新型计算机勒索病毒研究

赵乾 杨钊 伍权树 钟翡

摘要：近期一系列对比特币进行勒索的新型计算机勒索病毒席卷全球150多个国家，病毒来势汹汹且种类不断翻新，大有愈演愈烈之势。文章通过探讨计算机勒索病毒的分类、成因和攻击原理，探寻防护计算机勒索病毒的策略方法。

关键词：勒索病毒；WannaCry； Petya； BadRabbit

近年来，计算机勒索病毒（以下简称勒索病毒）爆发频率高、破坏程度强且社会影响较大。顾名思义，勒索病毒是病毒研发者或黑客组织用于勒索被攻击计算机用户钱财的一系列计算机程序的总称，通常由漏洞攻击工具、病毒本体、局域网传播工具和木马后门程序等组成。不同于其他计算机病毒以“炫技”“报复”“盗取”等为目的，勒索病毒多以篡改存储数据为手段，以非法索取受害者财物为目的，病毒研发者的犯罪动机极其明显，犯罪手段非常极端。

1 勒索病毒的分类

按照攻击手段的不同，勒索病毒可分为诱导攻击型和主动攻击型两种。一是诱导攻击型勒索病毒，指通过伪装病毒程序和代码.诱导计算机用户在不知情的情况下启动病毒程序，进而植入勒索病毒。最早的诱导勒索程序出现于1989年，而后勒索程序不断升级迭代，由计算机程序演变为计算机病毒，2007年3月曾出现以敲诈勒索为目的的“勒索者病毒”（Harm.Extortioner.a），它是通过E語言编写的程序，运行后删除各分区中的文件，弹出非正版警告，并提供“购买”方法达到诱导和欺骗的目的。2017年11月出现的BadRabbit、Ransom病毒，是通过诱导用户下载并安装植入了病毒的Adobe Flashplayer更新包，并诱导用户启动病毒程序。二是主动攻击型勒索病毒，指主要通过黑客技术入侵用户计算机系统而植入的勒索病毒。主动攻击型勒索病毒首次出现在2017年5月，以攻击微软MS17-010漏洞的WannaCry和Petya（WannaCry变种）为代表，这一类型病毒主动寻找并攻击系统漏洞获得系统权限并植入病毒本体，是黑客技术与病毒技术结合的产物，其危害性远超其他类型的勒索病毒。

2 勒索病毒的成因

早期的勒索病毒以恶作剧为主，以获利为辅，其病毒代码的水平较低级，隐藏性和危害性相对较弱，这类病毒极易被查杀，且破坏影响极易被消除，这是因为：（l）当时病毒作者多为单打独斗，技术手段不成体系，更多的是通过“炫技”以达到扩大知名度的目的。（2）当时计算机安全防护技术普及不够广泛，大多数系统在没有安全防护手段的保护下运行，容易沦为“肉鸡”。（3）支付手段落后且容易被溯源，制作勒索病毒的违法成本较高，风险较大。

随着计算机病毒技术、黑客组织的发展，以及某些国家安全机构的失职，导致勒索病毒顺利“着床”，并迅猛发展。其成因主要包括：（l）黑客组织发展壮大。黑客组织依靠官方组织和民间自发成立，具有较强的组织性。随着“棱镜门”事件和维基解密等反黑幕组织的出现，越来越多的证据显示，以某国政府为背景的黑客组织正在打破网络安全防护的平衡，NSA（美国国家安全局）下属一支代号“方程式”（Equation Group）的黑客部队，其针对各种操作系统研究的黑客攻击手段，已经形成了具有攻击框架和攻击工具的战略级“武器库”。民间存在一些“地下”黑客组织，诸如因攻破NSA武器库而得名的“影子经纪人”（Shadow Brokers）、向IS宣战的“匿名者”（Anonymous）黑客组织等，民间黑客组织具有更加严密的组织层次，其政治目的、军事目的和经济目的的隐蔽性使其更难防御。（2）病毒工具更加丰富。随着网络攻击技术、计算机病毒技术、密码技术的发展，一批模块化的病毒工具被生产出来，并流向非法组织和个人。NSA“方程式”组织泄漏的针对Windows和Swift系统的攻击工具多达12种之多，病毒作者仅仅基于其中一种“永恒之蓝”便制作了WannaCry和Petya这两个令全世界恐慌的勒索病毒，而官方和地下的黑客组织所掌握“武器库”规模则难以估算。（3）虚拟货币缺少监管。以“比特币”为代表的虚拟货币逐渐形成特有的市场，其基于P2P数据库和密码学的设计确保了流通交易的匿名性，为不法分子洗钱和非法获利提供了平台。

综上所述，在黑客组织、病毒技术和虚拟货币支付体系成熟的大环境下，网络勒索行为的门槛降低、风险趋零、组织优化、获利丰厚，增加了网络犯罪分子的嚣张气焰，使得勒索病毒在短期内频繁爆发并迭代。

3 勒索病毒攻击原理

勒索病毒攻击分为5个步骤：攻击系统、植入病毒、实施破坏、勒索用户、挂载木马，其中前4个步骤为常见步骤，第5个步骤为部分变种病毒所特有，下面以WannaCry病毒攻击步骤为例来探讨勒索病毒攻击的原理。

3.1系统攻击

勒索病毒的攻击手段包括蠕虫攻击和木马植入。蠕虫攻击指基于“永恒之蓝”攻击工具开发的针对MS17-010漏洞的蠕虫病毒的攻击行为，初始攻击由黑客主动发起，一旦存在可利用的SMB漏洞，蠕虫病毒会入侵主机并依托主机向其他局域网主机发起新的攻击，直至攻击对象全部感染。木马植入是指通过运行挂载的木马程序，从系统内部打开病毒入侵的端口，并以此为源头向其他局域网主机发起攻击。

3.2植入病毒

植入病毒是指被攻击的主机通过被开放的端口传输病毒代码，病毒代码最早是通过远程控制注入，当局域网中的一台主机被攻陷后，则以被攻陷主机为支撑，向新的局域网主机发起攻击并注入病毒，病毒代码被注入后，在主机系统内立即启用。

3.3实施破坏

病毒代码一旦运行，会对主机存储的文件进行加密，WannaCry采用RSA+AES加密算法，是美国联邦政府采用的一种区块加密标准，这项加密算法异常复杂，想要完全破解AES花费的时间要以数十亿年计，极大地保证了数据的安全性。加密的对象是图片、文档、视频、压缩包等文档资料，根据病毒版本的不同，被加密的文件会按照ONION或WNCRY两种后缀名来存储。

3.4勒索用户

病毒对文件完成加密后，会锁定系统并针对操作系统所在区域生成对应的语言提示，提示用户支付约300美元（相当于2 069元人民币）的比特币到指定比特币帐号。有趣的是，经反汇编病毒程序，可以看到病毒的勒索界面包含28种语言包，可见病毒作者对病毒的国际影响范围早有预期，据比特币分析机构的相关数据显示，在WannaCry爆发的一周内.制作者通过比特币交易平台获得的赎金约为7万美元。

3.5挂载木马

在一些变种勒索病毒中还发现挂载了其他木马，用于盗取主机用户的信用卡和身份信息等，可见勒索病毒不再拘泥于单一的获利手段，开始回归传统的病毒攻击方式，以期建立长期的价值获取机制。

4 勒索病毒的防护策略

截至2017年11月，仅WannaCry -种勒索病毒已经导致乌克兰、俄罗斯、印度、西班牙、法国、英国等150个国家的政府、银行、电力、通信、交通、医疗、石化等公共服务系统不同程度的瘫痪，预计约有30万台主机受到攻击，损失达80亿美元，我国部分高校学生因学位论文被加密而失去按时毕业的机会。应对勒索病毒所造成的威胁，形成“封堵漏洞、云端管理、数据备份、升级病毒库”相结合的策略，是预防勒索病毒感染的有效方法。

4.1健全法治

2017年6月1日施行的《中华人民共和国网络安全法>第五条规定：“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”为我国在法律上惩治网络勒索行为提供了法律依据，并对国家网信部門和基础网络运行商的安全防护职能进行了明确，网络安全事件按照危害程度、影响范围等因素进行分级，并规定相应的应急处置措施等，从行政的角度对类似勒索病毒爆发的安全事件防护和处置措施进行了规范。我国虽然是计算机用户数量最大的国家，但据专业网站对勒索病毒产生的影响分析，从主机端口被攻击的数量、支付赎金的数量和系统补丁安装的数量上看，我国在病毒事件前后采取的安全处置行动的响应速度最快，受益用户最多，防护效果最好。

4.2封堵漏洞

随着“永恒之蓝”攻击工具泄漏的还有“永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查”等NSA针对Windows研发的系统攻击工具，每一款攻击工具都可能被不法分子利用，发起勒索病毒攻击。微软在NSA武器库泄漏不久就紧急发布了MS17-010，MSI0-061，MS09-050，MS08-067等系统补丁，对SMB，Kerberos，Server netAPI等漏洞进行了修复，可以完全抵御这次危机。另外，防病毒软件对病毒库进行了升级，利用软件防火墙技术封堵了“永恒”系列攻击工具的漏洞。

4.3云端管理

勒索病毒发起的局域网攻击使得一部分并未暴露在主动攻击威胁下的主机也沦为被攻击对象，这是因为一方面大多数局域网用户为企业、园区、校园等内部网络，在外网防火墙的保护下，局域网主机缺乏内部安全防护措施，另一方面为了方便局域网通信，135、137、138、139、445等被勒索病毒利用的端口并未屏蔽，这些因素导致了局域网用户更容易遭受勒索病毒的攻击。对于局域网用户的管理应当部署统一的入侵监测、主机监控和防病毒系统，通过云端统一管理局域网的安全事件，采用用户组策略来封堵勒索病毒在局域网的传播。

4.4数据备份

勒索病毒采用RSA+AES加密算法，理论上无法在有限的时间内破解，在WannaCry病毒出现后，提出过采用数据恢复软件进行文件恢复的方法，但在Petya和BadRabbit病毒爆发后，病毒开始对文件列表进行加密，并写入无序信息，导致数据恢复方法彻底失效。针对勒索病毒的加密技术，目前并无有效的解决方法，但却可以提前进行预防，对重要的数据经常进行数据备份或采取云端备份的方式，减少主机被攻击后带来的损失。