絡(luò)安全防護(hù)的平衡，NSA（美國國家安全局）下屬一支代號“方程式”（Equation Group）的黑客部隊，其針對各種操作系統(tǒng)研究的黑客攻擊手段，已經(jīng)形成了具有攻擊框架和攻擊工具的戰(zhàn)略級“武器庫”。民間存在一些“地下”黑客組織，諸如因攻破NSA武器庫而得名的“影子經(jīng)紀(jì)人”（Shadow Brokers）、向IS宣戰(zhàn)的“匿名者”（Anonymous）黑客組織等，民間黑客組織具有更加嚴(yán)密的組織層次，其政治目的、軍事目的和經(jīng)濟(jì)目的的隱蔽性使其更難防御。（2）病毒工具更加豐富。隨著網(wǎng)絡(luò)攻擊技術(shù)、計算機病毒技術(shù)、密碼技術(shù)的發(fā)展，一批模塊化的病毒工具被生產(chǎn)出來，并流向非法組織和個人。NSA“方程式”組織泄漏的針對Windows和Swift系統(tǒng)的攻擊工具多達(dá)12種之多，病毒作者僅僅基于其中一種“永恒之藍(lán)”便制作了WannaCry和Petya這兩個令全世界恐慌的勒索病毒，而官方和地下的黑客組織所掌握“武器庫”規(guī)模則難以估算。（3）虛擬貨幣缺少監(jiān)管。以“比特幣”為代表的虛擬貨幣逐漸形成特有的市場，其基于P2P數(shù)據(jù)庫和密碼學(xué)的設(shè)計確保了流通交易的匿名性，為不法分子洗錢和非法獲利提供了平臺。

綜上所述，在黑客組織、病毒技術(shù)和虛擬貨幣支付體系成熟的大環(huán)境下，網(wǎng)絡(luò)勒索行為的門檻降低、風(fēng)險趨零、組織優(yōu)化、獲利豐厚，增加了網(wǎng)絡(luò)犯罪分子的囂張氣焰，使得勒索病毒在短期內(nèi)頻繁爆發(fā)并迭代。

3 勒索病毒攻擊原理

勒索病毒攻擊分為5個步驟：攻擊系統(tǒng)、植入病毒、實施破壞、勒索用戶、掛載木馬，其中前4個步驟為常見步驟，第5個步驟為部分變種病毒所特有，下面以WannaCry病毒攻擊步驟為例來探討勒索病毒攻擊的原理。

3.1系統(tǒng)攻擊

勒索病毒的攻擊手段包括蠕蟲攻擊和木馬植入。蠕蟲攻擊指基于“永恒之藍(lán)”攻擊工具開發(fā)的針對MS17-010漏洞的蠕蟲病毒的攻擊行為，初始攻擊由黑客主動發(fā)起，一旦存在可利用的SMB漏洞，蠕蟲病毒會入侵主機并依托主機向其他局域網(wǎng)主機發(fā)起新的攻擊，直至攻擊對象全部感染。木馬植入是指通過運行掛載的木馬程序，從系統(tǒng)內(nèi)部打開病毒入侵的端口，并以此為源頭向其他局域網(wǎng)主機發(fā)起攻擊。

3.2植入病毒

植入病毒是指被攻擊的主機通過被開放的端口傳輸病毒代碼，病毒代碼最早是通過遠(yuǎn)程控制注入，當(dāng)局域網(wǎng)中的一臺主機被攻陷后，則以被攻陷主機為支撐，向新的局域網(wǎng)主機發(fā)起攻擊并注入病毒，病毒代碼被注入后，在主機系統(tǒng)內(nèi)立即啟用。

3.3實施破壞

病毒代碼一旦運行，會對主機存儲的文件進(jìn)行加密，WannaCry采用RSA+AES加密算法，是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)，這項加密算法異常復(fù)雜，想要完全破解AES花費的時間要以數(shù)十億年計，極大地保證了數(shù)據(jù)的安全性。加密的對象是圖片、文檔、視頻、壓縮包等文檔資料，根據(jù)病毒版本的不同，被加密的文件會按照ONION或WNCRY兩種后綴名來存儲。

3.4勒索用戶

病毒對文件完成加密后，會鎖定系統(tǒng)并針對操作系統(tǒng)所在區(qū)域生成對應(yīng)的語言提示，提示用戶支付約300美元（相當(dāng)于2 069元人民幣）的比特幣到指定比特幣帳號。有趣的是，經(jīng)反匯編病毒程序，可以看到病毒的勒索界面包含28種語言包，可見病毒作者對病毒的國際影響范圍早有預(yù)期，據(jù)比特幣分析機構(gòu)的相關(guān)數(shù)據(jù)顯示，在WannaCry爆發(fā)的一周內(nèi).制作者通過比特幣交易平臺獲得的贖金約為7萬美元。

3.5掛載木馬

在一些變種勒索病毒中還發(fā)現(xiàn)掛載了其他木馬，用于盜取主機用戶的信用卡和身份信息等，可見勒索病毒不再拘泥于單一的獲利手段，開始回歸傳統(tǒng)的病毒攻擊方式，以期建立長期的價值獲取機制。

4 勒索病毒的防護(hù)策略

截至2017年11月，僅WannaCry -種勒索病毒已經(jīng)導(dǎo)致烏克蘭、俄羅斯、印度、西班牙、法國、英國等150個國家的政府、銀行、電力、通信、交通、醫(yī)療、石化等公共服務(wù)系統(tǒng)不同程度的癱瘓，預(yù)計約有30萬臺主機受到攻擊，損失達(dá)80億美元，我國部分高校學(xué)生因?qū)W位論文被加密而失去按時畢業(yè)的機會。應(yīng)對勒索病毒所造成的威脅，形成“封堵漏洞、云端管理、數(shù)據(jù)備份、升級病毒庫”相結(jié)合的策略，是預(yù)防勒索病毒感染的有效方法。

4.1健全法治

2017年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法>第五條規(guī)定：“國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)空間安全和秩序。”為我國在法律上懲治網(wǎng)絡(luò)勒索行為提供了法律依據(jù)，并對國家網(wǎng)信部門和基礎(chǔ)網(wǎng)絡(luò)運行商的安全防護(hù)職能進(jìn)行了明確，網(wǎng)絡(luò)安全事件按照危害程度、影響范圍等因素進(jìn)行分級，并規(guī)定相應(yīng)的應(yīng)急處置措施等，從行政的角度對類似勒索病毒爆發(fā)的安全事件防護(hù)和處置措施進(jìn)行了規(guī)范。我國雖然是計算機用戶數(shù)量最大的國家，但據(jù)專業(yè)網(wǎng)站對勒索病毒產(chǎn)生的影響分析，從主機端口被攻擊的數(shù)量、支付贖金的數(shù)量和系統(tǒng)補丁安裝的數(shù)量上看，我國在病毒事件前后采取的安全處置行動的響應(yīng)速度最快，受益用戶最多，防護(hù)效果最好。

4.2封堵漏洞

隨著“永恒之藍(lán)”攻擊工具泄漏的還有“永恒王者、永恒浪漫、永恒協(xié)作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學(xué)者、日食之翼和尊重審查”等NSA針對Windows研發(fā)的系統(tǒng)攻擊工具，每一款攻擊工具都可能被不法分子利用，發(fā)起勒索病毒攻擊。微軟在NSA武器庫泄漏不久就緊急發(fā)布了MS17-010，MSI0-061，MS09-050，MS08-067等系統(tǒng)補丁，對SMB，Kerberos，Server netAPI等漏洞進(jìn)行了修復(fù)，可以完全抵御這次危機。另外，防病毒軟件對病毒庫進(jìn)行了升級，利用軟件防火墻技術(shù)封堵了“永恒”系列攻擊工具的漏洞。

4.3云端管理

勒索病毒發(fā)起的局域網(wǎng)攻擊使得一部分并未暴露在主動攻擊威脅下的主機也淪為被攻擊對象，這是因為一方面大多數(shù)局域網(wǎng)用戶為企業(yè)、園區(qū)、校園等內(nèi)部網(wǎng)絡(luò)，在外網(wǎng)防火墻的保護(hù)下，局域網(wǎng)主機缺乏內(nèi)部安全防護(hù)措施，另一方面為了方便局域網(wǎng)通信，135、137、138、139、445等被勒索病毒利用的端口并未屏蔽，這些因素導(dǎo)致了局域網(wǎng)用戶更容易遭受勒索病毒的攻擊。對于局域網(wǎng)用戶的管理應(yīng)當(dāng)部署統(tǒng)一的入侵監(jiān)測、主機監(jiān)控和防病毒系統(tǒng)，通過云端統(tǒng)一管理局域網(wǎng)的安全事件，采用用戶組策略來封堵勒索病毒在局域網(wǎng)的傳播。

4.4數(shù)據(jù)備份

勒索病毒采用RSA+AES加密算法，理論上無法在有限的時間內(nèi)破解，在WannaCry病毒出現(xiàn)后，提出過采用數(shù)據(jù)恢復(fù)軟件進(jìn)行文件恢復(fù)的方法，但在Petya和BadRabbit病毒爆發(fā)后，病毒開始對文件列表進(jìn)行加密，并寫入無序信息，導(dǎo)致數(shù)據(jù)恢復(fù)方法徹底失效。針對勒索病毒的加密技術(shù)，目前并無有效的解決方法，但卻可以提前進(jìn)行預(yù)防，對重要的數(shù)據(jù)經(jīng)常進(jìn)行數(shù)據(jù)備份或采取云端備份的方式，減少主機被攻擊后帶來的損失。