勒索病毒原理分析与企业有效防范勒索病毒研究

曾敏 戴卫龙

摘  要：随着互联网的不断普及，人们接触使用互联网的频率越来越高。互联网在给人们提供便利的同时，也带来了巨大的威胁。近段时期来，全球范围内出现多起加密勒索病毒事件，虽然信息安全防护技术在不断提高，但攻击者的技术手段也随之提高，给网络安全造成了巨大的隐患和挑战。笔者通过对勒索病毒攻击特点与原理的深入分析，并结合所属公司的实际情况提出了具体有效的防范措施，对局域网反勒索病毒具有重要的现实意义。

关键词：网络病毒;勒索病毒;网络安全

中图分类号：TP309.5    文献标识码：A 文章编号：2096-4706（2019）18-0124-03

Abstract：With the continuous popularity of the internet，the frequency of people’s access to the internet is getting higher and higher，while internet provides convenience to people，it also brings enormous threat. In recent years，there have been many encrypted extortion virus incidents around the world. Although the information security protection technology has been continuously improving，the technical means of attackers have also been improved，which has caused tremendous hidden dangers and challenges to network security. Through in-depth analysis of the characteristics and principles of blackmail virus attack，and combined with the actual situation of the company，the author puts forward specific and effective preventive measures，which has important practical significance for LAN anti-blackmail virus.

Keywords：network virus;blackmail virus;network security

0  引  言

勒索病毒，也称赎金木马，其在上世纪八十年代就已经出现，随着互联网技术及加密技术的不断发展。近年来随着比特币等数字货币的发展，勒索病毒有愈演愈烈的趋势，在全球范围内连续发生多起勒索病毒事件，严重影响了企业及个人用户的正常使用[1]。勒索病毒通常以垃圾邮件、网页木马等形式在网络中进行传播，一旦电脑遭到勒索病毒入侵，病毒将把电脑中绝大多数文件以特殊加密算法进行加密，使得用户无法正常读取和使用电脑中的任何文件，給用户造成了巨大的损失。

随着2017年WannaCry大规模爆发，勒索病毒已经发展成为威胁度最高的木马病毒，据统计，超过80%的勒索病毒都是以企业为入侵对象，并且大型企业受威胁的频率也逐年提升。这些大型企业内部文件一旦全部无法使用，将给企业造成巨大的损失，为此许多企业都选择支付相应的金额换取这些文件。随着勒索病毒的种类不断地增长以及危害程度的提升，如何有效防范勒索病毒已经成为全球政企机构所必须面对的网络安全问题[2]。

笔者所属的株洲时代新材料科技股份有限公司是一家大型的制造企业，随着近些年的快速发展，目前在全国已有多家子公司以及一家海外公司，因此，如何有效防范勒索病毒是公司网络管理部门急需解决的问题，具有重大的研究意义。

1  勒索病毒原理分析

1.1  勒索病毒的特点分析

通过结合日常网络安全工作以及对勒索病毒的具体研究发现，勒索病毒主要具备以下几个方面的特点[3]：

（1）勒索病毒利用Windows操作系统445端口漏洞进行传播。445端口是常用的TCP端口，但由于这一端口具有较高的访问权限，也常被业内人士戏称为“灰洞”。一旦勒索病毒获取了445端口的权限，将可以在局域网中轻松访问共享文件夹或共享打印机，因此445端口也称为勒索病毒入侵的重要路径之一。

（2）勒索病毒入侵服务器或主机后，对硬盘文件进行加密。勒索软件入侵服务器或主机后，将对系统内的各种Office文件、压缩包、媒体文件、电子邮件、数据库文件、源代码、密匙、证书等进行加密处理。

（3）勒索病毒一般采用2048位的RSA算法进行文件加密，这种加密算法目前仍没有有效的解密方法，暴力解密所需要的时间往往以百万年计。

（4）勒索病毒作为一种蠕虫病毒，具有普通蠕虫病毒的所有特征，能够自我复制、自我传播，可以借助网络进行变种更新，具有较快的传播速度。

1.2  勒索病毒运行流程分析

勒索病毒部分的运行流程如下所示：

（1）勒索病毒中含有加密的压缩文件，通过解压释放出勒索病毒文件。

（2）通过命令行将感染主机内所有文件的访问权限设置为完全访问权限。

（3）解密文件数据，提取出含有主要加密逻辑代码的动态库，调用该动态库中的函数对主机中文件进行加密。

（4）调用勒索动态库代码。首先导入一个RSA公钥，并生成一组RSA会话密钥;其次将会话密钥的公钥导出并写入到00000000.pky文件中;之后将会话密钥中的私钥用刚导入的RSA公钥进行加密后，存放在00000000.eky文件中。

勒索病毒会对主机内全部文件进行遍历，一旦文件扩展名存在于病毒内部的扩展名列表中，即将该路径加入到加密操作的对象列表中，并在遍历结束后对列表内全部对象进行加密操作。

2  有效防范勒索病毒具体措施

公司采用的是内外网隔离的方式，公司的网络复杂，全国多个地方都有子公司，子公司通过光纤接入到总部的内网，还有一个海外公司，海外公司的网络是可以访问互联网的，直接接到公司内网，采用防火墙、访问控制、容灾等来保护内网及内网服务器，结合勒索病毒的特点及运行流程，公司的网络主要采取了以下措施进行勒索病毒的防范。

2.1  从网络结构角度防范

445端口是勒索病毒传播入侵的重要窗口，外部互联网中的勒索病毒对内部局域网发起攻击需要内部局域网用户直接暴露在外部互联网中且没有安装相应的补丁，因此内网用户不会受到来自外部互联网中勒索病毒的入侵。但对企业来说，如果企业内部网络中存在连接到外部互联网的节点，那么一旦该节点受到入侵，将可能导致整个内部网络被感染。

为了避免被勒索病毒感染，内部局域网内主机需要及时禁用445端口并安装官方发布的漏洞补丁，同时做好安全加固和文件备份工作。同时在局域网内部配置访问控制策略，对局域网内部主机间的135、137、139、445等通信端口的访問权限进行限制。根据不同系统进行数据流向的访问控制，访问控制策略细化到IP地址和端口。在核心交换机、汇聚交换机上全部配置限制相关风险端口的ACL。

2.2  从防火墙角度防范

在总部与各子公司间架设物理防火墙（架构如图1所示），在防火墙上配置策略，针对不同的服务器只开通其所需的端口号（部分配置截图如图2所示），并将所有的TCP 445端口加入到防火墙配置禁用端口策略中，避免勒索病毒通过该端口在局域网内进行传播。对防火墙端口流量进行实时监控，任何流量异常的事件都实时通过邮件反馈给管理员。并开启IPS特征库、防病毒特征库、应用识别及URL分类库升级服务，针对经过防火墙的数据，进行病毒、木马、入侵过滤，保证网络的安全性。

2.3  从操作方式角度防范

将重要文件备份至共享服务器。同时做好服务器及文件的定期备份工作，定期将重要服务器及重要文件备份到备份存储中，以避免被勒索病毒加密（部分备份截图如图3所示）。为了避免勒索病毒通过共享存储在内网主机间进行传播，定期对共享介质进行木马查杀。

3  结  论

本文主要对勒索病毒的原理进行了详细的分析，分别从勒索病毒的特点以及运行流程两大方面进行研究，结合笔者所属株洲时代新材料科技股份有限公司关于网络安全方面的实际手段，从网络结构、防火墙以及操作方式三大角度提出了相应的防范勒索病毒的具体措施，对公司针对勒索病毒的有效防范具有重大意义。

参考文献：

[1] 安天安全研究与应急处理中心.勒索软件简史 [J].中国信息安全，2017（4）：50-57.

[2] 徐新.病毒防治安全技术在计算机局域网中的有效运用 [J].电子技术与软件工程，2016（24）：214.

[3] 金重振，葛万龙.局域网勒索病毒的防护策略研究——以WannaCry为例 [J].信息与电脑，2017（18）：217-218.

作者简介：曾敏（1989.08-），男，汉族，湖南永州人，助理工程师，硕士研究生，研究方向：计算机技术。