勒索病毒分析与防护

2024年4月24日发(作者：)

勒索病毒分析与防护

发布时间：2021-09-06T16:05:29.363Z 来源：《中国科技信息》2021年9月下 作者： 周军 单伟 卢斌 史永生 王艳云

[导读] 本文探讨了勒索病毒常用的传播方式及文件加密方式，旨在提高系统运维人员及终端使用人员的安全意识，避免遭受勒索病毒攻

击，造成重大损失。

中国联合网络通信有限公司东营市分公司 周军 单伟 卢斌 史永生 王艳云 东营 257091

摘要：本文探讨了勒索病毒常用的传播方式及文件加密方式，旨在提高系统运维人员及终端使用人员的安全意识，避免遭受勒索病毒攻

击，造成重大损失。

关键词：WannaCry Petya GandCrab 勒索病毒 RSA

1引言

2017年5月12日， WannaCry勒索病毒在全球范围内爆发，几天内感染几十万台计算机，被感染计算机上的文件遭到加密，唯一可行

的解密方式就是支付赎金。紧随其后，乌克兰等国家的政府部门遭受Petya勒索病毒袭击。2018年1月，GandCrab勒索病毒开始活跃，在

一年半的时间里，病毒从1.0开始不断更新演化到5.2，在全球共勒索20多亿美元。

勒索病毒越来越多，传播方式也多种多样，一不小心可能就会中招，身边的同事也遭受过勒索病毒攻击，多年的维护资料被加密，损

失惨重。为了避免遭受勒索病毒攻击，我们从勒索病毒的传播方式和文件加密方式着手，探讨一下勒索病毒的防护方法。

2勒索病毒的传播方式

2.1利用系统漏洞

WannaCry利用了Windows文件共享服务的漏洞，共享服务使用SMB协议，在445端口进行通信，用于在多台Windows主机之间进行

文件分享。Windows系统默认就开启的共享服务，而且其存在多个漏洞，而且漏洞位于内核代码中，其被利用后，可以直接获取系统最高

权限，完全控制计算机，所以影响巨大。

一些国家安全组织或黑产组织常年分析操作系统等各种软件的漏洞，并开发漏洞利用工具，用于国家间的网络攻击或获取经济利益。

当攻击流量被安全公司捕获，或漏洞利用工具泄漏后，漏洞就会被公开。一个漏洞在被公开之前的时间叫做0day漏洞，公开后每过24小时

加1，分别叫做1day、2day……漏洞。安全公司一般会先将漏洞细节告知软件公司，软件公司开发出相应的补丁后，再进行漏洞公开和补

丁发布。0day漏洞一般用于攻击非常重要的、特定的目标，漏洞公开后，其他黑产组织会迅速分析利用，开发勒索病毒等攻击工具。

为防止漏洞被利用，计算机使用人员应该打开补丁自动更新，及时修复软件漏洞；把系统上不需要的服务都关掉；开启系统自带的防

火墙；安装并开启防病毒软件。

2.2密码爆破

因为很多计算机使用人员设置的密码过于简单，所以很多勒索病毒在进行传播时，会用自带的一个弱口令字典，对系统进行密码爆

破，爆破成功后即可控制计算机。有的勒索病毒在通过系统漏洞进入计算机后，会提取已登录账号的密码，并用此账号、密码攻击其他的

计算机。

为防止密码爆破，密码设置必须足够复杂，长度至少8位，且必须包含大写字母、小写字母、数字和特殊符号中的三种，而且要定期

修改密码；同一人使用或维护的计算机设备，要设置不同的密码。

2.3邮件传播

有些勒索病毒，会利用邮件进行传播，其内容包含使用人员关注的话题，诱使其下载附件并双击运行；或者以与目标相似的邮件地

址，以管理员或上级的口吻，要求使用人员运行附件或提供系统密码。

为应对此种类型的攻击，使用人员应仔细观察发件人的邮件地址，不随意打开陌生人员发送的邮件附件，不随意将密码告知其他人，

安装并开启防病毒软件。

2.4网站挂马

若计算机开启了相关服务，而这些服务又存在漏洞，就会被用来攻击；若计算机未开启任何服务，是不是就安全了呢？

很多计算机不对外提供服务，但是会使用其他计算机提供的服务，比如浏览网页。黑产组织会利用这一点，先攻击一些网站，将一些

浏览器的漏洞利用代码挂在网页上，当人们使用有漏洞的浏览器打开这个网页时，计算机就会被控制。

为应对此种类型的攻击，计算机上的浏览器等客户端软件也要定期升级，不随意打开不熟悉的网站。

3勒索病毒的文件加密方式

3.1对称加密和非对称加密

加密算法有两种，对称加密和非对称加密。常见的对称加密算法有3DES、AES、RC5和Blowfish等，其特点是计算量小、加密速度

快，加解密使用同一个密钥，秘密完全依赖于密钥，当密钥很长时难以暴力破解。常见的非对称加密算法有RSA和ECC，其特点是计算量

大，加密速度慢，加密时使用一个密钥，解密时使用另一个密钥，两个密钥成对使用，从一个密钥无法推算出另一个密钥，可把一个密钥

公开，另一个私有。

3.2勒索病毒的加密方式

要快速加密受害计算机上文件，就要使用对称加密算法，密钥随机生成且长度很长，难以暴力破解。有些勒索病毒甚至为每一个文件

随机产生一个加密密钥，这样即使能暴力破解成功，也仅仅是恢复了一个文件，其他文件仍然无法恢复。

要保证加密后的文件无法被恢复，就要保护“对称加密算法的密钥”，因此就需要使用非对称加密算法。因为非对称加密有两把密钥，

一把内置于勒索病毒中，用于加密“对称加密算法的密钥”，加密后只能用另一把密钥来解密，而另一把密钥又位于黑产组织手中，只有交了

赎金才会解密。

为提高解密的效率，勒索病毒在运行时，会动态生成一对非对称加密密钥，称为会话密钥，如下图所示，用会话密钥的公钥Public2去

加密对称加密算法的密钥C，这时要想得到C去解密文件，必须拥有私钥private2；但勒索病毒接着用内置的勒索公钥Public1加密

private2。这样，为了得到private2,就只能用勒索私钥private1解密，而其为黑产组织私有，只能支付赎金，因为整个加密环节没有漏洞，

加密算法自身也没有缺陷，密钥随机生成、足够长，以目前的计算机运算能力，是没法在短期内暴力破解的。

图1 勒索病毒加密过程

4结束语

传播方式的多样性，加密算法的安全性，比特币交易的方便性及隐匿性，让黑产组织可以有恃无恐的进行勒索攻击。安装杀毒软件、

补丁升级、强口令、注意邮件安全、软件升级，做到这些可以抵御绝大部分的勒索病毒攻击。因为系统漏洞在公开前总是未知的，无法预

防，所以，系统备份是非常有效而又低廉的抵御0day漏洞攻击的应对措施。只要我们组合使用这些应对方法，勒索病毒就不会对我们造成

很大的影响。