摘 要 2019年8月，遼寧省部分城市的無線電管理專網(wǎng)終端發(fā)現(xiàn)疑似勒索病毒，這是近幾年無線電管理專網(wǎng)首次遭到勒索病毒攻擊。本文分析無線電管理專網(wǎng)了遭受病毒攻擊的原因以及有效提升專網(wǎng)病毒防御能力的方法。

關(guān)鍵詞 勒索病毒;病毒防護;防御能力

前言

2017年5月勒索病毒爆發(fā)，迅速感染全球計算機網(wǎng)絡(luò)，給全球造成難以彌補的損失。全國無線電管理專網(wǎng)（內(nèi)網(wǎng)）也遭受勒索病毒的攻擊，導(dǎo)致部分省市的內(nèi)部網(wǎng)絡(luò)中斷、重要數(shù)據(jù)丟失等嚴重后果。由于病毒本身特性以及排殺病毒的技術(shù)手段限制，病毒并未能完全徹底清除。

1勒索病毒簡介

伴隨著一種叫作“比特幣”的數(shù)字虛擬貨幣興起，“勒索病毒”也隨之而來。與一般計算機病毒類似，勒索病毒通過網(wǎng)絡(luò)以垃圾郵件、木馬軟件、服務(wù)器入侵等方式進行傳播。而與一般計算機病毒不同的是，一旦計算機感染病毒，其操作系統(tǒng)仍可以正常開啟，而此時的傳統(tǒng)防御手段沒辦法立即識別并處置，勒索病毒會使絕大多數(shù)文件被加密算法修改，致使用戶無法正常讀取文件，必須向黑客繳納一定數(shù)量的“比特幣”作為贖金，才能拿到解密秘鑰還原被加密文件。常見的勒索病毒有：① WannaCry勒索病毒，爆發(fā)于2017年5月，利用“永恒之藍”漏洞在Windows操作系統(tǒng)計算機間傳播，常見后綴wncry。②Crysis/Dharma勒索病毒，通過遠程網(wǎng)絡(luò)多以郵件形式植入用戶服務(wù)器進行攻擊，常見后綴一般以id+勒索郵箱+其他后綴。③Paradise勒索病毒，出現(xiàn)于2018年7月，計算機被感染后，文件名末尾會附加一個超長后綴，并在每個加密文件夾后附加勒索信件。④GlobeImposter勒索病毒，攻擊目標通常是開啟遠程桌面的服務(wù)器，通過暴力破解服務(wù)器密碼，對內(nèi)網(wǎng)服務(wù)器掃描并進行投毒，常見后綴一般是動物名+4444。⑤Gandcrab勒索病毒，文件被該病毒感染后，其后綴被修改為.GDCB、.GRAB、

.KRAB 或5～10位隨機字母，并將感染主機桌面背景替換為勒索信息圖片。

勒索病毒多種多樣，其行為特征也千差萬別。與一般計算機病毒相比，其危害更大。一旦病毒文件進入內(nèi)部網(wǎng)絡(luò)，就會自動運行，同時它會自動刪除勒索軟件樣本，以躲避殺毒軟件查殺和分析。勒索病毒具有蠕蟲特性，但其傳播速度更快、感染范圍更廣、攻擊行為更加隱蔽、防范難度更大，與一般計算機病毒相比其危害程度更深、造成損失更大[1]。

2現(xiàn)狀與防護漏洞

目前，從國家到各省以及省內(nèi)到各地市的無線電管理專網(wǎng)已經(jīng)廣泛應(yīng)用。但國家與省、省與省之間以及省內(nèi)各市的網(wǎng)絡(luò)安全管理水平有差距。網(wǎng)絡(luò)安全的概念存在“木桶理論”，即水桶能裝滿多少水，并不是取決于組成木桶的最長的木條，而是取決于木桶中最短的那根木條。

無線電管理專網(wǎng)是無線電行業(yè)內(nèi)部搭建的與互聯(lián)網(wǎng)隔絕的專網(wǎng)，每個省市都有專門的管理部門或人員維護，即使這樣，勒索病毒也會乘虛而入。在實際情況中，大部分省市都能按照要求完成各個終端與服務(wù)器的漏洞補丁升級，并預(yù)留足夠的時間做大量維護預(yù)防工作。但這些僅僅是堆砌網(wǎng)絡(luò)防御設(shè)備，并不能提前部署安全防護手段。

3勒索病毒的基礎(chǔ)防范措施

在實際工作中消除無線電管理專網(wǎng)潛在安全隱患，防范勒索病毒攻擊，應(yīng)將一些基礎(chǔ)措施“做在前”。許多計算機病毒（包括勒索病毒）的傳播，并不一定經(jīng)過長時間且復(fù)雜的攻擊過程，往往是一封不經(jīng)意的垃圾郵件或者一次違規(guī)使用未經(jīng)安全檢測的存儲介質(zhì)導(dǎo)致的，因此絕對不能忽視一些基礎(chǔ)防范措施。

3.1 增強網(wǎng)絡(luò)安全意識

除了利用漏洞和暴力破解外，最多感染勒索病毒的原因就是利用網(wǎng)頁掛馬、垃圾電子郵件以及惡意捆綁程序，所以日常網(wǎng)絡(luò)工作中應(yīng)有以下安全意識：①不訪問不良信息網(wǎng)站，這些網(wǎng)站通常會引導(dǎo)訪客下載病毒文件或發(fā)動釣魚、掛馬攻擊;②面對陌生人發(fā)來的陌生郵件，謹慎對待，尤其是不能隨意下載郵件中的附件，不能隨意點開郵件中附加的鏈接;③不能隨意使用U盤、移動硬盤等移動存儲介質(zhì)，使用前檢查其安全性;④不能輕易運行帶有bat、vbs、vbe、js、jse等腳本的文件以及exe執(zhí)行程序。

3.2 增加服務(wù)口令強度

勒索病毒最常見的攻擊方式就是利用永恒之藍漏洞和爆破RDP（遠程桌面協(xié)議）服務(wù)弱口令。應(yīng)對爆破RDP攻擊，應(yīng)將系統(tǒng)以及各個應(yīng)用的弱口令、空口令、統(tǒng)一重復(fù)口令全部修改，按照強口令要求，密碼長度不少于8個字符，且包含大小寫字母、數(shù)字、特殊符號等，密碼做到定期更換，避免多臺服務(wù)器共用同一密碼等。

3.3 及時修復(fù)系統(tǒng)漏洞

在微軟發(fā)布高危系統(tǒng)漏洞后，應(yīng)盡快在微軟安全響應(yīng)中心下載最新補丁，盡快修復(fù)系統(tǒng)存在的漏洞。如果不能及時關(guān)注響應(yīng)這些漏洞信息，應(yīng)借助計算機安全軟件完成漏洞修復(fù)。另外，計算機安全軟件也需要及時跟進版本更新，養(yǎng)成定期檢測、修復(fù)漏洞的習慣。

3.4 限制權(quán)限和端口管理

嚴格限制內(nèi)網(wǎng)主機可進行訪問的網(wǎng)絡(luò)、主機范圍。嚴格限制各網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問。采用白名單機制，只允許開放必要的端口，其他端口一律禁止訪問，僅限管理員IP對管理端口進行訪問，盡量關(guān)閉135、139、445、3389等端口，通過防火墻配置、安全軟件進行端口準入或隔離管理。

4感染勒索病毒后應(yīng)對措施

如果一旦確認感染勒索病毒，及時啟動必要自救措施，防止病毒進一步擴散，進而造成更大損失。首先應(yīng)立即隔離被感染主機，主要包括物理隔離和訪問控制兩種手段，物理隔離主要指斷網(wǎng)或斷電;訪問控制主要指對訪問網(wǎng)絡(luò)資源的權(quán)限進行嚴格的認證和控制。其次確定感染的范圍，應(yīng)對感染主機所在局域網(wǎng)內(nèi)的其他機器進行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等。

5結(jié)束語

2017年勒索病毒大范圍攻擊網(wǎng)絡(luò)至今，各種勒索病毒變種攻擊事情依舊層出不窮，以目前發(fā)展趨勢分析，勒索病毒威脅仍將繼續(xù)，它已經(jīng)成為互聯(lián)網(wǎng)最嚴重的安全風險之一。在未來，無論是政府、企事業(yè)單位還是個人，都應(yīng)該提高網(wǎng)絡(luò)安全意識，加大網(wǎng)絡(luò)安全方面的投入，提高網(wǎng)絡(luò)攻擊的預(yù)防、抵抗和應(yīng)急處置能力。

參考文獻

[1] 李宇星.數(shù)據(jù)通信網(wǎng)絡(luò)維護與網(wǎng)絡(luò)安全問題分析[J].信息通信，2018，29（11）：275-276.

作者簡介

楊旭（1982-），男，遼寧省沈陽市人;學歷：本科，職稱：工程師，現(xiàn)就職單位：遼寧省無線電監(jiān)測站，研究方向：網(wǎng)絡(luò)通信安全。