勒索病毒的防御方法

◆胡国强



勒索病毒的防御方法

◆胡国强

（西北农林科技大学网络与教育技术中心 陕西 712100）

2017年5月12日，勒索病毒强势来袭，全球近百个国家遭受勒索病毒“WannaCry”影响。本文详细分析了勒索病毒的特点，并给出了防御勒索病毒的具体方法。

勒索病毒；防御；方法

0 引言

Snort入侵检测系统是目前使用最广的开源入侵检测系统之一，具有良好的跨平台性，并提供丰富的报警机制。Snort 的检测采用的是模式匹配策略。模式匹配过程是系统运行的主要过程，是系统主要的性能瓶颈。针对此问题已有很多学者做了大量研究，文献[3]对BM算法做了改进，去除了传统的好后缀规则，改进了坏字符规则。文献[4]提出一种基于随机指纹模型的多模式匹配方法。文献[5]基于BM算法的优点改进AC算法，提出了多目标AC-BM算法，大大降低重复搜索文本串的次数。

2017年5月12日晚，勒索病毒“WannaCry”感染事件在全球爆发，短时间内已经扩散至全球上百个国家。据统计，全球99个国家和地区爆发了超过7.5万起电脑病毒攻击事件，俄罗斯、英国、中国、乌克兰等国纷纷“中招”，英国国家医疗服务体系遭遇了大规模网络攻击，多家公立医院的电脑系统几乎同时瘫痪，电话线路也被切断，导致很多急诊病人被迫转移。从国家互联网应急中心获悉，此次爆发的勒索病毒属于蠕虫式勒索软件，通过利用编号为MS17－010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。电脑被勒索病毒感染后文件会被加密锁定，支付黑客所要赎金后才能解密恢复，受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说，这次网络攻击“达到史无前例的级别”。截至2017年5月14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

网络病毒一直是互联网用户心中挥之不去的阴影，2007年，“熊猫烧香”在数百万电脑用户里除之不尽，成为人们噩梦般的记忆[1]；最近，勒索病毒又在全球肆虐。面对一次又一次的病毒攻击，人们都有疑惑，为什么病毒攻击影响这样大？怎样防范病毒攻击？如何保障我们的电脑安全？面对疑问，深入剖析一下勒索病毒，能够带给我们一些亡羊补牢的思考与启示[2]。

1 勒索病毒的特点

勒索病毒（也称敲诈者病毒）是不法分子通过发送邮件等网络钓鱼方式，向受害电脑或服务器植入敲诈病毒来加密硬盘上的文件或锁屏，并以此敲诈勒索用户钱财的一种恶意软件，此软件要求受害者支付数额不等的赎金（一般要求以比特币方式支付）后才予以解密。

最早的勒索病毒的病毒名为“艾滋病信息木马”（Trojan/DOS.AidsInfo），始于1989年。最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起，勒索病毒的传播、劫持和敲诈方式也发生了很大的变化。如今敲诈者病毒的攻击范围已经涵盖了Windows、Mac、Android、IOS和虚拟桌面。360互联网安全中心发布的《2016敲诈者病毒威胁形式分析报告》指出，勒索病毒病毒作为新型网络犯罪生力军已经泛滥成灾，2016已经出现了九起大规模攻击事件，给世界组织机构造成不可估量的损失。2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入勒索病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于人民币2069元的比特币才可解锁。

该病毒有以下特点：

（1）勒索病毒利用Windows操作系统445端口存在的漏洞（MS17-010）进行传播。

445端口是很常用的TCP端口，被被网络安全业内人士戏称为“灰洞”，开启此端口可在局域网中轻松访问各种共享文件夹或共享打印机[3]，但是，也给勒索病毒在局域网内疯狂传播提供了通道。

（2）勒索病毒入侵服务器或主机后，对服务器或主机硬盘的文件进行加密。

被该勒索软件入侵后，用户主机系统内的Office文件、压缩文档和媒体文件、电子邮件和邮件数据库、数据库文件、源代码和项目文件、密匙和证书、设计软件生成的文件或虚拟机文件都将被加密。

（3）勒索受害者以获取比特币。

用户主机遭受攻击后，要求受害者支付价值数百美元的比特币（BitCoin）。比特币是一种P2P（点对点）形式的数字货币，它不依靠特定货币机构发行，它依据特定算法产生，并使用密码学的设计来确保货币流通各个环节安全性[4]。由于比特币具有去中心化、匿名性、无隐藏成本等特性，造就其成为黑客收取“赎金”的通道。

（4）加密后的文件很难破解

这种病毒使用的是2048位RSA加密，目前的计算机没有办法解密，暴力破解的时间可能要以百万年计或是等到量子计算机实用化。猎豹移动安全专家李铁军表示，“这次全球性爆发病毒，没有密钥，救不了”，这意味着该病毒只能防御，暂时不能被破解。

（5）具有蠕虫病毒的所有特征，可以自我复制、自我传播，可以借助于网络进行变种更新。

勒索病毒是一种“蠕虫式”病毒，具有蠕虫病毒的所有特征，可以自我复制、传播速度快，2017年5月12日，WannaCry勒索病毒爆发；2017年5月14日，WannaCry勒索病毒出现了变种WannaCry 2.0；5月17日，国家计算机病毒应急处理中心与亚信科技（中国）有限公司联合监测发现一种名为“UIWIX”勒索病毒新变种。由此可见，勒索病毒在网络中极易进行变种更新。

2 防御方法

勒索病毒的具体防御方法：

（1）开机前断掉网络，将重要文件备份至移动硬盘。

打开电脑前，应拔掉网线，然后开机。开机后，打开电脑上安装的防火墙，并将重要文件拷贝至移动硬盘，以免由于感染病毒或木马丢失重要文件。

（2）开机后，开启防火墙，在防火墙上配置策略，关闭TCP445端口。

电脑正常开机后，开启系统防火墙，在防火墙配置禁用端口策略，并把TCP445端口加入到该策略中，以避免病毒通过该端口在局域网内传播。

（3）连接网络后，打开Windows更新，安装最新补丁。

插上网线，连接网络。接入网络后，打开Windows更新，安装最新的系统补丁，同时升级电脑上安装的安全软件。

（4）安装正版的防火墙和杀毒软件。

尽量购买正版的杀毒软件和防火墙软件，安装正版的防火墙和杀毒软件，以提升防护效果。

3 结束语

文章分析了勒索病毒的特点，并给出了具体的防御方法。文章认为作为国家整体安全体系重要组成部分之一的网络安全，确有许多值得反思和警诫的地方。下一步，将深入研究、找出先阶段网络安全存在的问题及应对策略。

[1]马俊.对网络生态构建的几点思考——以"熊猫烧香"病毒案为例[J].新闻界, 2007.

[2]张锡杰.关于加强网络信息安全的几点思考——从"熊猫烧香"案暴露出的隐患谈起[J].中国行政管理, 2007.

[3]王远志.基于Hadoop的全网络流量异常监测算法研究[D].郑州大学，2014.

[4]王春,李津.比特币交易网站负责人潜逃卷走玩家2000[EB/OL]. http://news.ifeng.com/society/1/detail_2013_12/11/32014620_0.shtml, 2017.

[5]刘积芬.网络入侵检测关键技术研究[D].上海:东华大学，2013.