辽宁省无线电管理专网勒索病毒防护概述

摘 要 2019年8月，辽宁省部分城市的无线电管理专网终端发现疑似勒索病毒，这是近几年无线电管理专网首次遭到勒索病毒攻击。本文分析无线电管理专网了遭受病毒攻击的原因以及有效提升专网病毒防御能力的方法。

关键词 勒索病毒;病毒防护;防御能力

前言

2017年5月勒索病毒爆发，迅速感染全球计算机网络，给全球造成难以弥补的损失。全国无线电管理专网（内网）也遭受勒索病毒的攻击，导致部分省市的内部网络中断、重要数据丢失等严重后果。由于病毒本身特性以及排杀病毒的技术手段限制，病毒并未能完全彻底清除。

1勒索病毒简介

伴随着一种叫作“比特币”的数字虚拟货币兴起，“勒索病毒”也随之而来。与一般计算机病毒类似，勒索病毒通过网络以垃圾邮件、木马软件、服务器入侵等方式进行传播。而与一般计算机病毒不同的是，一旦计算机感染病毒，其操作系统仍可以正常开启，而此时的传统防御手段没办法立即识别并处置，勒索病毒会使绝大多数文件被加密算法修改，致使用户无法正常读取文件，必须向黑客缴纳一定数量的“比特币”作为赎金，才能拿到解密秘钥还原被加密文件。常见的勒索病毒有：① WannaCry勒索病毒，爆发于2017年5月，利用“永恒之蓝”漏洞在Windows操作系统计算机间传播，常见后缀wncry。②Crysis/Dharma勒索病毒，通过远程网络多以邮件形式植入用户服务器进行攻击，常见后缀一般以id+勒索邮箱+其他后缀。③Paradise勒索病毒，出现于2018年7月，计算机被感染后，文件名末尾会附加一个超长后缀，并在每个加密文件夹后附加勒索信件。④GlobeImposter勒索病毒，攻击目标通常是开启远程桌面的服务器，通过暴力破解服务器密码，对内网服务器扫描并进行投毒，常见后缀一般是动物名+4444。⑤Gandcrab勒索病毒，文件被该病毒感染后，其后缀被修改为.GDCB、.GRAB、

.KRAB 或5～10位随机字母，并将感染主机桌面背景替换为勒索信息图片。

勒索病毒多种多样，其行为特征也千差万别。与一般计算机病毒相比，其危害更大。一旦病毒文件进入内部网络，就会自动运行，同时它会自动删除勒索软件样本，以躲避杀毒软件查杀和分析。勒索病毒具有蠕虫特性，但其传播速度更快、感染范围更广、攻击行为更加隐蔽、防范难度更大，与一般计算机病毒相比其危害程度更深、造成损失更大[1]。

2现状与防护漏洞

目前，从国家到各省以及省内到各地市的无线电管理专网已经广泛应用。但国家与省、省与省之间以及省内各市的网络安全管理水平有差距。网络安全的概念存在“木桶理论”，即水桶能装满多少水，并不是取决于组成木桶的最长的木条，而是取决于木桶中最短的那根木条。

无线电管理专网是无线电行业内部搭建的与互联网隔绝的专网，每个省市都有专门的管理部门或人员维护，即使这样，勒索病毒也会乘虚而入。在实际情况中，大部分省市都能按照要求完成各个终端与服务器的漏洞补丁升级，并预留足够的时间做大量维护预防工作。但这些仅仅是堆砌网络防御设备，并不能提前部署安全防护手段。

3勒索病毒的基础防范措施

在实际工作中消除无线电管理专网潜在安全隐患，防范勒索病毒攻击，应将一些基础措施“做在前”。许多计算机病毒（包括勒索病毒）的传播，并不一定经过长时间且复杂的攻击过程，往往是一封不經意的垃圾邮件或者一次违规使用未经安全检测的存储介质导致的，因此绝对不能忽视一些基础防范措施。

3.1 增强网络安全意识

除了利用漏洞和暴力破解外，最多感染勒索病毒的原因就是利用网页挂马、垃圾电子邮件以及恶意捆绑程序，所以日常网络工作中应有以下安全意识：①不访问不良信息网站，这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击;②面对陌生人发来的陌生邮件，谨慎对待，尤其是不能随意下载邮件中的附件，不能随意点开邮件中附加的链接;③不能随意使用U盘、移动硬盘等移动存储介质，使用前检查其安全性;④不能轻易运行带有bat、vbs、vbe、js、jse等脚本的文件以及exe执行程序。

3.2 增加服务口令强度

勒索病毒最常见的攻击方式就是利用永恒之蓝漏洞和爆破RDP（远程桌面协议）服务弱口令。应对爆破RDP攻击，应将系统以及各个应用的弱口令、空口令、统一重复口令全部修改，按照强口令要求，密码长度不少于8个字符，且包含大小写字母、数字、特殊符号等，密码做到定期更换，避免多台服务器共用同一密码等。

3.3 及时修复系统漏洞

在微软发布高危系统漏洞后，应尽快在微软安全响应中心下载最新补丁，尽快修复系统存在的漏洞。如果不能及时关注响应这些漏洞信息，应借助计算机安全软件完成漏洞修复。另外，计算机安全软件也需要及时跟进版本更新，养成定期检测、修复漏洞的习惯。

3.4 限制权限和端口管理

严格限制内网主机可进行访问的网络、主机范围。严格限制各网络区域以及服务器之间的访问。采用白名单机制，只允许开放必要的端口，其他端口一律禁止访问，仅限管理员IP对管理端口进行访问，尽量关闭135、139、445、3389等端口，通过防火墙配置、安全软件进行端口准入或隔离管理。

4感染勒索病毒后应对措施

如果一旦确认感染勒索病毒，及时启动必要自救措施，防止病毒进一步扩散，进而造成更大损失。首先应立即隔离被感染主机，主要包括物理隔离和访问控制两种手段，物理隔离主要指断网或断电;访问控制主要指对访问网络资源的权限进行严格的认证和控制。其次确定感染的范围，应对感染主机所在局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等。

5结束语

2017年勒索病毒大范围攻击网络至今，各种勒索病毒变种攻击事情依旧层出不穷，以目前发展趋势分析，勒索病毒威胁仍将继续，它已经成为互联网最严重的安全风险之一。在未来，无论是政府、企事业单位还是个人，都应该提高网络安全意识，加大网络安全方面的投入，提高网络攻击的预防、抵抗和应急处置能力。

参考文献

[1] 李宇星.数据通信网络维护与网络安全问题分析[J].信息通信，2018，29（11）：275-276.

作者简介

杨旭（1982-），男，辽宁省沈阳市人;学历：本科，职称：工程师，现就职单位：辽宁省无线电监测站，研究方向：网络通信安全。