關于常見勒索病毒與防范應對措施的探討

◆張 玉 謝林燕

關于常見勒索病毒與防范應對措施的探討

◆張 玉 謝林燕

（國家計算機網絡與信息安全管理中心河北分中心河北050000）

本文介紹了勒索病毒的定義及危害, 分析了近期常見勒索病毒的種類和傳播方式等, 從政企用戶和普通用戶兩個維度提出了應對勒索病毒的防御手段, 并著重介紹了感染勒索病毒后的應對措施。

勒索病毒；網絡安全；WannaCry

0 引言

自2017年WannaCry席卷全球之后，勒索病毒正式進入大眾視野，影響波及眾多行業和機構，已經成為當前最受關注的網絡安全問題之一。回顧整個2018年，以GlobeImposter、Crysis、GandCrab等為代表的勒索病毒日漸猖獗，曾先后制造多起大面積的勒索事件，影響力和破壞性顯著增強，一度引發社會各界的廣泛關注。如何應對和防范勒索病毒是現在和將來一段時間的熱點問題。

1 勒索病毒概述

勒索病毒，是伴隨數字貨幣興起的一種新型病毒木馬，常以垃圾郵件、服務器入侵、網頁掛馬、捆綁軟件等多種形式進行傳播。一旦遭受勒索病毒攻擊，絕大多數文件將會被加密算法修改，并添加一個特殊的后綴，使用戶無法讀取原始文件，造成無法估量的損失。勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件，大多數的勒索軟件均無法通過技術手段來解密，必須拿到相應的解密私鑰才有可能還原被加密的文件。黑客正是通過這樣的手段向受害用戶勒索高昂贖金，這些贖金必須通過數字貨幣支付，很難溯源，因此危害巨大。

自2017年WannaCry大規模爆發以來，勒索病毒已經成為對政企單位和網民威脅最大的一類木馬病毒。據Code42的調查研究，其中大多數受害用戶都向攻擊者支付了贖金。總體上，去年超過80%的勒索軟件感染都是針對企業的，因為網絡犯罪團伙開始將目光放到大型企業身上——那些比隨機受害者或消費者更有能力支付大額贖金的企業。2019年3月，鋁業巨頭Norsk Hydro全球IT網絡遭受勒索軟件攻擊再次讓我們警醒，隨著勒索病毒的質量和種類的不斷攀升，如何應對和防范勒索病毒已經成為全球政企機構和用戶必須正視的網絡安全問題。

2 常見勒索病毒種類

下面是自2017年“永恒之藍”勒索事件之后流行的勒索病毒種類和常見傳播方式：

（1）WannaCry勒索

2017年5月，WannaCry勒索病毒全球大爆發，至少150個國家、30萬名用戶中招，造成損失達80億美元[1]。WannaCry蠕蟲通過永恒之藍漏洞在全球范圍大爆發，感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密[2]。

常見后綴：wncry

傳播方式：永恒之藍漏洞

（2）GlobeImposter勒索

2017年出現，攻擊目標主要是開啟遠程桌面服務的服務器，攻擊者通過暴力破解服務器密碼，對內網服務器發起掃描并人工投放勒索病毒，導致文件被加密多個版本更新，并常通過爆破RDP后手工投毒傳播，目前無法解密。

常見后綴：auchentoshan、動物名+4444

傳播方式：RDP爆破、垃圾郵件、捆綁軟件

（3）Crysis/Dharma勒索

最早出現在2016年，攻擊方法同樣是通過遠程RDP爆力破解的方式，植入到用戶的服務器進行攻擊。由于CrySiS采用AES+RSA的加密方式，最新版本無法解密。

常見后綴：【id】+勒索郵箱+特定后綴

傳播方式：RDP爆破

（4）GandCrab勒索

2018年年初面世，病毒采用Salsa20和RSA-2048算法對文件進行加密，并修改文件后綴為.GDCB、.GRAB、.KRAB或5-10位隨機字母，并將感染主機桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可解密，最新GandCrab5.2無法解密。

常見后綴：隨機生成

傳播方式：RDP爆破、釣魚郵件、捆綁軟件、僵尸網絡、漏洞傳播等

（5）Satan勒索

撒旦（Satan）勒索病毒首次出現2017年1月份。該勒索進行Windows&Linux雙平臺攻擊，最新版本攻擊成功后，會加密文件并修改文件后綴為“evopro”。除了通過RDP爆破外，一般還通過多個漏洞傳播。

常見后綴：evopro、sick

傳播方式：永恒之藍漏洞、RDP爆破、 JBOSS系列漏洞、Tomcat系列漏洞、Weblogic組件漏洞

（6）Sacrab勒索

Scarab（圣甲蟲）惡意軟件于2017年6月首次發現，目前最流行的一個版本是通過Necurs僵尸網絡進行分發。在針對多個變種進行脫殼之后，有一個2017年12月首次發現的變種Scarabey，其分發方式與其他變種不同，并且它的有效載荷代碼也并不相同。

常見后綴：.krab、.Sacrab、.bomber、.Crash

傳播方式：Necurs僵尸網絡、RDP爆破、垃圾郵件

（7）Matrix勒索

目前為止變種較多的一種勒索，該勒索病毒主要通過入侵遠程桌面進行感染安裝，黑客通過暴力枚舉直接連入公網的遠程桌面服務從而入侵服務器，獲取權限后便會上傳該勒索病毒進行感染，勒索病毒啟動后會顯示感染進度等信息，加密后的文件會被修改后綴名為其郵箱。

常見后綴：.GRHAN、.PRCP、.SPCT、.PEDANT

傳播方式：RDP爆破

（8）STOP勒索

同Matrix勒索類似，Stop勒索病毒也是一個多變種的勒索木馬，一般通過垃圾郵件、捆綁軟件和RDP爆破進行傳播，在某些特殊變種還會釋放遠控木馬。

常見后綴：.TRO、.djvu、.puma、.pumas、.pumax、.djvuq

傳播方式：惡意捆綁軟件

（9）Paradise勒索

Paradise勒索最早出現在2018年7月下旬，最初版本會附加一個超長后綴如：（_V.0.0.0.1{yourencrypter@protonmail.ch}.dp）到原文件名末尾，在每個包含加密文件的文件夾都會生成一個勒索信。

加密文件后綴：文件名_%ID字符串%_{勒索郵箱}.特定后綴

3 勒索病毒防范措施

3.1 政府企業用戶

（1）安裝殺毒、安全加固軟件，及時給系統打補丁修復漏洞，包括操作系統及第三方應用的補丁。

（2）增加登錄密碼復雜度，并定期更換，嚴格避免多臺服務器共用一個密碼。

（3）限制內網主機可進行訪問的網絡、主機范圍。加強訪問控制ACL策略，嚴格限制各個網絡區域以及服務器之間的訪問。

（4）采用白名單機制只允許開放必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進行訪問。盡量關閉3389、445、139、135等不用的高危端口，建議內網部署堡壘機類似的設備

（5）對重要數據和核心文件及時進行備份，并且備份系統與原系統隔離，分別保存。

3.2 普通終端用戶

（1）安裝殺毒軟件和安全軟件，及時給操作系統及IE、Flash等常用軟件打好補丁，定期更新病毒庫，避免病毒利用漏洞自動入侵電腦[3]。

（2）應該使用高復雜強度的密碼，并定期對密碼進行更改，重要文檔數據應經常做備份。

（3）減少危險的上網操作，不要瀏覽來路不明的色情、賭博等不良信息網站，這些網站經常被用于發動掛馬、釣魚攻擊。不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。不要輕易打開后綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執行程序，對于陌生人發來的壓縮文件包，更應提高警惕，應先掃毒后打開。

（4）電腦連接移動存儲設備，如U盤、移動硬盤等，應首先使用安全軟件檢測其安全性。

4 感染勒索病毒后如何應對

確認感染勒索病毒后，應當及時采取必要的自救措施，避免病毒進一步擴散，及時止損。首先應立即隔離被感染主機，主要包括物理隔離和訪問控制兩種手段，物理隔離主要指斷網或斷電；訪問控制主要指對訪問網絡資源的權限進行嚴格的認證和控制。其次確定感染的范圍，應對感染主機所在局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等。在應急自救處置后，建議及時對病毒的感染時間、傳播方式，感染家族等問題進行排查。

感染勒索病毒后，對于政企機構來說，最重要的就是怎么恢復被加密的文件了。一般來說，可以通過歷史備份、解密工具或支付贖金來恢復被感染的系統。如果事前已經對文件進行了備份，可以直接從云盤、硬盤或其他災備系統中恢復被加密的文件。值得注意的是，在文件恢復之前，應確保系統中的病毒已被清除。對于少部分勒索軟件加密過的文件，可以用解密工具進行解密，比如2018年下半年大規模流行的GandCrab家族勒索病毒，GandCrabV5.以前的版本均可解密。如果既沒有對加密文件進行有效備份，同時解密工具又無法恢復，只能通過支付贖金的方式恢復被感染文件，由于勒索病毒的贖金一般為比特幣或其他數字貨幣，數字貨幣的購買和支付對一般用戶來說具有一定的難度和風險，建議用戶謹慎操作或聯系專業的網絡安全從業者。

5 結束語

勒索病毒各種變種攻擊事情依舊層出不窮，以目前勒索病毒的發展趨勢分析，2019年勒索病毒威脅仍將繼續，成為企業和個人最嚴重的安全風險之一。在未來，無論是企業還是個人，都應該提高網絡安全意識，加大網絡安全方面的投入，提高網絡攻擊的預防、抵抗和應急處置能力。

[1]王樂東,李孟君,熊偉.勒索病毒的機理分析與安全防御對策[J].網絡安全技術與應用，2017(08).

[2]竇媛媛.勒索病毒來襲, 醫療系統成了最怕捏的“軟柿子”[J].今日科苑, 2017.

[3]本刊編輯部.對話反病毒廠商勒索軟件應對策略[J].中國信息安全, 2017.