浅谈高校勒索病毒预防和应急措施

来源:用户上传      作者:

　　摘  要： 勒索病毒近年来在数量上呈爆发式增长，严重影响全球众多关键信息基础设施，成为网络安全中的一个关注热点。文章介绍了勒索病毒的现状，结合高校的网络环境，综合多种勒索病毒防治手段，提出了一系列通用的勒索病毒预防和应急响应措施。经浙江大学网络安全工作的实践证明，合理应用这些措施，能有效提高勒索病毒的防护水平。
　　关键词： 勒索病毒; 预防; 应急响应; 高校
　　中图分类号：TP309.5          文献标志码：A     文章编号：1006-8228（2019）10-54-03
　　Abstract： In recent years， extortion virus has shown explosive growth in number， which has seriously affected many key information infrastructure areas around the world and has become a focus in network security. This paper briefly introduces the current situation of extortion virus， based on the network environment of colleges and universities and various methods of extortion virus prevention and control， puts forward a series of general measures to prevent and emergency respond to extortion virus. The practice of network security work in Zhejiang University has proved that the reasonable application of these measures can effectively improve the level of protection against extortion virus.
　　Key words： extortion virus; prevention; emergency measures; colleges and universities
　　0 引言
　　勒索病毒是在僵尸网络基础上的一种控制形式的升级。黑客在控制了用户计算机以后，将用户数据加密，并勒索用户用虚拟货币为数据解密支付赎金[1]。
　　对勒索病毒的研究最早始于1996年[2]。在之后的二十多年间，众多勒索病毒如TeslaCrypt[3]、VaultCrypt[4]、NanoLocker[5]、Android Simplelocker[6]、OSX/KeRanger-A[7]、NotPetya[8]、Cerber[9]等陆续出现在人们视野中。
　　近三年是勒索病毒又一个爆发高峰期。2017年5月12日，WannaCry勒索病毒[10]在短时间内席卷全球，大量的政府部门、企业单位及教育机构受到病毒侵害，中国高校成了此次勒索病毒事件中被感染的重灾区[11]。2017年6月27日晚，乌克兰、俄罗斯、印度及欧洲多个国家遭遇Petya勒索病毒[12]袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度受到了影响[13]。2018年8月21日起全国多地发生GlobeImposter勒索病毒事件。2018年10月27日凌晨，杭州某卫生信息系统黑屏，数据库文件被加密，业务系统无法启动，初步判断系感染GandCrabV5.0.4勒索病毒。2019年3月11日起，勒索病毒GandCrab V5.2对我国有关政府部门和高校开展钓鱼邮件攻击。这些勒索病毒在全球范围内，给政府、教育、医院、能源、通信、制造业等领域造成了前所未有的重大损失。
　　由于勒索病毒变种多、攻击形式多样，且成功运行后解密较为困难，而高校存在网络环境复杂、上网用户多、服务器分散等问题，因此要特别重视勒索病毒的预防和应急处置工作。
　　1 勒索病毒的预防措施
　　目前应对勒索病毒的措施主要以预防为主，同时加强整体网络安全管理，增加有效的技术治理手段，具体分为如下几块内容。
　　1.1 增强安全意识
　　勒索病毒的攻击手段之一是通过伪装病毒程序和代码， 诱导计算机用户在不知情的情况下启动病毒程序， 进而植入勒索病毒[14]，主要感染途径为网页挂马、垃圾电子邮件、捆绑恶意程序等。日常使用网络时要具备以下安全意识：
　　⑴ 不访问色情、博彩等不良网站，不轻易下载陌生人发来的邮件附件，不点击陌生邮件中的链接;
　　⑵ 不随意使用陌生U盘、移动硬盘，不轻易解压不明压缩文件;
　　⑶ 不轻易运行陌生的脚本文件和可执行程序，陌生文件运行前使用杀毒软件进行查杀;
　　⑷ 定期对全盘进行病毒查杀，清理可疑文件，备份数据。
　　增强安全意识的培训工作应落实到高校网络安全工作的日常宣传、线上线下安全培训等活动中。
　　1.2 密码和端口管理
　　勒索病毒的另一种攻击手段是通过黑客技术入侵用户计算机系统，进而植入的勒索病毒[14]，代表就是WannaCry和Petya勒索病毒。主要通过利用系统和应用程序漏洞（永恒之蓝等）和爆破服务（RDP、FTP、MySQL、SQLServer等）弱口令、空口令、服务器共用口令。对密码爆破攻击，可从如下几点进行防范：
　　⑴ 不使用弱口令、空口令，多台服务器不共用同一個口令; 　　⑵ 设置强密码，长度不少于8个字符，至少包含大小写字母、数字、特殊符号中的三类，不使用人名、计算机名、用户名、邮箱名等;
　　⑶ 对多账户服务器严格控制每个账户的权限;
　　⑷ 做到定期更换口令。
　　此外，应对开放的端口进行管理。除了必要的业务需求，应关闭 135、139、445、3389等端口，或通过防火墙配置、安全软件隔离、准入管理等手段，仅允许指定机器访问。
　　高校网络安全相关部门应关注外界勒索病毒的爆发情况，及时发布预警通知，将影响降到最低。
　　1.3 及时修复漏洞
　　来自Recorded Future的报告显示，2018年黑客最常用的十大漏洞中，有八个漏洞都来自微软，与日常学习工作不可或缺的office和IE有关，不及时修复会导致远程代码执行，进而被植入勒索病毒。
　　除了广为人知的永恒之蓝之外，JBoss反序列化漏洞、Tomcat任意文件上传漏洞、Tomcat web管理后台弱口令爆破、ApacheStruts2远程代码执行漏洞等Web应用漏洞也是勒索病毒的利用途径。
　　因此，高校网络安全相关部门应及时跟进微软发布的高危漏洞公告，发布的漏洞预警公告，并督促校内各单位尽快修复系统存在的漏洞。校内各单位应提高安全意识，高度重视收到的漏洞通报，及时修复漏洞，避免被恶意利用。如果不能及时关注响应这些漏洞信息，可借助安全软件修复漏洞，当前主流的杀毒软件和安全卫士均提供漏洞更新服务。有条件的单位可以定期对名下系统和应用系统进行自查。
　　1.4 加固安全防护
　　高校目前均部署有一系列的安全设备，如Web应用防火墙、APT预警平台、防病毒网关等，合理利用各个设备的优势，及时更新规则库，调整防护策略，关注并处理设备的告警信息。
　　高校网络安全相关部门应定期开展校园网病毒专项检查工作，及时发现已失陷主机，通知所属用户处置或协助用户进行处置和安全加固。
　　2 勒索病毒的应急响应
　　百密一疏，再全面的防护措施，也会有漏网之鱼。当流量分析或威胁监测系统产生大量“SMB远程溢出攻击”、“弱口令爆破”等告警信息，或者某台设备出现CPU或内存资源占用异常时，应加以重视，可能是病毒在尝试攻击。一旦校园网内某台主机感染勒索病毒，除了该主机自身的文件会被加密外，勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机。
　　因此，一旦发现某台主机疑似感染或已被感染，高校网络安全相关部门应尽快采取应急响应措施。一般处理步骤如下。
　　2.1 隔离
　　对疑似感染或已被感染的主机进行断网或限制访问处理，防止勒索病毒扩散。
　　2.2 排查
　　排查相关业务系统是否受到影响，确定是否有其他主机受影响，明确病毒影响范围。
　　2.3 加固
　　勒索病毒攻击途径一般为未修复的系统漏洞、应用漏洞和弱口令爆破，因此，在明确局域网内已有主机感染勒索病毒后，应检测其他主机是否有上述的问题存在。系统漏洞可以使用Nessus等进行检测，应用漏洞可以使用AWVS、APPScan等进行检测。检测报告将给出详细的漏洞描述、危害和修复建议。弱口令应立即修改为强密码，若条件允许，还可配置防暴力破解策略，增强安全性。
　　2.4 恢复
　　对已被勒索病毒加密的设备，一般有备份还原、数据恢复、工具解密、支付解密四种方法。
　　⑴ 备份还原：该方法适用于备份文件未受勒索病毒影响的情况。通常，本地备份和同一局域网内的异机备份都会被病毒遍历到而被加密，因此，最佳的备份方式是不在同一局域网内的异地备份。进行备份还原前，应进行磁盘格式化并重装系统，确保病毒已被徹底清除。因此，对重要的系统和设备，一定要进行合理的数据备份，这也是目前最有效的恢复方法。
　　⑵ 数据恢复：该方法适用于原文件未被覆盖的情况，可以尝试使用一些数据恢复工具，或者寻求专业数据恢复人员的帮助。
　　⑶ 工具解密：目前已有部分勒索软件被破解，可以尝试一些官方反勒索病毒网站提供的解密工具。
　　⑷ 支付解密：建议只有在数据非常重要且采用其他方法都无法恢复时使用。不要直接向对方账户支付赎金，需听取安全人员的建议，谨慎处置。
　　3 结束语
　　2019年以来，勒索病毒攻击虽有所减缓，但从未停止。如2019年3月11日的GandCrabV5.2勒索病毒攻击。当天，浙江大学邮件系统截获该勒索病毒钓鱼邮件700多封，这些邮件均被投递到了垃圾邮件箱，次日仍有收到20多封钓鱼邮件。浙江大学信息技术中心紧急发布漏洞预警通知，升级邮件系统病毒库，并邮件通知相关用户提高警惕。目前浙江大学未发现有师生中该勒索病毒。
　　此起彼伏的勒索病毒事件提醒我们，勒索病毒种类多样、破坏性大，但可防可控。我们要在处理勒索病毒事件的过程中，提高威胁洞察能力，积累经验，不断增强勒索病毒的预防、抵抗和应急处置能力。
　　参考文献（References）：
　　[1] Adamov A， Carlsson A. The state of ransomware. Trends and mitigation techniques[C]//2017 IEEE East- West Design & Test Symposium （EWDTS）. Piscataway， NJ： IEEE， 2017：1-8
　　[2] Young A.， Yung M.， Cryptovirology： Extortion-based security threats and countermeasures. In Security and Privacy Proceedings， IEEE Symposium， 1996， pp. 129–140. 　　[3] Owen G.， Savage N.， Empirical analysis of Tor Hidden Services， IET Information Security， Volume 10， Issue： 3， 2016：113-118
　　[4] Adamov A.， VaultCrypt： From Russia with Love，NioGuard Security Lab and Ukrainian Cyberpolice，2015.
　　[5] NanoLocker - Ransomware analysis， MalwareClipboard，http：//blog.malwareclipboard.com/2016/01/nanolockerransomware-analysis.html，2016.
　　[6] ESET Analyzes Simplocker – First Android File - Encrypting，TOR-enabled Ransomware， ESET，2014.
　　[7] Claud Xiao， Jin Chen， New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer， Palo Alto Networks，March 2016， https：//researchcenter.paloaltonetworks.com/2016.
　　[8] EternalPetya / NotPetya Ransomware Analysis， Nioguard Security Lab， June 2017.
　　[9] New variant of Cerber ransomware （Ferber） analyzed， Nioguard Security Lab， July 2017.
　　[10] Berry A.， Homan J.， Eitzman R.， WannaCryMalware Profile， FireEye， May 2017.
　　[11] 馬也， 吴文灿与麦永浩， 从WannaCry勒索病毒事件谈高校网络安全[J]. 网络安全技术与应用， 2018.4：66-68
　　[12] Petya – Taking Ransomware To The Low Level，MalwareBytes， April 2016.
　　[13] 李威， Petya勒索蠕虫完全分析报告[J]. 计算机与网络， 2017.43（14）：50-52
　　[14] 赵乾等， 新型计算机勒索病毒研究[J].无线互联科技，2018. 1： 26-27
转载注明来源:https://www.xzbu.com/8/view-15035376.htm