勒索病毒GANDCRAB V5.2的防御與查殺策略

李榮瑋 黃慧揚 羅 歡

1.2.3.廣西廣播電視臺 廣西 南寧市 530022

1 前 言

勒索病毒是近年來新興的一種電腦病毒，它的傳播方式與以往的病毒并無太大區別，都是利用系統漏洞進行自動化攻擊滲透，或者運用各種社會工程學進行欺詐攻擊。它與眾不同的特點是，該病毒會運用各種不可逆的加密算法對用戶數據進行加密，使得被加密的文件一般無法解密，用戶必須向黑客繳付高額贖金，才能拿到解密的密鑰，恢復文件。因此，一旦感染勒索病毒，將會給用戶帶來巨大損失。特別是在廣電業內，內部業務網絡一旦感染病毒，大量重要數據就會被加密破壞，業務系統崩潰下線，直接影響播出安全。

2 勒索病毒GANDCRAB介紹

勒索病毒GANDCRAB是2018年勒索病毒家族中最活躍、危害最大的成員，該勒索病毒首次出現于2018年1月，在將近一年的時間內，經歷了五個大版本的更新迭代，此勒索病毒的傳播感染形式多種多樣，曾使用U盤蠕蟲、下載器、遠程桌面爆破、永恒之藍漏洞、web掛馬等各種方式傳播，使用的技術也不斷升級，該勒索病毒主要使用RSA密鑰加密算法，導致加密后的文件無法被解密，目前最新的版本是GANDCRAB V5.2，之前的V5.1版本因密鑰泄露，已經被破解，而病毒此次更新主要就是為了應對密鑰泄露問題，更換了加密使用的主密鑰。

3 防御措施

在廣電內部業務網絡環境下，通常有一些Windows服務器和工作站未能及時升級安全補丁，修復系統漏洞，還有一些服務器和工作站開啟了RDP協議且存在弱口令，而勒索病毒GANDCRAB V5.2正好可以利用永恒之藍漏洞和RDP爆破來進行傳播。因此，我們建議的防御措施如下。

3.1 及時升級安全補丁

及時升級安全補丁是最簡單有效的提高系統安全性的方法之一。大量的木馬病毒都可以利用系統安全漏洞進行傳播，長期不升級安全補丁的主機是十分脆弱、易被攻破的。

勒索病毒GANDCRAB V5.2可以利用微軟的Windows的MS17010永恒之藍安全漏洞以及其他安全漏洞來進行網絡傳播。近期微軟RDP協議又爆出CVE-2019-0708 RDP代碼執行高危漏洞，利用該漏洞可以通過RDP協議攻破未打補丁的主機。

3.2 盡量不使用windows的SMB協議和RDP協議

SMB協議是一種客戶機/服務器、請求/響應協議。通過SMB協議，客戶端應用程序可以在各種網絡環境下讀、寫服務器上的文件，以及對服務器程序提出服務請求。此外，通過SMB協議應用程序可以訪問遠程服務器端的文件、以及打印機、郵件槽（mailslot）和命名管道（namedpipe）等資源。

RDP（Remote Desktop Protocol）稱為“遠程桌面登錄協議”，即當某臺計算機開啟了遠程桌面連接功能后（在windows系統中這個功能是默認打開的），我們就可以在網絡的另一端控制這臺機器了。通過遠程桌面功能，我們可以實時地操作這臺計算機，在上面安裝軟件，運行程序，所有的一切都好像是直接在該計算機上操作一樣。

Windows的SMB協議主要用于網絡共享文件，RDP協議主要用于遠程桌面登錄、運維。這兩個協議近年來高危漏洞頻發，是大量病毒和黑客的主要攻擊目標。因此，使用第三方的文件共享協議和遠程桌面服務來替代SMB和RDP協議會更安全。

3.3 交換機配置139、445、3389端口限制策略

的確存在一些業務場景不得不使用SMB協議和RDP協議，或者已經大量使用了SMB協議和RDP協議，無法在短時間內對技術架構進行改造。那么，我們可以在交換機上配置ACL訪問控制策略，針對具體業務需求，放行必須的SMB協議網絡連接（139、445端口）和RDP協議網絡連接（3389端口），阻斷不正常的SMB協議網絡連接和RDP協議網絡連接，這樣也能有效防御、遏制病毒的傳播。華為、華三交換機的ACL配置舉例如下：

acl number 3000

description deny_smb_rdp

rule 10 deny tcp source any destination any 139

rule 20 deny tcp source any destination any 445

rule 30 deny tcp source any destination any 3389

permit ip

3.4 嚴控資源訪問權限，降低病毒破壞范圍

目前，我們有一些信息系統的技術架構是盤陣、服務器、工作站處于同一個子網或多個可相互無限制的子網下，每臺服務器和工作站都對盤陣具備完全讀寫權限。在這種技術架構下，只要有一臺服務器或工作站被勒索病毒感染，整個網絡的主機都存在被傳染的風險，每個盤陣的數據都能夠被病毒直接訪問，導致全網的數據都會被輕易破壞。

因此，我們應該嚴格控制每臺服務器和工作站的資源訪問權限，每臺主機只能夠訪問業務必須的網絡資源、存儲資源。這樣即使某臺主機不幸中毒，也只能造成有效的局部破壞，不至于導致整個網絡的主機和數據全軍覆沒。

4 病毒查殺

4.1 中毒主機的確認

在網絡環境下，通常存在著多臺服務器、工作站和磁盤陣列。通常我們第一時間會發現共享盤陣上的文件被加密破壞了，但卻不知道是網絡里哪臺主機感染了病毒，因此，中毒主機的確認十分重要。

感染了勒索病毒GANDCRAB V5.2主機一般會存在以下病毒文件：

C：usersadministratordownloadsCHSTR1.5.EXE

中毒主機的本地盤會有如下格式的勒索信：

隨機字符.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

中毒主機的本地盤會有如下格式的被加密數據文件：

原文件名.隨機字符（例如：視頻素材.MP4.TUDQJPPL）

4.2 中毒主機的數量確認

通常我們的網絡內會有多臺服務器和主機中毒，在殺毒過程中如果漏殺，會造成業務重新上線后，病毒再次爆發。因此，確認網絡內中毒主機的數量十分關鍵。

每臺中毒主機都會生成唯一的格式為“隨機字符.MANUAL.TXT”的勒索信和格式為“原文件名.隨機字符”的加密文件。通過統計全網產生了多少封不同名字的勒索信，我們就可以確定網內中毒主機的數量。

例如：在共享盤陣上，存在兩封勒索信：

隨機字符A.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

隨機字符B.MANUAL.TXT（例如：SDFFDKGZ.MANUAL.TXT）

因此，我們可以判斷網絡內至少存在兩臺中毒主機對這個共享盤陣進行了加密破壞，我們必須找到這兩臺主機進行確認、查殺。

4.3 病毒查殺

在單機環境下，只需要使用合適的殺毒軟件即可完成病毒查殺，但在網絡環境下，情況就變得比較復雜，勒索病毒GANDCRAB V5.2具備網絡傳播能力，網絡環境下，不合理的查殺操作無法將病毒查殺干凈，病毒會反復感染、爆發。

最簡單的查殺方法就是直接把網絡交換機斷電，此時所有服務器、主機均處于斷網狀態，逐臺服務器、工作站進行查殺即可。但這個方法副作用也非常明顯，交換機斷網后，網絡業務將會全部中斷。

在無法直接斷網的情況下，我們也可以通過在交換機上配置139、445、3389端口的ACL限制策略，在網絡層面阻斷病毒的傳播途徑，然后在逐臺服務器、工作站進行查殺。限制139、445、3389端口后，雖然SMB協議和RDP協議會無法使用，但其他網絡業務還是正常的，能夠確保大部分業務在線。