勒索病毒攻擊事件漏洞分析及應對防護策略

2019-12-01 05:58:05趙佩

電子技術與軟件工程 2019年4期

文/趙佩

在兩年之前，一種名為Wanna Decryptor的勒索病毒在全球爆發，其中有近百的國家中的高校和政府以及醫院還有個人的計算機都受到了感染，尤其是大部分的醫院情況最為嚴重，因為醫院具有著社會中各個階層人員的信息，所以這也是不法分子進行勒索的主要目標。勒索病毒不僅對用戶個人的文件去惡意的加密，而且還用解密這樣的行為去索要贖金，如果不能解密那么就需要放棄大量重要信息去重做系統，所以引發了全球性的安全危機。勒索病毒的危害與攻擊不會立刻停止，所以在未來計算機網絡安全的處置和防范會面臨著更大的挑戰。

1 勒索病毒的特征及原理分析

勒索病毒主要就是通過對用戶系統加鎖或是對用戶數據文件進行加密等方式，讓用戶的系統資源或是文件沒有辦法去正常的使用，然后向用戶去實施勒索病毒的植入。

針對前幾年發生的Wanna Decryptor勒索病毒事件來說，這樣的病毒不僅具有一般勒索病毒的特征，而且還具備很強的漏洞利用和蠕蟲傳播等特征，根據勒索軟件模塊和蠕蟲模塊以及永恒之藍模塊這三個功能結構所組成。其中使用永恒之藍Server Message Block漏洞攻擊工具，對局域網開放 445 文件共享端口的 Windows 用戶或對內網進行掃描的同時穿透網絡邊界進入內部，如果這個用戶的操作系統沒有安裝相關的補丁，那么勒索病毒就會利用Server Message Block服務漏洞將惡意代碼進行植入。把病毒傳播到電腦上，而且為了可以繼續擴大傳播面還會搜索局域網內其它存在同樣漏洞的設備，最終通過這樣的方式來實現病毒的快速感染與傳播。

2 漏洞分析和勒索病毒的應急處理

發生勒索病毒攻擊事件后，需要對服務器的漏洞和網絡架構以及相關危險因素去進行對比和排查，綜合的去分析其中所存在的不足。由于受到勒索病毒攻擊事件，所以現階段大部分政府及醫院都對防火墻的策略進行了全面的調整，外網訪問隔離區區域的服務端口只開放指定和預知的，如445或是139這樣的端口都不會開放。

服務器將相關的補丁進行升級的同時安裝正版的殺毒軟件進行殺毒，其中360殺毒軟件是現階段使用最多的一款殺毒軟件。執行防毒策略的時候內網的病毒庫實時更新，唯一開放的3389端口主要的作用就是遠程維護。

第三方殺毒軟件和作系統的本地防火墻都需要去再次對端口配置進行檢查，及時更新系統的補丁包并進行補丁加固，服務器口令更換的同時口令強度也要不斷加大，把常用的文件共享端口進行關閉。同時在應急處理的時候還需要將服務器的數據進行備份，定期執行數據備份制度的同時把服務器的端口完全封堵，并有效的限制內外網的訪問和加強內外網的防護。

3 針對勒索病毒的攻擊醫院及企業的安全防護

對于勒索病毒的防護，相關醫院的網絡管理人員需要做到以下幾點：員工安全意識方面的培訓要不斷的加強，員工在工作的時候不要隨便的打開疑郵件中的附件；對所有的系統與設備進行加固，不僅是電腦的 Windows 系統，比如醫院日常使用的郵件服務器和安卓在內的系統都應該去進行加固保護；應用程序與操作系統上所存在的最新漏洞去進行實時的更新；相關的安全防護產品，需要確保都更新到了最新的特征代碼庫和版本；安全防護產品上的惡意程序行為的檢測功能和未知威脅的檢測功能都需要開啟；對于醫院來說，其中比較重要的信息數據和重要的文件都需要定期的進行備份，在存放的時候也需要去脫機存放。

勒索病毒從發動到感染再到發作和最后的勒索這一連串的動態行為中，所具有的破壞性十分強，造成的損失也不能彌補，也極大的反映出傳統反病毒天生的滯后性和平時在對信息安全進行維護時思路的狹窄。因此為了可以更好的防范勒索病毒，那么就需要創新性的在網絡安全防護與信息安全防護的策略上使用“重心下放、關口前移”這樣的科學防控方法。

對于“重心下放”來說需要做的就是從病毒的利用漏洞進行分析，在防護的手段上不應該只是局限在一個防護邊界上，其重心應該放到培養員工的安全意識以及數據備份意識和對終端安全的使用上。而對于“關口前移”來說需要做好相關的預防預測，在防控勒索病毒上響應檢測。

針對于醫院來說，其中的信息科或是信息安全部門需要對勒索病毒的發展態勢去繼續觀察與分析，防護的方案及措施可以隨時的進行調整，并不斷的對下屬單位可以做好網絡設備和終端計算機的修補及防護工作進行督促。對所有的終端計算機進行安全排查的時候使用封堵風險端口和打補丁等措施來對存在風險的計算機進行補救，封堵端口不成功或是更新補丁失敗等不符合要求的終端計算機，還需要采用斷網的措施，來禁止其接入醫院的網絡。

4 結束語

攻擊和防御在信息安全的領域中，一直都是一個不變的話題，互聯網給我們人類帶來了極大的便利，但是在給我們帶來便利的同時網絡安全方面的風險也在不斷的加大。多次的勒索病毒爆發也時刻的提醒著我們需要不斷的對其進行關注并研究，對于醫院的信息科來說，也要通過實例進行總結，以此來構建一個超強的安全防范意識和安全穩定的網絡運行環境。