2024年2月9日发(作者:)

技术应用2021年第4期第38卷勒索病毒GANDCRABV5.2的防御与查杀策略李荣玮1黄慧扬2罗欢31.2.3.广西广播电视台广西南宁市530022【摘要】GANDCRABV5.2是一种主要对政企以及机构网络进行攻击传播的勒索病毒,主机受到感染后,其数据和文件将被加密,影响相关业务的正常运行,给用户带来巨大损失。本文详细介绍了近年来最活跃的勒索病毒GANDCRABV5.2,概述了勒索病毒的特点、传播方式和强大破坏力,探讨了在广电内部业务网络的技术架构下,针对该病毒的应对防御措施,中毒主机的确认,以及病毒查杀的策略,最终起到保障数据信息安全,维护节目制播系统的日常运行的目的。【关键词】勒索病毒GANDCRABV5.2【中图分类号】TN915.08防御措施病毒查杀【文章编号】2096-0751(2021)04-0008-04【文献标识码】B与以往的病毒并无太大区别,各种不可逆的加密算法对用户数据进行加密,使得被加密的文件一般无法解密,用户必须向黑客缴付高额赎金,才能拿到解密的密钥,恢复文件。因1前言都是利用系统漏洞进行自动化攻击渗透,或者运用各种社会勒索病毒是近年来新兴的一种电脑病毒,它的传播方式作者简介:李荣玮黄慧扬罗欢广西广播电视台工程学进行欺诈攻击。它与众不同的特点是,该病毒会运用高级工程师工程师工程师广西广播电视台广西广播电视台数字传媒研究·ResearchonDigitalMedia37

技术应用JISHUYINGYONG此,一旦感染勒索病毒,将会给用户带来巨大损失。特别是3防御措施在广电业内,内部业务网络一旦感染病毒,大量重要数据就在广电内部业务网络环境会被加密破坏,业务系统崩溃下,通常有一些Windows服务器下线,直接影响播出安全。和工作站未能及时升级安全补丁,修复系统漏洞,还有一些2勒索病毒服务器和工作站开启了RDP协GANDCRAB介绍议且存在弱口令,而勒索病毒GANDCRABV5.2正好可以利用勒索病毒GANDCRAB是永恒之蓝漏洞和RDP爆破来进2018年勒索病毒家族中最活行传播。因此,我们建议的防跃、危害最大的成员,该勒索御措施如下。病毒首次出现于2018年1月,在3.1及时升级安全补丁将近一年的时间内,经历了五及时升级安全补丁是最简个大版本的更新迭代,此勒索单有效的提高系统安全性的方病毒的传播感染形式多种多法之一。大量的木马病毒都可样,曾使用U盘蠕虫、下载器、以利用系统安全漏洞进行传远程桌面爆破、永恒之蓝漏播,长期不升级安全补丁的主洞、web挂马等各种方式传播,机是十分脆弱、易被攻破的。使用的技术也不断升级,该勒勒索病毒GANDCRAB索病毒主要使用RSA密钥加密V5.2可以利用微软的Windows算法,导致加密后的文件无法的MS17010永恒之蓝安全漏洞被解密,目前最新的版本是以及其他安全漏洞来进行网络GANDCRABV5.2,之前的V5.1传播。近期微软RDP协议又爆版本因密钥泄露,已经被破出CVE-2019-0708RDP代码执解,而病毒此次更新主要就是行高危漏洞,利用该漏洞可以通为了应对密钥泄露问题,更换过RDP协议攻破未打补丁的主了加密使用的主密钥。机。38数字传媒研究·ResearchonDigitalMedia3.2尽量不使用windows的SMB协议和RDP协议SMB协议是一种客户机/服务器、请求/响应协议。通过SMB协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外,通过SMB协议应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)和命名管道(namedpipe)等资源。RDP(RemoteDesktopPro-tocol)称为“远程桌面登录协议”,即当某台计算机开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。Windows的SMB协议主要用于网络共享文件,RDP协议主要用于远程桌面登录、运维。这两个协议近年来高危漏洞频发,是大量病毒和黑客的主要

攻击目标。因此,使用第三方的文件共享协议和远程桌面服务来替代SMB和RDP协议会更安全。3.3交换机配置139、445、3389端口限制策略的确存在一些业务场景不得不使用SMB协议和RDP协议,或者已经大量使用了SMB协议和RDP协议,无法在短时间内对技术架构进行改造。那么,我们可以在交换机上配置ACL访问控制策略,针对具体业务需求,放行必须的SMB协议网络连接(139、445端口)和RDP协议网络连接(3389端口),阻断不正常的SMB协议网络连接和RDP协议网络连接,这样也能有效防御、遏制病毒的传播。华为、华三交换机的ACL配置举例如下:aclnumber3000descriptiondeny_smb_rdprule10denytcpsourceanydestinationany139rule20denytcpsourceanydestinationany445rule30denytcpsourceanydestinationany3389技术应用2021年第4期第38卷permitip阵列。通常我们第一时间会发3.4严控资源访问权限,降低病现共享盘阵上的文件被加密破毒破坏范围坏了,但却不知道是网络里哪目前,我们有一些信息系台主机感染了病毒,因此,中统的技术架构是盘阵、服务毒主机的确认十分重要。器、工作站处于同一个子网或感染了勒索病毒GAND-多个可相互无限制的子网下,CRABV5.2主机一般会存在以下每台服务器和工作站都对盘阵病毒文件:具备完全读写权限。在这种技C:usersadministratordown-术架构下,只要有一台服务器或工作站被勒索病毒感染,整中毒主机的本地盘会有如个网络的主机都存在被传染的下格式的勒索信:风险,每个盘阵的数据都能够随机字符.被病毒直接访问,导致全网的(例如:.数据都会被轻易破坏。TXT)因此,我们应该严格控制中毒主机的本地盘会有如每台服务器和工作站的资源访下格式的被加密数据文件:问权限,每台主机只能够访问原文件名.随机字符(例业务必须的网络资源、存储资如:视频素材.PL)源。这样即使某台主机不幸中4.2中毒主机的数量确认毒,也只能造成有效的局部破通常我们的网络内会有多坏,不至于导致整个网络的主台服务器和主机中毒,在杀毒机和数据全军覆没。过程中如果漏杀,会造成业务重新上线后,病毒再次爆发。4病毒查杀因此,确认网络内中毒主机的数量十分关键。4.1中毒主机的确认每台中毒主机都会生成唯在网络环境下,通常存在一的格式为“随机字符.MANU-着多台服务器、工作站和磁盘”的勒索信和格式为数字传媒研究·ResearchonDigitalMedia39

技术应用JISHUYINGYONG“原文件名.随机字符”的加密有服务器、主机均处于断网状文件。通过统计全网产生了多态,逐台服务器、工作站进行少封不同名字的勒索信,我们查杀即可。但这个方法副作用就可以确定网内中毒主机的数也非常明显,交换机断网后,量。网络业务将会全部中断。例如:在共享盘阵上,存在无法直接断网的情况在两封勒索信:下,我们也可以通过在交换机随机字符上配置139、445、3389端口的(例如:限制策略,在网络层面阻TXT)断病毒的传播途径,然后在逐随机字符台服务器、工作站进行查杀。(例如:.限制139、445、3389端口后,TXT)虽然SMB协议和RDP协议会无因此,我们可以判断网络法使用,但其他网络业务还是内至少存在两台中毒主机对这正常的,能够确保大部分业务个共享盘阵进行了加密破坏,在线。我们必须找到这两台主机进行确认、查杀。参考文献:4.3病毒查杀[1]李华生,黄进.勒索病毒识别、在单机环境下,只需要使处置与防御[J]信息安全研究,用合适的杀毒软件即可完成病2019,(4):346-351.[2]赵佩.勒索病毒攻击事件漏洞分毒查杀,但在网络环境下,情析及应对防护策略[J]电子技术与况就变得比较复杂,勒索病毒软件工程,2019,(3):ABV5.2具备网络传播[3]崔盟.比特币勒索病毒作用机理能力,网络环境下,不合理的及影响分析[J]中国新通信,2018,查杀操作无法将病毒查杀干(11):155-156.净,病毒会反复感染、爆发。[4]邱永哲.勒索软件演进特点及安最简单的查杀方法就是直全防护建议[J]信息与电脑,2018,接把网络交换机断电,此时所(2):152-154.40数字传媒研究·ResearchonDigitalMedia[5]赵乾,杨钊.新型计算机勒索病毒研究[J]无线互联科技,2018,(1):26-27.审稿人:魏朝辉内蒙古自治区新闻出版广电局监管中心正高级工程师责任编辑:杨雅娟