北京时间2017年5月12日晚上22点30分左右,全英国上下16家医院遭到突然的网络攻击,医院的内部网络被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎全部瘫痪,随后一场席卷全球的网络病毒大流行就此展开,它就是我们今天要介绍的主人公,勒索病毒WannaCry。
勒索病毒来袭
勒索病毒是什么?
勒索病毒
勒索病毒本身并不是什么新概念,历史上也不是第一次出现。早在1989年,由约瑟夫·波普(Joseph Popp)编写的命名为“艾滋病特洛伊木马(AIDS Trojan)”的恶意软件Ransomware就是一款出名的勒索软件,这款软件的出名不是因为它成功勒索了巨大财富,而是因为由于设计缺陷,受害者无需支付赎金就可以完成解密,可谓勒索病毒史上的最具耻辱性的一幕。
勒索病毒本质上是利用恶意代码干扰被攻击用户正常使用系统或数据资源,除非用户支付赎金才能恢复正常使用。
勒索病毒原理勒索病毒主要使用加密文件和收费解密的勒索模式。
RSA算法过程
勒索病毒的加密原理大多基于RSA加密算法。RSA公钥加密算法是一种非对称加密算法,主要由三类子过程算法组成:KeyGen密钥生成算法、Encrypt加密算法以及Decrypt解密算法。RSA算法过程需要一对密钥,分别是公钥和私钥,通过公钥对内容进行加密,通过私钥对公钥加密的内容进行解密。但由于非对称算法的特点,即使攻击者拿到了加密用的公钥,也无法通过公钥进行解密。
勒索病毒如何工作呢?请看下图及介绍。
勒索病毒原理图
以本次WannaCrypt勒索病毒为例,黑客使用2048位密钥长度的RSA非对称加密算法对计算机上的各类用户内容进行加密处理。通过系统随机生产AES密钥,进而使用AES-128-CBC方法对文件进行加密处理,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入最终的.WNCRY文件里。最终的解密的私钥只有攻击者手中有,而后攻击者通过强制电脑显示违规图片、威胁受害者散布浏览记录、使用虚假信息要挟等形式,对受害者进行勒索。
有些小伙伴可能要问,咱们不可以用暴力破解吗?以现有计算机的算力,就算是银河二号这类超级计算机也要花费大约60万年时间破解,当然如果量子计算机研究出来,或许只要数小时,但如果是企业中招,那些影响企业发展的数据或系统被加密,那么受害者也只能就范,交付赎金解密。
勒索病毒影响几何?
勒索病毒危害
勒索病毒借助“永恒之蓝”高危漏洞(MS17-010)传播,在爆发后的数小时内,影响将近150个国家,一些政府机关、学校、医院、银行等电脑屏幕都被该病毒血洗,变成红色的加密界面,多个国家的重要信息基础设施遭受前所未有的破坏。每年因勒索病毒造成的经济损失高达数百亿美元,勒索病毒的变种逐年增多,防御难度加大,最有名的勒索病毒家族成员Sodinokibi,GlobelmPoster,Dharma,Phobos,Nemty以其特有的攻击方式,攻击成功率较高。
勒索病毒如何防护?勒索病毒通常通过网页挂马、邮件、漏洞、软件捆绑、介质等途径传播。
勒索病毒传播示意图
在日常工作中,针对勒索病毒的防护主要需要做到以下几点:
对于重要数据、文件定期做好多机多介质备份;经常对操作系统和应用软件进行漏洞扫描,对发现的漏洞及时打补丁或做系统加固;定期使用专业的正版杀毒软件,进行全面的病毒查杀扫描,扫描前务必升级病毒库,以求达到最好的扫描效果;在使用U盘、移动硬盘、光盘等存储介质时,务必禁用电脑的自动运行;不打开来路不明的各类存储介质、电子邮件、文件、网站链接;加强口令管理。针对不同的终端设备,使用不同的口令, 口令应使用包括大小写字母、数字、特殊字符混合的高复杂度密码,长度至少8位以上,避免使用弱口令;不安装网上随机下载的盗版软件、非法破解软件及各类激活工具,避免捆绑攻击;在遭遇勒索病毒时,务必将相关设备的网络立即切断,避免网内横向扩散;加强员工网络安全意识建设。