◆刘国宏

(中国烟草总公司 北京 100000)

勒索病毒研究与企业应对实例

◆刘国宏

(中国烟草总公司 北京 100000)

勒索病毒从其出现至今，已有近三十年的历史，从最初的伪装成反病毒软件到今天的大规模爆发的勒索病毒，勒索病毒不断进行着开发与升级。现如今勒索病毒呈现出爆发性增长趋势，成为网络上重要的威胁。因此，本文对勒索病毒进行分析与研究。并通过本公司信息部门针对此次“永恒之蓝”勒索病毒的防范应对过程，进行了分析与经验总结。

勒索病毒；永恒之蓝

0 前言

近日，世界有上百个国家的计算机系统都遭受到名为WannaCry病毒攻击。WannaCry是“蠕虫式”的勒索病毒软件，其大小位 3.3MB，病毒制造者利用了 NSA（National Security Agency，美国国家安全局）泄露出来的危险漏洞“EternalBlue”（永恒之蓝）对其进行传播。所以很多媒体将此次攻击称为“永恒之蓝”。此次勒索病毒大规模的爆发，造成了极大的影响。如何对勒索病毒进行有效的防范，是摆在我们面前的一个重要问题。

1 勒索病毒概述

勒索病毒，也称之为赎金木马，并不是一个新鲜事物，它诞生于上世纪八十年代。通过几十年的逐渐发展和成熟，近几年来有愈演愈烈的趋势，已成为个人和企业用户必须面对的最危险的网络威胁之一。

勒索病毒通常将用户的文档、源代码通过多种方式进行加密，使文件无法直接被用户使用。然后勒索病毒通过弹窗、创建文本文件等多种形式向用户发出勒索通知，要求用户通过指定渠道支付赎金，用来得到解密文件的密码。以WannaCry病毒为例，当用户主机系统被该勒索病毒入侵后，弹出勒索对话框，如图1所示。

图1 勒索病毒弹窗

此时用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，由于勒索病毒采用了高强度加密算法，暂时无法有效破解勒索病毒的恶意加密文件的行为。用户系统如果被被勒索病毒攻击，只能通过重装操作系统的方式来清理勒索病毒，但用户被勒索病毒所加密的数据文件不能够被直接恢复[4]。

2017年 5月 14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，新的变种传播速度更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，影响到了金融、能源、医疗等行业，造成了社会危机[1]。我国部分Windows操作系统用户遭受感染，一些政府部门也受到影响，一些业务因为受到勒索病毒攻击而暂停办理。

“勒索病毒”之所以在现在的互联网上泛滥，主要基于以下几点原因：

（1）从用户角度上来说，现在数据的价值越来越重要，“勒索病毒”直接加密用户私人数据，造成数据无法被用户使用，造成极大的经济与精神损失；

（2）对病毒制造者而言，现在高强度加密算法随手可得，病毒编写基本无门槛；

（3）病毒产业的黑色“产业链”日趋完善，勒索病毒频频爆发，背后都有一套完整的原始病毒制造、病毒批量变形、病毒传播、最终变现的黑色“产业链”。随着病毒制造门槛的降低、代码变形和混淆技术的成熟、病毒传播手段的丰富、变现模式的“创新”（例如：虚拟货币的出现），使得无法追查到实际收款人。因此，此类安全问题仍会持续上演。

图2 勒索病毒生命周期图

2 勒索病毒传播方式

勒索病毒经过几十年的发展，已经形成了一套完整的制造与传播体系。

首先病毒制造者制造出病毒，然后通过病毒混淆器，批量生成病毒的不同变种，然后通过以下手段进行传播：

2.1 漏洞类传播

通过操作系统、浏览器或其第三方应用程序的漏洞进行传播并激活；此次WannaCry病毒就是主要利用Windows系统永恒之蓝漏洞进行传播。

2.2 诱骗类传播

（1）伪装成应用程序或者与其他恶意软件捆绑打包，诱导用户运行激活病毒；

（2）通过聊天软件发送，并有针对性地通过诱导性的文件名诱骗接收者运行病毒；

（3）通过电子邮件群发带有病毒附件的垃圾邮件，并配以诱导性的说明和附件名，诱骗接收者运行病毒。

3 预防与查杀

当前，网络安全业界尚无法有效破解勒索病毒的恶意加密文件行为。只能采取有效的方法进行预防。

在勒索病毒爆发期，用户要先断网再开机，即先拔掉网线（关闭无线网卡等）再行开机，这样基本可以避免被勒索病毒感染。开机后尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，进行有效的加固后，才可以联网。同时建议尽快备份电脑中的重要文件资料到移动硬盘、优盘，备份完后脱机保存该存储设备，同时对于不明链接、文件和邮件要提高警惕，加强防范。以此次爆发的WannaCry病毒为例，其临时解决方案为：

（1）开启Windows系统防火墙；

（2）利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）；

（3）打开系统自动更新，检查相应的更新并进行安装。

4 中毒后应急处理方案

如计算机系统已经中毒，因为勒索病毒是将原文件读取到内存中完成加密，生成一个加密文件，并删除原文件。因此文件存在被恢复的可能。加密原理如图3所示。

图3 勒索病毒加密文件原理

主流的勒索病毒通常有两种加密文件的方式，一种是直接加密覆盖原文件，原始文件直接被加密的文件所覆盖。这种情况下没有勒索者的密钥，几乎是无法恢复的；另一种则是先加密生成副本文件，然后删除原始文件，如果是这种情况，则文件是有恢复的可能。

但是，病毒制造者通常会对文件进行处理，比如在删除文件之后，用随机数据把原始文件复写一遍，此时如果用文件恢复的办法，只能恢复出一堆垃圾数据。

因此，如重要文件被勒索病毒加密，可以尝试使用专业数据恢复软件进行数据恢复，数据有可能被恢复出来。安全厂商也针对一些特定勒索病毒推出过专有的数据恢复软件。比如360公司针对Wannacrypt 勒索病毒发布过相应的数据恢复工具。

5 针对勒索病毒的企业内网安全防范对策

针对勒索病毒的防范，企业（事业、公司、校园等）网络管理人员一定要做到如下几点：

（1）加强对员工安全意识的培训，强调员工不要随意打开可疑邮件中的附件，即使发件邮箱看起来很可靠；

（2）加固所有的设备和系统，不仅仅是针对Windows系统，企业日常使用的包括安卓和邮件服务器在内的系统都需要进行加固保护；

（3）实时更新操作系统和应用程序上存在的最新漏洞；

（4）确保安全防护产品更新到最新的版本和特征代码库；

（5）开启安全防护产品上的未知威胁检测功能和恶意程序行为检测功能；

（6）通过应用程序控制功能帮助企业管理内部应用程序的使用；

（7）重要文件、重要信息数据要定期备份，并脱机存放[5]。

6 针对勒索病毒的企业内网应对实例

2017年5月13日我公司接到关于紧急处置排查勒索病毒的通知后，立即启动网络安全应急预案。信息安全管理员在通知网络及安全运维人员采取相关措施的同时，向信息安全主管领导作了情况汇报。

6.1 互联网安全形势的预判

（1）互联网端口封堵

我公司早在2017年4月17日，在关注到CNVD漏洞平台发布的相关安全风险通报后，通过分析相关安全风险的影响范围和可能出现的发展方向，我公司首先在互联网边界防火墙对风险端口采取了防患于未然的封堵措施。为了安全起见，5月13日在互联网出口的行为管理设备上配置了针对“永恒之蓝”的防护策略，联动封堵了相关风险端口。

（2）系统补丁推送

为了彻底解决终端计算机安全风险的抵御能力，加固终端计算机设备系统的相关漏洞。我公司部署了360天擎企业版网络防病毒系统，并配置了强制推送系统漏洞补丁策略。我公司在4月13日下发通知，要求全部终端计算机安装企业版360天擎企业版网络防病毒软件，对所有终端计算机进行补丁强制推送，从根本上解决终端技术设备的安全防护问题。

6.2 应急处理过程

（1）企业网边界端口封堵

我公司密切关注勒索病毒的发展态势，意识到本次病毒入侵的严重性。2017年5月13日下午，在各节点边界防火墙上封堵了相关风险端口，并更新了安全设备特征库。

在核心交换机、汇聚交换机、接入交换机三层网络设备上全部配置了限制相关风险端口的ACL。

（2）通知各隶属单位进行病毒防范

2017年5月13日下午，公司通过QQ、微信群通知隶属单位系统管理员、信息安全管理员按要求进行勒索病毒的防范。

（3）在OA系统下发紧急通知

2017年5月14日上午，根据上级单位安全防范通知精神制定了《关于“永恒之蓝”勒索病毒防范的紧急通知》，当日下午在OA系统下发了紧急通知，进行提醒。

（4）切断办公区楼层交换机

为了确保万无一失，2017年5月14日晚通知机关及各下属单位系统管理员，安排所有运维人员早上7:00之前到单位对楼层交换机进行断电处理，切断了所有终端计算机接入网络的通道。

（5）对所有终端计算机进行安全排查

2017年5月15日，通过安全监测工具对所有的终端计算机设备进行安全检查。采用打补丁、封堵风险端口等措施对存在风险的计算机设备进行补救。对更新补丁、封堵端口不成功等不符合要求的终端计算机采取断网措施禁止接入公司网络。2017年5月15日13:00所有终端计算机安全排查完成后，启动接入网络设备，终端计算机设备相继联网正常运行。

（6）根据威胁变化态势进一步采取应对措施

我公司信息安全部门继续观察分析勒索病毒的发展态势，随时调整防护措施及方案。并督促下属单位做好终端计算机及网络设备的防护及修补工作。

我公司针对此次勒索病毒，共加固Windows服务器134台；终端计算机完成防护2392台，其中下属单位完成加固终端计算机1627台。

通过上述方式我公司对“永恒之蓝”勒索病毒进行了有效的应对，未出现网络安全事故。

7 结语

在信息安全领域中，攻击和防御是一个永恒的话题，互联网在给我们带来便利的同时，网络安全风险也在不断的加剧。此次勒索病毒的爆发也给我们敲响了警钟，需要我们不断对其进行研究并关注。企业信息安全部门也要通过实例进行总结，构建一个安全稳定的企业网络运行环境和常备不懈的安全防范意识。

[1] 什么是 wannacry 勒索病毒． https：//zhidao．baidu．com/question/2121905220571823667．html．

[2] 安天安全研究与应急处理中心．勒索软件简史[J]．中国信息安全，2017．

[3] “蠕虫式”的勒索病毒泛滥全世界 100多个国家．http：//weibo．com/p/2304181440b28a20102wvo1．

[4] 火绒安全．“勒索病毒”深度分析报告．http：//www．Huorong．cn/info/146173937921．html．

[5] 保护文件数据．远离勒索软件．http：//science．china．com．cn/2016-03/22/content_8652756．html ．