勒索病毒GANDCRAB V5.2的防御与查杀策略

李荣玮 黄慧扬 罗 欢

1.2.3.广西广播电视台 广西 南宁市 530022

1 前 言

勒索病毒是近年来新兴的一种电脑病毒，它的传播方式与以往的病毒并无太大区别，都是利用系统漏洞进行自动化攻击渗透，或者运用各种社会工程学进行欺诈攻击。它与众不同的特点是，该病毒会运用各种不可逆的加密算法对用户数据进行加密，使得被加密的文件一般无法解密，用户必须向黑客缴付高额赎金，才能拿到解密的密钥，恢复文件。因此，一旦感染勒索病毒，将会给用户带来巨大损失。特别是在广电业内，内部业务网络一旦感染病毒，大量重要数据就会被加密破坏，业务系统崩溃下线，直接影响播出安全。

2 勒索病毒GANDCRAB介绍

勒索病毒GANDCRAB是2018年勒索病毒家族中最活跃、危害最大的成员，该勒索病毒首次出现于2018年1月，在将近一年的时间内，经历了五个大版本的更新迭代，此勒索病毒的传播感染形式多种多样，曾使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞、web挂马等各种方式传播，使用的技术也不断升级，该勒索病毒主要使用RSA密钥加密算法，导致加密后的文件无法被解密，目前最新的版本是GANDCRAB V5.2，之前的V5.1版本因密钥泄露，已经被破解，而病毒此次更新主要就是为了应对密钥泄露问题，更换了加密使用的主密钥。

3 防御措施

在广电内部业务网络环境下，通常有一些Windows服务器和工作站未能及时升级安全补丁，修复系统漏洞，还有一些服务器和工作站开启了RDP协议且存在弱口令，而勒索病毒GANDCRAB V5.2正好可以利用永恒之蓝漏洞和RDP爆破来进行传播。因此，我们建议的防御措施如下。

3.1 及时升级安全补丁

及时升级安全补丁是最简单有效的提高系统安全性的方法之一。大量的木马病毒都可以利用系统安全漏洞进行传播，长期不升级安全补丁的主机是十分脆弱、易被攻破的。

勒索病毒GANDCRAB V5.2可以利用微软的Windows的MS17010永恒之蓝安全漏洞以及其他安全漏洞来进行网络传播。近期微软RDP协议又爆出CVE-2019-0708 RDP代码执行高危漏洞，利用该漏洞可以通过RDP协议攻破未打补丁的主机。

3.2 尽量不使用windows的SMB协议和RDP协议

SMB协议是一种客户机/服务器、请求/响应协议。通过SMB协议，客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。此外，通过SMB协议应用程序可以访问远程服务器端的文件、以及打印机、邮件槽（mailslot）和命名管道（namedpipe）等资源。

RDP（Remote Desktop Protocol）称为“远程桌面登录协议”，即当某台计算机开启了远程桌面连接功能后（在windows系统中这个功能是默认打开的），我们就可以在网络的另一端控制这台机器了。通过远程桌面功能，我们可以实时地操作这台计算机，在上面安装软件，运行程序，所有的一切都好像是直接在该计算机上操作一样。

Windows的SMB协议主要用于网络共享文件，RDP协议主要用于远程桌面登录、运维。这两个协议近年来高危漏洞频发，是大量病毒和黑客的主要攻击目标。因此，使用第三方的文件共享协议和远程桌面服务来替代SMB和RDP协议会更安全。

3.3 交换机配置139、445、3389端口限制策略

的确存在一些业务场景不得不使用SMB协议和RDP协议，或者已经大量使用了SMB协议和RDP协议，无法在短时间内对技术架构进行改造。那么，我们可以在交换机上配置ACL访问控制策略，针对具体业务需求，放行必须的SMB协议网络连接（139、445端口）和RDP协议网络连接（3389端口），阻断不正常的SMB协议网络连接和RDP协议网络连接，这样也能有效防御、遏制病毒的传播。华为、华三交换机的ACL配置举例如下：

acl number 3000

description deny_smb_rdp

rule 10 deny tcp source any destination any 139

rule 20 deny tcp source any destination any 445

rule 30 deny tcp source any destination any 3389

permit ip

3.4 严控资源访问权限，降低病毒破坏范围

目前，我们有一些信息系统的技术架构是盘阵、服务器、工作站处于同一个子网或多个可相互无限制的子网下，每台服务器和工作站都对盘阵具备完全读写权限。在这种技术架构下，只要有一台服务器或工作站被勒索病毒感染，整个网络的主机都存在被传染的风险，每个盘阵的数据都能够被病毒直接访问，导致全网的数据都会被轻易破坏。

因此，我们应该严格控制每台服务器和工作站的资源访问权限，每台主机只能够访问业务必须的网络资源、存储资源。这样即使某台主机不幸中毒，也只能造成有效的局部破坏，不至于导致整个网络的主机和数据全军覆没。

4 病毒查杀

4.1 中毒主机的确认

在网络环境下，通常存在着多台服务器、工作站和磁盘阵列。通常我们第一时间会发现共享盘阵上的文件被加密破坏了，但却不知道是网络里哪台主机感染了病毒，因此，中毒主机的确认十分重要。

感染了勒索病毒GANDCRAB V5.2主机一般会存在以下病毒文件：

C：usersadministratordownloadsCHSTR1.5.EXE

中毒主机的本地盘会有如下格式的勒索信：

随机字符.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

中毒主机的本地盘会有如下格式的被加密数据文件：

原文件名.随机字符（例如：视频素材.MP4.TUDQJPPL）

4.2 中毒主机的数量确认

通常我们的网络内会有多台服务器和主机中毒，在杀毒过程中如果漏杀，会造成业务重新上线后，病毒再次爆发。因此，确认网络内中毒主机的数量十分关键。

每台中毒主机都会生成唯一的格式为“随机字符.MANUAL.TXT”的勒索信和格式为“原文件名.随机字符”的加密文件。通过统计全网产生了多少封不同名字的勒索信，我们就可以确定网内中毒主机的数量。

例如：在共享盘阵上，存在两封勒索信：

随机字符A.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

随机字符B.MANUAL.TXT（例如：SDFFDKGZ.MANUAL.TXT）

因此，我们可以判断网络内至少存在两台中毒主机对这个共享盘阵进行了加密破坏，我们必须找到这两台主机进行确认、查杀。

4.3 病毒查杀

在单机环境下，只需要使用合适的杀毒软件即可完成病毒查杀，但在网络环境下，情况就变得比较复杂，勒索病毒GANDCRAB V5.2具备网络传播能力，网络环境下，不合理的查杀操作无法将病毒查杀干净，病毒会反复感染、爆发。

最简单的查杀方法就是直接把网络交换机断电，此时所有服务器、主机均处于断网状态，逐台服务器、工作站进行查杀即可。但这个方法副作用也非常明显，交换机断网后，网络业务将会全部中断。

在无法直接断网的情况下，我们也可以通过在交换机上配置139、445、3389端口的ACL限制策略，在网络层面阻断病毒的传播途径，然后在逐台服务器、工作站进行查杀。限制139、445、3389端口后，虽然SMB协议和RDP协议会无法使用，但其他网络业务还是正常的，能够确保大部分业务在线。