遼寧省無線電管理專網勒索病毒防護概述

摘 要 2019年8月，遼寧省部分城市的無線電管理專網終端發現疑似勒索病毒，這是近幾年無線電管理專網首次遭到勒索病毒攻擊。本文分析無線電管理專網了遭受病毒攻擊的原因以及有效提升專網病毒防御能力的方法。

關鍵詞 勒索病毒;病毒防護;防御能力

前言

2017年5月勒索病毒爆發，迅速感染全球計算機網絡，給全球造成難以彌補的損失。全國無線電管理專網（內網）也遭受勒索病毒的攻擊，導致部分省市的內部網絡中斷、重要數據丟失等嚴重后果。由于病毒本身特性以及排殺病毒的技術手段限制，病毒并未能完全徹底清除。

1勒索病毒簡介

伴隨著一種叫作“比特幣”的數字虛擬貨幣興起，“勒索病毒”也隨之而來。與一般計算機病毒類似，勒索病毒通過網絡以垃圾郵件、木馬軟件、服務器入侵等方式進行傳播。而與一般計算機病毒不同的是，一旦計算機感染病毒，其操作系統仍可以正常開啟，而此時的傳統防御手段沒辦法立即識別并處置，勒索病毒會使絕大多數文件被加密算法修改，致使用戶無法正常讀取文件，必須向黑客繳納一定數量的“比特幣”作為贖金，才能拿到解密秘鑰還原被加密文件。常見的勒索病毒有：① WannaCry勒索病毒，爆發于2017年5月，利用“永恒之藍”漏洞在Windows操作系統計算機間傳播，常見后綴wncry。②Crysis/Dharma勒索病毒，通過遠程網絡多以郵件形式植入用戶服務器進行攻擊，常見后綴一般以id+勒索郵箱+其他后綴。③Paradise勒索病毒，出現于2018年7月，計算機被感染后，文件名末尾會附加一個超長后綴，并在每個加密文件夾后附加勒索信件。④GlobeImposter勒索病毒，攻擊目標通常是開啟遠程桌面的服務器，通過暴力破解服務器密碼，對內網服務器掃描并進行投毒，常見后綴一般是動物名+4444。⑤Gandcrab勒索病毒，文件被該病毒感染后，其后綴被修改為.GDCB、.GRAB、

.KRAB 或5～10位隨機字母，并將感染主機桌面背景替換為勒索信息圖片。

勒索病毒多種多樣，其行為特征也千差萬別。與一般計算機病毒相比，其危害更大。一旦病毒文件進入內部網絡，就會自動運行，同時它會自動刪除勒索軟件樣本，以躲避殺毒軟件查殺和分析。勒索病毒具有蠕蟲特性，但其傳播速度更快、感染范圍更廣、攻擊行為更加隱蔽、防范難度更大，與一般計算機病毒相比其危害程度更深、造成損失更大[1]。

2現狀與防護漏洞

目前，從國家到各省以及省內到各地市的無線電管理專網已經廣泛應用。但國家與省、省與省之間以及省內各市的網絡安全管理水平有差距。網絡安全的概念存在“木桶理論”，即水桶能裝滿多少水，并不是取決于組成木桶的最長的木條，而是取決于木桶中最短的那根木條。

無線電管理專網是無線電行業內部搭建的與互聯網隔絕的專網，每個省市都有專門的管理部門或人員維護，即使這樣，勒索病毒也會乘虛而入。在實際情況中，大部分省市都能按照要求完成各個終端與服務器的漏洞補丁升級，并預留足夠的時間做大量維護預防工作。但這些僅僅是堆砌網絡防御設備，并不能提前部署安全防護手段。

3勒索病毒的基礎防范措施

在實際工作中消除無線電管理專網潛在安全隱患，防范勒索病毒攻擊，應將一些基礎措施“做在前”。許多計算機病毒（包括勒索病毒）的傳播，并不一定經過長時間且復雜的攻擊過程，往往是一封不經意的垃圾郵件或者一次違規使用未經安全檢測的存儲介質導致的，因此絕對不能忽視一些基礎防范措施。

3.1 增強網絡安全意識

除了利用漏洞和暴力破解外，最多感染勒索病毒的原因就是利用網頁掛馬、垃圾電子郵件以及惡意捆綁程序，所以日常網絡工作中應有以下安全意識：①不訪問不良信息網站，這些網站通常會引導訪客下載病毒文件或發動釣魚、掛馬攻擊;②面對陌生人發來的陌生郵件，謹慎對待，尤其是不能隨意下載郵件中的附件，不能隨意點開郵件中附加的鏈接;③不能隨意使用U盤、移動硬盤等移動存儲介質，使用前檢查其安全性;④不能輕易運行帶有bat、vbs、vbe、js、jse等腳本的文件以及exe執行程序。

3.2 增加服務口令強度

勒索病毒最常見的攻擊方式就是利用永恒之藍漏洞和爆破RDP（遠程桌面協議）服務弱口令。應對爆破RDP攻擊，應將系統以及各個應用的弱口令、空口令、統一重復口令全部修改，按照強口令要求，密碼長度不少于8個字符，且包含大小寫字母、數字、特殊符號等，密碼做到定期更換，避免多臺服務器共用同一密碼等。

3.3 及時修復系統漏洞

在微軟發布高危系統漏洞后，應盡快在微軟安全響應中心下載最新補丁，盡快修復系統存在的漏洞。如果不能及時關注響應這些漏洞信息，應借助計算機安全軟件完成漏洞修復。另外，計算機安全軟件也需要及時跟進版本更新，養成定期檢測、修復漏洞的習慣。

3.4 限制權限和端口管理

嚴格限制內網主機可進行訪問的網絡、主機范圍。嚴格限制各網絡區域以及服務器之間的訪問。采用白名單機制，只允許開放必要的端口，其他端口一律禁止訪問，僅限管理員IP對管理端口進行訪問，盡量關閉135、139、445、3389等端口，通過防火墻配置、安全軟件進行端口準入或隔離管理。

4感染勒索病毒后應對措施

如果一旦確認感染勒索病毒，及時啟動必要自救措施，防止病毒進一步擴散，進而造成更大損失。首先應立即隔離被感染主機，主要包括物理隔離和訪問控制兩種手段，物理隔離主要指斷網或斷電;訪問控制主要指對訪問網絡資源的權限進行嚴格的認證和控制。其次確定感染的范圍，應對感染主機所在局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等。

5結束語

2017年勒索病毒大范圍攻擊網絡至今，各種勒索病毒變種攻擊事情依舊層出不窮，以目前發展趨勢分析，勒索病毒威脅仍將繼續，它已經成為互聯網最嚴重的安全風險之一。在未來，無論是政府、企事業單位還是個人，都應該提高網絡安全意識，加大網絡安全方面的投入，提高網絡攻擊的預防、抵抗和應急處置能力。

參考文獻

[1] 李宇星.數據通信網絡維護與網絡安全問題分析[J].信息通信，2018，29（11）：275-276.

作者簡介

楊旭（1982-），男，遼寧省沈陽市人;學歷：本科，職稱：工程師，現就職單位：遼寧省無線電監測站，研究方向：網絡通信安全。