勒索病毒的原理和防范机制研究

什么是勒索病毒？
近几年爆发的勒索病毒概况
勒索病毒特征及危害
勒索病毒通过什么方式入侵我们的电脑？
勒索病毒的原理是什么？技术特点？
现实生活中，我们该如何防范？
小结

什么是勒索病毒？

【定义及传播】勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒，最通俗易懂的理解就是，黑客通过攻击你的系统，把你的重要文件用一把锁锁住，然后威胁你“一手交钱一手交货”。
【影响】该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。
【密码学技术】这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。
【喜好攻击对象】这种病毒很精明，一般很少入侵个人电脑，主要针对的是企业用户，原因是成本低，回报高。由于这把锁的钥匙只有攻击你的人才拥有，所以很多被攻击的企业为了找回自己的数据资料不得不支付动辄千万的赎金。与其他机构相比，医院的信息系统也比较有特殊性，如其中的医学记录、数据、病患资料以及预约信息等，都属于需要紧急使用的信息，被加密后，会造成比较大的影响，所以势必会想尽办法以最快速度恢复数据，比如，马上交赎金。所以常常看到勒索病毒的优先攻击对象往往是一些医院、企业、政府、高校、银行。

什么是挂马？ ：挂马是木马的一种传播方式。话句话说，木马是一种恶意软件，而挂马是使该软件进入用户电脑的途径之一。其中网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面！再加代码使得木马在打开网页时运行！

近几年爆发的勒索病毒概况

1、2017年5月，一种名为“想哭”（WannaCry）的勒索病毒袭击全球150多个国家和地区，30万名用户，近百个国家的政府、高校、医院等机构及个人的计算机收到感染，恶意加密用户个人文件，以解密诉求为由索要赎金，引发了迄今为止网络世界最大的安全危机。
2、2017年6月，欧洲、北美地区多个国家遭到新型勒索病毒“Petya”攻击。乌克兰受害严重，其政府部门、国有企业相继“中招”，多国的政府、银行、电力系统、通讯系统等多个行业均受到不同程度的影响。
3、2017年10月，俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招，德国、土耳其等国随后也发现此病毒。
4、2018年2月，多家互联网安全企业截获了“Mind Lost”勒索病毒。
5、2018年2月，中国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现，此次出现的勒索病毒正是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名，并通过邮件来告知受害者付款方式，使其获利更加容易方便。
6、2018年3月，有杀毒软件厂商表示，他们监测到了“麒麟2.1”的勒索病毒。
7、2018年3月，国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产和手机安全均造成严重威胁。
8、从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。
9、2018年12月，火绒安全团队曝光了一个以微信为支付手段的勒索病毒在国内爆发。几日内，该勒索病毒至少感染了10万台电脑，通过加密受害者文件的手段，已达到勒索赎金的目的，而受害者必需通过微信扫一扫支付110元赎金才能解密。
10、2018年12月，平安东莞账号证实“12.05”特大新型勒索病毒案已被侦破，根据上级公安机关“净网安网2018”专项行动有关部署，近日，东莞网警在省公安厅网警总队的统筹指挥，24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案，抓获病毒研发制作者罗某某（男，22岁，广东茂名人），缴获木马程序和作案工具一批。
11、2019年3月，瑞星安全专家发现通过发送恐吓邮件，诱使用户下载附件，导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。
12、近日，国内很多公司都感染了后缀.file勒索病毒，甚至国内某个软件Saas云服务器全部沦陷，91数据恢复团队已经接到很多公司的求助，这些公司的服务器都因中毒感染.file后缀勒索病毒而导致公司业务停摆或耽误

勒索病毒特征及危害

以勒索病毒WannaCry为例。它与以前的勒索软件有非常明显的区别，具有蠕虫性质，特点和危害：
1、传播速度更快、传播范围更广。
2、全程自动化、攻击行为更隐蔽。
3、感染无法补救、危害程度深
什么是蠕虫性质？ ：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。具有感染更强传播更快的特点。

勒索病毒通过什么方式入侵我们的电脑？

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

勒索病毒的原理是什么？技术特点？

勒索类病毒都利用了密码学中的公钥密码算法来加密文件。有的病毒使用RSA加密（比如WannaCry病毒），有的使用椭圆曲线加密（比如CTB Locker）。
WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具，进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染，大范围超快速扩散。病毒母体为mssecsvc.exe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播。此外，会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。病毒加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，理论上不可破解。

攻击流程图:

加密流程图:

密钥及加密关系:

现实生活中，我们该如何防范？

【企业防范】
1、在省一级以上的医院，将配备安全人员或相关预算（安全服务外包），可以定期做安全检测，相当于每年体检一次，知道问题在哪里，根据自己的产品部署安全或配备安全。
2、更改服务器口令：复杂度最好采用大小写字母、数字、特殊符号混合的组合结构、口令位数足够长（15位、两种组合以上），并且定期更换登录口令；服务器密码使用高强度和不规则密码，多台机器不使用相同或相似的口令，要求每个服务器使用不同的密码管理。
3、建立内部访问控制，建立服务器和工作站内部访问的相应控制，不需要互连需求，避免服务器在连接外部网络后被攻击，作为跳板被企业服务器攻击。
4、为安全专业人员部署云服务。我们不熟悉终端和服务器上的专业和安全保护软件。服务器可以考虑诸如不熟悉的腾讯云和专业安全保护功能等云服务。
【个人防范】
1、安全加固，对服务器和终端安装专业的安全防护软件；定期检测系统漏洞并修复，及时更新Flash、Java、以及一系列Web服务程序，打齐安全补丁。
2、保护你自己的文档，勒索病毒最想加密的是你的重要文件，所以平时注意备份，或者加密；对重要的数据、文件进行实时或定期备份，而且是异地备份。
3、关闭不必要的端口，默认情况下，许多端口对Windows开放，非法黑客可以通过这些端口连接到您的计算机。尽可能关闭445, 135, 139和其他不需要的端口，3389端口可以是白名单配置，只允许白名单的IP连接登录。
4、关闭不必要的文件共享。文件共享也有风险。如有必要，请使用ACL和强密码保护来限制访问权限，并禁用对共享文件夹的匿名访问。
5、不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描，确认安全性，尽量从软件管家或官网等可信渠道下载软件；要养成上网的良好习惯。

小结

网络安全的威胁来源和攻击手段不断变化，不是依靠几个病毒防护软件就可永保网络安全，而是需要树立动态、综合的防护理念。新的网络攻击必须要有新的核心技术才能应对，可信计算技术体系及其产品具有主动免疫、动态防御、快速响应等特点，可有效应对非预知病毒木马，改变网络攻击被动挨打，受制于人的局面，是建立网络空间主动免疫的安全防御体系的有利支撑。