勒索病毒.docx
《勒索病毒.docx》由会员分享,可在线阅读,更多相关《勒索病毒.docx(14页珍藏版)》请在冰豆网上搜索。
勒索病毒
此文章为代写,不给钱
摘要
勒索病毒是近年来影响范围最广的病毒之一,此次事件不仅侵害了我国广大互联网用户,还在世界各地多个行业专网内蔓延,造成了不可估量的损失。
本文通过研究勒索病毒的原理及特征,着重分析勒索病毒对我国对数字货币的影响,找出用户被勒索病毒大规模攻击存在的问题,进而提出在网络系统安全、计算机安全教育和国家监管方面的应对策略,为研究勒索病毒提供参考。
首先,介绍了勒索病毒的研究背景;然后,对勒索病毒的特征、原理及危害进行了剖析;第三,通过对被勒索病毒攻击的原因研究,找出计算机用户在系统安全方面、数字货币管理及监管方面存在的问题;最后,针对这些问题,本文一一提出对应的解决策略。
【关键词】勒索病毒计算机安全数字货币网络安全
Abstract
Blackmailvirusisoneofthemostwidelyaffectedinrecentyears,thisincidentnotonlyinfringedonthevastnumberofinternetusersinChina,butalsointheworldoveranumberofindustry-specificnetworkspread,resultinginimmeasurablelosses.Bystudyingtheprincipleandcharacteristicsoftheblackmailvirus,thispaperanalyzestheeffectofextortionvirusonthedigitalcurrencyofourcountry,findsouttheproblemsexistinginthelarge-scaleattackoftheusers'extortionvirus,andthenputsforwardthecopingstrategiesinthenetworksystemsecurity,computersecurityeducationandnationalregulation,andprovidesareferenceforthestudyFirstly,thebackgroundandtheharmoftheblackmailvirusareintroduced,secondly,thecharacteristicsandtheprincipleoftheextortionvirusareanalyzed.Thirdly,throughtheresearchonthecausesoftheattackoftheextortionvirus,theauthorfindsouttheproblemsofthecomputerusersinthesystemsecurity,thedigitalmoneymanagementandthesupervision.Thispaperpresentsacorrespondingsolution.
[Keywords]Blackmailvirus;computersecurity;digitalMoney;Networksecurity
勒索病毒分析及其网络安全策略
第一章绪论
1.1研究背景
2017年5月,在整个全球范围内开始爆发一种勒索病毒,名称为“wannacry”此种病毒是一种类似于蠕虫式的运动,大小为三兆左右,这种病毒本身具有复制性、主动传播性等特点。
Wannacry以一种前所未有的速度进行传播,威力大、范围广。
在12日数小时内,该病毒攻击了至少上百个国家,导致了至少20万计算机主机感染,在诸多基础设备中,如能源建设、医疗设备、教育等等都受到了严重的安全性威胁。
在中国,部分校园也受到了病毒的侵害,并且这些被破坏的数据具有很大的安全性。
部分大型企业也因为数据的丢失而无法进行正常工作。
在6月,又出现了一波新的勒索病毒,被称作:
Petya。
攻击了英国、俄罗斯等多个欧洲国家,包括医院、银行在内的多家企业受到攻击。
病毒制造者使用国家安全局(美国国家安全局)的危险性“NealnalBlue”(蓝色)来传播它。
因此此次病毒也被诸多媒体定义为“永恒之蓝”。
病毒之所以会出现就是因为SMB中的部分服务出现了漏洞。
用户可以在互联网之后被感染,并且在整个过程中没有用户操作。
一旦电脑系统感染了病毒,就需要进行安全加密的算法保障计算机用户的安全。
这两种病毒都是计算机在受到病毒侵袭后,数秒的时间内,电脑的主界面都被病毒弹窗所覆盖,所有的资料文件均被锁住,被病毒攻击的电脑的受害者只能根据病毒弹窗的文字指示,进行数字货币支付操作,否则倒计时一到,电脑里的所有资料将极大可能被销毁。
今年以来,在所爆发的病毒中,敲诈病毒的发病率是最高的,360安全检测中指出,近半年时间内就检测出74种新型的病毒品种,有近四万个PE样本,超过一万个非PE文件。
至少超过580000个用户。
该国的计算机受到敲诈病毒的袭击,多达50多个计算机最终感染了勒索病毒。
平均而言,大约300家国内电脑受到讹诈。
由于在电脑系统中黑客组织时常存在,比特币成为敲诈勒索的主要犯罪主体。
所以,虚拟货币的存在本身由于流动性差、政府部门疏于管理而再度被人们所提及。
在我国的数字监管市场中,敲诈勒索病毒成为我国必须要整治的重要方面。
1.3研究内容
第一部分为绪论:
简单介绍了勒索病毒发生的背景、勒索病毒对各行各业造成的危害。
第二部分为过渡:
要介绍勒索病毒的特点以及该病毒的传播原理。
第三、四部分为正文:
首先,阐述了勒索病毒攻击的系统安全问题;其次,着重分析数字货币的相关问题;再次,针对监管提出质疑和问题;最后,为上述问题逐一提出建设性的建议。
第二章勒索病毒的特征、原理分析及危害
2.1特征分析
1传播速度更快、传播范围更广
敲诈勒索病毒的文件大小为3.3米左右,大约可以在二十八种语言环境里进行,进而成为全世界攻击的目标,借助电脑系统中大约四百五十个端口进行传播。
倘若计算机系统被感染了该类病毒,那么整个网络中的电脑系统都会受到它的共计,导致电脑系统的受侵害数量不断增加。
系统遭到侵害以后,用户文件的安全性受到威胁,计算机不能大量使用。
计算机系统在被病毒感染以后依然可以浏览相关网页,安装的软件可以正常性使用,这也就是为什么病毒系统可以传播更快、扩展更广的原因。
根据卡巴斯基的统计,在世界上的第一个十几小时内,超过74个国家受到了超过4万5000台计算机的攻击,这是一场全球性的网络灾难。
根据最新的360安全情报回报,全国大约有两万余个机构被“永恒之蓝”病毒侵袭过,覆盖范围达到全国。
2全程自动化、攻击行为更隐蔽
不同于一般病毒在钓鱼邮件和网络恶意广告的方式,借助一般性的网络进行病毒的传递。
当系统被病毒感染以后,便会开启正常的操作系统,传统的保护手段没办法对电脑病毒进行识别。
同时,如果电脑没有任何操作,敲诈勒索病毒就会通过扫描文件的形式进行恶意程序的植入。
如果没有在规定时间内对系统进行更新和操作,主机很容易就被感染。
当计算机系统的主机被感染了病毒以后,它也将会通过端口进行攻击,包括很多用户在同时访问的网页都会受到大面积的侵袭。
3感染无法补救、危害程度深
与一般病毒不同,勒索病毒在传递过程中使用RSA和AES等加密方式,它会将电脑系统中的图片、音频、压缩包等各种文件进行保密性的措施,用户一旦感染了某种病毒,基本上就是无法解决的难题。
即便使用了杀毒软件,进行病毒的升级和改造,并将勒索病毒彻底清除,也没办法将用户的数据进行重新加密,数据已经被锁定,即为丢失状态,大部分的企业也因为数据丢失的问题也无法进行工作,带来重大损失。
某种定性思维如“隔离网内是安全的”这种想法是错误的。
此次勒索病毒的传播已经涉及到了校园、企业、政府机构等,这些机构都设置了隔离内网的措施,但是仍然有很多用户受到病毒的侵袭,这主要是因为在整个网络内部存在很多不足和漏洞,内部容易受到侵害,占据更大更重要的数据信息,因此在受到病毒危害之后也会有很大的损失。
2.2原理分析
勒索病毒利用“永恒之蓝(EternalBlue)”SMB漏洞攻击工具,穿透网络边界进入内部网络区域对目标主机进行端口扫描,目标主机被成功攻陷后会从攻击机下载WannaCry木马进行感染,木马母体为mssecsvc.exe,系统在运作过程中会随着IP的改变而改变,也会扫描局域网相同网段的机器进行感染传播,此外还会释放敲诈者编制的程序tasksche.exe,要不断对磁盘文件进行加密保护。
病毒的传播过程下图所示。
图1勒索病毒攻击流程图
(1)初始判定。
勒索病毒在互联网的系统中有一个开关控制,这样可以控制病毒进行再次传播,如果本地的计算机可以访问网址,这就说明病毒得到了控制,不再进行二次传播。
(2)创建服务。
创建名为MicrosoftSecurityCenter(2.0)Service(mssecsvc2.0)的新服务,对应执行文件病毒母体mssecsvc.exe。
通过创建服务启动,且每次开机都会自启动。
(3)尝试传播。
勒索病毒本身体内可以提取出漏洞的代码,即MS17-010,可以进行线性的传播,进行内外网的扫描,开始一种蠕虫形式的传播。
(4)攻击感染。
如果端口是完整的,那么该地址就会受到漏洞的攻击,获取到445端口的具体信息,执行漏洞代码的服务,之后可以将病毒植入到相应的目标机中,进行一种传播的扩散。
(5)文件加密。
将敲诈者编制的程序进行解压,将其大量的文件和模块进行清理释放大量空间,要避开系统根目录,同时对文件中的如音视频、图片、压缩包等进行加密处理。
在整个电脑系统中要加入公钥,用来安全性防护。
一个月从来配对,进而对加密的文件进行解密。
另一个是真正的加密公钥,使用不同的方式对文件进行加密,借助RSA算法随机进行密钥设置,将文件进行导入,并重新保存为不同拓展名的文件。
保证每一个文件都有一个密钥,原则上是不能轻易破解的。
(6)清理文件。
借助新的线性程序,运行新的文件,其他类型的文件则随机进行删除,防止数据在短时间内进行恢复。
(7)启动勒索。
创建进程@WanaDecryptor@.exe,文件进行统一加密以后要释放说明性的文字,接下来会弹出一个勒索页面。
将程序设置启动以后,程序会自动进行运作。
2.3勒索病毒的危害
敲诈病毒在我国的很多部门都造成了威胁,如大学、移动电信部门、银行、政府行政部门、企业等等。
这些部门都遭受了敲诈病毒不同程度的损害,受害者成为黑客的新目标,黑客要求其交出三百美金进行文件的赎回,便于文件进行解密,并以一些手段进行威胁。
在病毒入侵的过程中,病毒的侵害已经对个人资料、企业数据、生产流程等产生了不同程度的损害。
1生产暂停,管理停滞
病毒在入侵各个系统之后,整个行业内部都开始第一步进行预防和防护,防止所有计算机的网络连接,切断网络电缆,关闭客户端,SERVER停止服务。
很多大型企业早遭遇了病毒的侵害以后,由于所受病毒危害极深,整个服务器受到严重损伤,无法正常运作,行业内部的数据库严重瘫痪,系统无法正常运作。
公司内部的IT技术人员开始连夜对系统问题进行排查,包括病毒的检测、排查、病毒扫描、补丁升级等等,耗费了大量的人力、财力、物力。
很多受到病毒侵袭的企业都在等着IT技术人员进行补救,银行因为ATM机受到侵害而无法提取现金,加油站也因为系统瘫痪无法进行加油服务,网站受到侵袭无法进行数据的传输和收集。
2攻击中数据资源的丢失
数据丢失会让一些临近毕业的学生设计由于方法欠缺无法进行解锁,只能重新进行设计,一些用户也因为病毒的入侵而导致大量的重要数据丢失。
而无法恢复,不得不重新进行。
根据受到病毒侵袭后的数据来看,大部分企业的生产服务系统受到侵害,数据信息丢失,该公司该年的营业额也会受到冲击。
数据资源是各个行业和部门的关键密码,也是企业能够顺利发展的重要前提,如果数据信息遗漏或者被盗,那么后果将会是不可估量的,损失巨大,后果不堪设想。
3严重的经济损失
另一方面,企业的管理和生产到位,是一种收益的表现,但是生产一旦遭到中途停滞,则会对企业造成大量损失,甚至对中国企业造成巨大损害,导致国企产量停滞不前。
另一方面,很多病毒在入侵以后会造成各种设备处于一种报废状态,需要买其他的产品进行替换,当然很多企业在这种情况下就需要大量购买电脑系统和设备,需要重新进行换代升级。
企业发展过程中SE就是一项巨大的资金支出,数据信息给企业带来巨大收益,因为加密锁是无法轻易破解的,可以减少对企业造成的一种损害。
很多倍病毒入侵的个人电脑资源,即便支付了赎金进行数据的恢复,往往效果也不佳,还会对个人经济造成一定的损害。
第三章勒索病毒的危害分析
3.1终端系统安全问题
3.1.1计算机用户无良好操作习惯,网络安全意识低,平时不注重数据备份管理
据调查,大部分计算机都是在受到病毒的侵害之后第一时间收到侵袭,主要原因就就是因为在平时的上班时间没有一种良好的操作习惯,安全意识较低,长期不挂电脑、不切断电脑造成的一种不良习惯。
另一点还是因为缺乏对计算机系统的一种认知,市场忽略一些系统补丁,漏洞无法及时进行修复。
第三点是因为用户对数据的疏忽,平时没有对数据进行管理和备份的习惯,导致一些重要数据丢失。
在“永恒之蓝、Onion”病毒攻击事件中,部分被感染用户就因为没有备份数据而无法找回重要的生产资料和数据。
3.1.2计算机网络结构不完善、安全漏洞多,防护手段差、抗风险能力弱
从本次安全事件的爆发波及范围广,造成危害大,涉及行业企业多,透露出我国国内众多行业、企业的计算机网络安全仍然面临高风险,仍然处于无法保障的尴尬困境。
就其根源分析,我国多数行业和企业的计算机网络的安全防护手段少、差、弱且落后。
一是国内多数行业和企业大量使用盗版操作系统,而且版本多样,功能阉割严重,漏洞百出,这些联网的计算机漏洞多、风险高,尤其是致命的漏洞,一旦感染病毒将会给用户、网络造成严重破坏和损失;二是国内的大部分企业都没有一个良好的计算机保护意识,缺乏对互联网知识的了解,没有及时将互联网安全知识宣传到位,极少注重互联网的修复,设备版本较低,防护手段不到位;三是从公布的被攻击案例,有的企业或行业的大型服务器受到“永恒之蓝、Onion”攻击,生产信息数据、成果数据严重受损无法恢复,造成了无法估量的损失,这些企业或行业均属于在开发自己的应用系统中不合理配置安全基线,不做安全防护体系,没有安全有效的数据和备份机制,抗风险能力弱,面对“永恒之蓝、Onion”的攻击根本无任何抵御能力;四是数据风险意识差,备份机制不完善或根本没有备份机制和灾备系统,有的只做热备份没有冷部分,有的只做同地或异地网络备份,不做介质备份,此次攻击风暴中,数据库服务器在被“永恒之蓝、Onion”攻击的同时,处于同一网络的同机备份数据和网络异地备份数据同样被感染、被加密,均无法恢复,假如这些企业或行业有异地介质备份,何至于在次风暴中如此的被动局促和手忙脚乱。
3.1.3设备老化,管理不到位,未及时更新换代,大量使用盗版系统、盗版软件
一是部分企业内部的服务器设备版本较低,线路开始老化,大部分机器都是带病上岗,本该进行更新换代,却因为成本的问题,而依然采取视而不见的态度,不进行设备的升级和更换。
当病毒入侵以后,开始着手升级,但一时之下由于版本的不同、兼容性不相符而无法进行设备的更换。
二是目前企业内部使用的设备在管理上存在漏洞,长期不检查、不更换、不进行病毒的扫描和检测,补丁也不管不顾,这就容易在短期内出现诸多漏洞,风险承受能力减弱。
三是大部分用户还在使用XP和2003以及以下的版本,但是微软公司已经很早之前就停止对该类系统的检测和补丁更新,这些系统的用户于是在长期都保持一种面临病毒侵害的高风险。
2017年4月微软公司发表有关漏洞查处更新的通知,但这种更新只能是WIN7以上的系统。
四是我国还存在着大量使用盗版系统的现象,难免会存在很多高风险、高漏洞的情况。
3.2大数据下追查难度大
3.2.1比特币匿名性、去中心化,使得交易追查难度大
在“勒索病毒”事件中,黑客之所以要求受害者支付比特币,原因在于比特币目前仍缺乏有效的监管,变相地为不法分子获取非法利益提供了“免受审查”的便利。
首先,比特币具有一定的匿名性,黑客“完美”地避开了监管部门通过银行卡交易记录追踪每笔资金来龙去脉的可能,较好地隐藏了其身份。
其次,比特币不受地域限制,黑客获得比特币后,可以在国外交易平台上卖出,再以美元取出,几分钟就可以在全球范围内完成资产转移。
再次,比特币具有去中心化的特点,凭借网络的技术支持,比特币的制造和发行都不以对中央发行机构的信任为基础,使得黑客可以通过程序自动处理受害者支付的赎金。
最后,相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以成为黑客的选择。
3.2.2总数量固定,短期内风险
事件使得比特币价格大幅波动比特币的数量可以说是固定的,如今投资的风潮越来越大,很多投资者数量规模扩大,价值也在不断提升。
自2017年4月开始,在中国比特币的数量开始逐步上升,发展势头迅猛。
截止到5月9日,我国比特币的价格已经超过九千元人民币,最高涨幅超10%,成为国内比特币新的增长极。
当月14日,比特币价格达12000元人民币,突破年涨幅达300%。
比特币的来源渠道特殊,就当前而言,很多都是一种投机性的概率问题,价值没有一个上限可言。
所以,一旦这种价格出现了波动,那么比特币就会对现存的货币金融市场产生一定的影响。
3.2.3比特币支付范围扩大
一旦在比特币市场发生了风险,这种影响将会是大范围的、严重性的。
从全世界来看,比特币逐步受到市场和人们的认可,支付手段多样、范围扩大。
就当前来看,世界范围内比特币支付量最大的国家为日本和美国,分别占46%和26%。
2017年4月,日本正式签署支付新方案,并于当月立即生效,比特币成为日本政府的主要支付手段。
同年5月,美证监会也认可了比特币的身份,成为证券交易所的一种交易资金。
同年5月15日,美证监会接受公众的评论和认可。
但是至今并没有明确的时间可以知晓。
假使比特币上市申请获得批准,那么比特币ETF将会成为一种合法的资产,并且有着明确的合法地位。
对于大部分比特币市场而言,投资的大部分用户将会达到一个新的层级,并且可以进一步吸引资金。
但是这从另一个方面也说明,勒索病毒一旦发生,将会产生大范围的风险,对于全球的经济和金融环境造成不可弥补的损失。
3.3监管方面不完善
这些勒索事件把比特币这一具有强烈金融科技属性的民间电子货币推向风口浪尖,也引起了大家对电子货币监管的再度热议。
WannaCry勒索病毒攻击用户并勒索比特币,为什么是比特币?
因为它的特点是分散、匿名、只能在数字世界使用,不属于任何国家和金融机构,缺乏监管,并且不受地域限制,可以在世界上的任何地方兑换它,完全符合黑客的勒索、洗钱的需求。
除了缺乏监管,比特币另一大缺点是价值不稳定。
比特币价格7年增长超过270万倍。
仅今年5个月上涨就超过100%,而有时候又能一夜腰斩。
暴涨暴跌是比特币的常态。
数字货币交易平台的监管缺失会带来系统风险,利用其进行洗钱更会带来公共安全隐患。
一些国家对比特币采取了严厉禁止的态度,如俄罗斯、厄瓜多尔、玻利维亚等。
第四章针对性的解决措施
4.1加强系统安全性
4.1.1加强计算机网络安全教育
要不断进行网络安全知识的普及,提升计算机用户对于网络侵害的认识和关注水平,并结合“wannacry”、“petya”等计算机网络病毒感染的实际案例,从中总结经验。
信息泄露、信息破坏及拒绝服务等问题的出现,均会给用户带来一定的损失,影响其正常工作,需要针对问题的产生原因和影响因素,采取有效的对策予以解决。
在互联网安全知识的普及之下,用户可以更加清楚地认识到如何更好地了解防治各种计算机病毒,可以在计算机系统中安装所需的杀毒软件,不使用盗版系统,多使用正版系统,要及时对电脑系统中的硬盘进行保护,不使用软盘启动。
此外,用户要时刻保持一种戒备心,警惕一些未知来源的文件,只有在确保无风险以后,再对其进行使用。
作为计算机用户,要时刻保持一种良好的使用习惯和操作习惯。
计算机运作的系统要注意防潮和防尘,进行互联网网页界面浏览时,用户要及时鉴别各种不良信息,防止信息泄露,协同打击违法犯罪的不良网络团体。
4.1.2计算机网络的安全保护
要加强计算机系统的防护,不断构建安全合理的体系,加强计算机系统的防御能力。
计算机网络要设置访问权限,得到组织许可一周均可以进行网络的访问,利用好防火墙设置,进行信息的传递,要保持一种警惕心态,识别各种钓鱼性网站,及时处理各种漏洞,防止计算机系统受到危害。
该过程中,要对网络的进出操作进行实时监督和记录。
当计算机网络遭受攻击时,能够快速采取切断性操作,降低网络攻击的危害性。
设置预警机制,及时做出诊断和报告,并准备好有效的防御。
设置信息交换系统及物理操作隔离,分离内外部信息,便于检测和杀毒工作的开展与进行,提高安全风险的管控力度。
要从多方面进行综合、全面保护,在计算机病毒的预防方面,要不断加强计算机的网络体系建设,不断提升计算机网络安全保护机制能力。
4.1.3完善计算机网络体系
借助先进的互联网手段,对计算机网络体系建设进行完善,促进计算机的运作功能,提升其运行的稳定能力,防止出现不必要的漏洞,提升预防能力。
要加强互联网的安全建设,完善安全体系,营造一个良好和谐的网络环境。
对于计算机的构造要了解清楚,借助TCP\网络层、传输层等进行各方面的研究和分析。
不断改进信息技术,完善线路建设,区分各种不同的网络线路。
对于可能会面临的风险核威胁要及时进行防控,进行规避和防止,减少计算机感染的风险。
要设置各种信息权限,对于各种风险做好分类,做好计算机的严格风险防控。
计算机网络系统的不断完善,能够对各种风险进行降低和预防,这是互联网在建立中的基本前提。
要完善和建造一个良好的运作环境和系统,不断提升计算机应对各种风险的抵御能力,提升服务效率。
计算机在运作的过程中,发生意外的几率很小,借助数据的恢复作用,进行数据的再造和完善,不断确保信息系统中数据的完整性和安全性。
4.2针对大数据安全,强化交易管理
4.2.1强化数字货币账户实名制,构建交易的可追溯性
“勒索病毒”事件利用了比特币去中心化的特点,如果执法机构不具备相应的技术能力,就无法对该事件展开调查。
因此,建议将中国的数字货币基于账户管理并分层应用,可以与个人Ⅱ、Ⅲ类账户建立一定的关联关系,依托银行机构的账户体系构建数字货币的发行与赎回机制,提高其实名认证的能力及交易可追溯性,防止被不法分子利用。
4.2.2强化交易场所管理,推进数字货币跨国使用
数字货币交易所是数字货币交易的重要应用场所,应当强化对其的管理。
建议参考《法案》中关于数字货币交易所的管理规定对其进行监管。
《法案》明确规定数字货币交易所必须拥有最低1000万日元的资产以及足以防盗和防损的IT系统。
因此,建议我国对数字货币交易所设立最低资金标准,提高其准入门槛。
同时《法案》规定必须建立诸如员工培训、内部规则、管理体制和指导外包的系统和流程,以加强数字货币交易所的登记管理。
因此,建议我国政府强化对数字货币交易所的管控权,加强对交易所的审计,建立定期报告制度,出台异常交易监测规范。
此外,目前不同国家针对数字货币的相关法律不一致
升级会员 