2024年2月13日发(作者：牵雪绿)

计算机网络安全与勒索病毒应对策略

作者：蔡琴

来源：《无线互联科技》2022年第12期

摘要： 云计算数据平台虽然为用户提供了大量数据信息，但当数据安全性受到威胁时，将会带来很大的损失。文章介绍了勒索病毒“WannaCry”的传播特点、传播方式和危害性，分析了它的攻击方式和流程，探讨了数据平台的防护方法及安全措施。通过增强整体计算机网络防护体系，并加强内网的防护安全，避免病毒感染和攻击，最终维护好数据安全。

关键词：云计算;勒索病毒;计算机安全;系统防护

0引言

云计算数据平台虽然为用户提供了更多数据资源，但在黑客攻击时，将会带来严重后果。云计算环境的数据平台有数据容量大、数据类型多、数据价值密度低的特点，数据保密和安全尤为重要[1]。现有的数据安全识别技术还无法抵挡黑客的攻击，用户安全意识低，无意间浏览非法网站、钓鱼网站，这些都给计算机安全防护工作带来困难。计算机网络系统的漏洞，给别有用心的黑客带来可乘之机，最终使计算机安全得不到相应的保障。在大数据时代，如果数据一旦受到病毒攻击，用户的数据会被窃取，破坏正常的网络环境。计算机管理者需要建立有效的防御机制，做好安全保障工作，避免造成严重的网络安全事件。

1云计算数据平台的病毒防护

历史上出现的一次次病毒攻击，说明了防御病毒之路任重而道远。安全防护体系的建立非常关键，病毒的防范三分靠技术，七分靠管理[2]。

1.1建立必要的黑客防御机制

黑客攻击属于人为操作、恶意攻击，是以获利或危害社会为目的的网络安全问题。对社会危害较大，黑客掌握较高计算机技术，有很强的操作能力，还能洞悉操作系统的各种安全漏洞，令人防不胜防。所以，需要建立黑客防御机制，解析黑客攻击的技术要点，对黑客的入侵方式和入侵企图进行分析，提高反入侵对抗的技术，找出黑客入侵时系统的安全问题，只有对黑客攻击技术达到一个新的认识，才能构建一个对系统有力保障的防护体系。

1.2加强对用户网络安全培训

为了尽可能地避免计算机网络安全问题，加强对用户的网络安全意识的宣传，提高用户的安全防范能力，引导用户定时修补系统漏洞、定期查杀。提高专业技术人员网络行为规范，有效解决用户的技术困扰，减少因使用不当造成的系统隐患，避免系统受到攻击，为整个计算机网络体系统提供安全保障。

1.3加强系统的监管和提高病毒防范机制

加强系统的监管和网络安全防范力度，根据病毒的特点和传播方式来建立病毒预警机制，引入入侵检测管理技术，加强数据入侵管理，进行数据流量监测，经常对关键信息进行数据分析和收集，如果出现非法操作，立即用合理手段进行干预。在病毒防范过程中，技术人员也要严格根据安全管理模式进行日常操作和管理，及时更新病毒特征库，建立完整的计算机网络杀毒系统。

2勒索病毒的传播特点

勒索病毒是一种新型电脑病毒，是病毒程序和勒索程序相结合的结果。主要采取网络钓鱼、垃圾邮件、恶意软件植入、恶意捆绑正常软件、移动存储介质、内网摆渡等形式在网络上进行传播。网络用户在访问这些网页时，下载了被伪装成正常程序的病毒，在系统里安装，传播方式狡猾且隐蔽，先感染服务器，然后通过共享方式在局域网里继续传播，可以导致170多种扩展名文件都被加密，加密算法不易破解，受害者不能再进入系统，只能通过暗网链接付费后，拿到破解密钥才能恢复重要文件，性质恶劣，给用户带来了严重的后果和损失。

2.1勒索病毒隐蔽性更强

勒索病毒隐蔽于第三方应用，利用用户对第三方应用服务的完全信任，传播病毒。病毒隐蔽于微信、QQ、电子邮件、HTML页面等，借助比特币电子货币、洋葱网络等匿名通信技术劫持受害者。病毒以程序代码或隐含文件的形式存于程序中，只有经过程序代碼分析，对代码字节一一分析才能检查出来。

2.2勒索病毒的传染性更强

勒索病毒的传播有局域网和跨网传播两种传播途径，在局域网中生成含整个局域网的网段表，然后依次攻击，直到感染全部有价值的文件。跨网传播则生成随机IP地址，发送攻击代码，利用有些防火墙和路由器没有实施安全策略部署，利用防火墙漏洞，通过无线管理网络，进行跨网段、跨省攻击。

2.3勒索病毒的攻击手段更多样

利用蠕虫病毒的特征，实现全程自动化攻击，使用U盘蠕虫、WEB挂马、RDP爆破、永恒之蓝漏洞等多种攻击方式，让用户防不胜防。许多勒索病毒与高级网络攻击相结合，单一的防御手机无法抵御。病毒攻击的范围已经覆盖了Windows，Mac，Android，IOS和虚拟桌面。尤其是Windows7，XP等老旧系统，成为病毒攻击的重灾区，Windows10系统及时发布的漏洞更新受到较小影响。

2.4难以破解的加密算法

勒索病毒的制造者为了让用户不能轻易破解密码，采用了难以破解、不可逆的加密算法对数据加密。勒索病毒大多数使用RSA非对称加密算法，有些还采用对称密码算法，AES，3DES和RC4，非对称密码算法RSA，ECDH等，甚至有时还使用其他软件的加密模块进行加密，个人用户根本无法解密自己的文件只有交付赎金，才能拿到解密的密钥，恢复文件[3]。

3对勒索病毒计算机防护及措施

3.1禁止重要服务器访问外网

禁止重要服务器访问外网，将保存有重要数据的服务器用内网隔离，增加内部服务器的升级服务。勒索病毒是蠕虫和勒索软件相结合产生新的病毒模式，可实现跨平台、跨系统的传播，对现有计算机安全防护模式产生的重大的威胁。用户需主动防御，层层管理。

内网安全漏洞也很多，勒索病毒也极易从内部发起攻击。“内网隔离是安全的”这种定式思维也是错误的，局域网数据资产和数据价值很大，被攻击后影响很严重。校园、企业、政府机构一直盲目认为内网会更安全，但实际上内网也会受到攻击和感染，主要因为内网安全疏漏更多、防御更不足。最新的病毒变种利用“管理员共享”功能在内网自动渗透，传播速度可达每10分钟感染5 000余台电脑。内网中毒更易引起连锁反应，一台服务器的失守，导致全部计算机被攻陷。内网管理者要注意杀毒软件，应用软件的安装和更新，对内网网段的升级隔离，定期检查系统配置是否正确没有被篡改，对关键文件定期扫描检查，对显示文件和扩展名为vbs，shs，pif的文件进行查杀。

3.2严格设定服务器允许安装的应用

勒索病毒利用SMB漏洞攻击，对主机端口进行扫描，被攻击后下载WannaCry木马进行感染，运行后进行交叉感染传播，再使用敲诈者编写的程序，对图片、文档、视频、压缩包等各类文件进行加密，然后进行勒索付费。勒索病毒入侵服务器或主机后，会对各类文件文档进行加密处理，采用2048位的RSA算法进行文件加密，这种加密算法目前没有有效的解密方法，暴力破解需要上百年时间。不在服务器上安装不必要的软件，只安装必要的服务，与服务无关的应用进行关闭或禁用，FTP服务时则不要装IIS服务。

3.3防火墙只开放必要端口

防火墙只开放必要端口，设置访问白名单，禁止不明网站和身份的用户访问。对于OA，ERP等对外提供服务的服务器只开放必要端口。在防火墙上创建拒绝策略，勒索病毒利用TCP的445端口和其他关联端口135、137、139进行感染，因为这一类端口权限较高，可以利用它访问共享文件或共享打印机。系统需关闭445端口的访问权限，在防火墙上配置入站和出站规则，禁止使用文件和打印共享服务。通过细化访问控制策略，细化至IP和端口，核心交换机和汇聚交换机上应配置限制相关风险的ACL。

3.4做好远程登录访问的审核控制

不要点击OFFICE宏运行提示，避免来自OFFICE组件的病毒攻击。积极升级最新的防病毒安全特征库IPS，升到最新的防病毒库，识别已发现的病毒样本，进行病毒过滤。勒索病毒具有蠕虫病毒的特征，可以自我复制，自我传播，对主机内所有文件进遍历，判断文件的扩展名是否存在于病毒内的列表中，如果是，则加入加密列表，遍历后对列表内所有对象进行加密操作。

使用监测系统进行流量分析，如果系统产生大量异常流量或是资源占有异常，SMB攻击或455端口占有异常，都可能是病毒在扩散，可以尽快采取响应措施，即时断网或禁用网卡等操作，以尽可能减少损失。应警惕用户不要打开网页挂马、垃圾电子邮件与恶意捆绑程序，提高安全意识。

勒索病毒的传播原理如图1所示，攻击者将伪装成盗版软件、游戏外挂或普通推广软件，通过病毒控制服务器发布，诱惑受害者下载使用，受害者计算机下载运行病毒模块后被感染，病毒全程自动化攻击计算机系统，通过挖矿法扫描受害者重要数据，打包重要数据，利用勒索模块加密本机重要数据，加密算法通过现有技术不可破解，攻击者发出勒索信息，索要赎金。

3.5使用强口令

勒索病毒最常用的攻击方式为远程弱口令攻击。用户总觉得自己被攻击的概率很低。事实上，成千上万的攻击者不停地使用工具掃描寻找弱口令设备。勒索病毒利用永恒之蓝漏洞和远程桌面协议等服务弱口令植入病毒。病毒暴力破解各类空口令，字符强度不足口令，重复字符数多口令，以达到入侵的目的。系统应及时修改使用强口令，并且督促用户和管理员定期更换强口令。

3.6做好服务器系统与数据的异地备份

网络技术人员应尽量做好定期异地备份，更换操作系统备份的工作。这些措施可增加网络安全，减少网络安全漏洞，但却无法做到绝对避免病毒感染。因此，做好数据备份是应对病毒的最后一道安全保证。如果备份系统与服务器一同感染了病毒且被数据加密，那备份也就失去了意义。可以更换操作系统备份，如果原有系统是Windowserver，那么新备份系统可以用Linux操作系统，也可以用虚拟机或备份一体机对系统进行异地备份。

4结语

重要数据信息部门不能掉以轻心，不能认为内网隔离就是绝对安全。内网攻击不易被发现，是个缓慢

渗透，较长攻破的过程，就需管理员随时做好内网监测。勒索病毒的暴发，体现了计算机防护体系还需要不断进步，传统的病毒特征库和防护体系都是先收集病毒样本，然后提取样本特征，再进行查杀，这种模式导致病毒的查杀总是落后于病毒的出现。所以，要改变应对病毒防御的思路，做好防护工作的同时，可利用“可信计算”进行主动防御，这是一个较新的理论，“可信计算”的原理在于计算机运行全程可预测可控制，但不被干扰，一旦出现和预计不同，就阻止其运行，对系统访问进行干预，以期改变现被动防御病毒的局面，改为主动防范。

[参考文献]

[1]沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学，2010（3）：5658.

[2]蔡谊.军民融合的军队可信计算标准 [J].信息安全研究，2017（5）：114117.

[3]罗健菲，付东楠.计算机病毒疫情分析 [J].信息网络安全，2019（2）：85.

[4]许奕芸.黑客入侵技术的分析和检测[J].网络安全，2011（2）：4243.

[5]张广根，陈云.计算机网络安全漏洞及解决措施分析策略[J].科技创新与应用，2020（31）：124125.

（编辑傅金睿）

Computer network security and countermeasures against blackmail virus

Cai Qin

（Information Technology Department of the Party School of the CPC Xinjiang Uygur

Autonomous Region Committee， Urumqi 830002， China）

Abstract： Although cloud computing data platform provides users a large amount of data

information， when the data security is threatened， the loss is greater. This paper introduces the

transmission characteristics， transmission mode and harmfulness of blackmail virus “Wannacry”，

analyzes its attack mode and process， and discusses the protection methods and security measures of

data platform. By enhancing the overall computer network protection system and strengthening the

protection and security of the intranet， we can avoid virus infection and attack， and finally

maintain data security.

Key words： cloud computing; ransomware; computer security; system protection

2024年2月13日发(作者：牵雪绿)

计算机网络安全与勒索病毒应对策略

作者：蔡琴

来源：《无线互联科技》2022年第12期

摘要： 云计算数据平台虽然为用户提供了大量数据信息，但当数据安全性受到威胁时，将会带来很大的损失。文章介绍了勒索病毒“WannaCry”的传播特点、传播方式和危害性，分析了它的攻击方式和流程，探讨了数据平台的防护方法及安全措施。通过增强整体计算机网络防护体系，并加强内网的防护安全，避免病毒感染和攻击，最终维护好数据安全。

关键词：云计算;勒索病毒;计算机安全;系统防护

0引言

云计算数据平台虽然为用户提供了更多数据资源，但在黑客攻击时，将会带来严重后果。云计算环境的数据平台有数据容量大、数据类型多、数据价值密度低的特点，数据保密和安全尤为重要[1]。现有的数据安全识别技术还无法抵挡黑客的攻击，用户安全意识低，无意间浏览非法网站、钓鱼网站，这些都给计算机安全防护工作带来困难。计算机网络系统的漏洞，给别有用心的黑客带来可乘之机，最终使计算机安全得不到相应的保障。在大数据时代，如果数据一旦受到病毒攻击，用户的数据会被窃取，破坏正常的网络环境。计算机管理者需要建立有效的防御机制，做好安全保障工作，避免造成严重的网络安全事件。

1云计算数据平台的病毒防护

历史上出现的一次次病毒攻击，说明了防御病毒之路任重而道远。安全防护体系的建立非常关键，病毒的防范三分靠技术，七分靠管理[2]。

1.1建立必要的黑客防御机制

黑客攻击属于人为操作、恶意攻击，是以获利或危害社会为目的的网络安全问题。对社会危害较大，黑客掌握较高计算机技术，有很强的操作能力，还能洞悉操作系统的各种安全漏洞，令人防不胜防。所以，需要建立黑客防御机制，解析黑客攻击的技术要点，对黑客的入侵方式和入侵企图进行分析，提高反入侵对抗的技术，找出黑客入侵时系统的安全问题，只有对黑客攻击技术达到一个新的认识，才能构建一个对系统有力保障的防护体系。

1.2加强对用户网络安全培训

为了尽可能地避免计算机网络安全问题，加强对用户的网络安全意识的宣传，提高用户的安全防范能力，引导用户定时修补系统漏洞、定期查杀。提高专业技术人员网络行为规范，有效解决用户的技术困扰，减少因使用不当造成的系统隐患，避免系统受到攻击，为整个计算机网络体系统提供安全保障。

1.3加强系统的监管和提高病毒防范机制

加强系统的监管和网络安全防范力度，根据病毒的特点和传播方式来建立病毒预警机制，引入入侵检测管理技术，加强数据入侵管理，进行数据流量监测，经常对关键信息进行数据分析和收集，如果出现非法操作，立即用合理手段进行干预。在病毒防范过程中，技术人员也要严格根据安全管理模式进行日常操作和管理，及时更新病毒特征库，建立完整的计算机网络杀毒系统。

2勒索病毒的传播特点

勒索病毒是一种新型电脑病毒，是病毒程序和勒索程序相结合的结果。主要采取网络钓鱼、垃圾邮件、恶意软件植入、恶意捆绑正常软件、移动存储介质、内网摆渡等形式在网络上进行传播。网络用户在访问这些网页时，下载了被伪装成正常程序的病毒，在系统里安装，传播方式狡猾且隐蔽，先感染服务器，然后通过共享方式在局域网里继续传播，可以导致170多种扩展名文件都被加密，加密算法不易破解，受害者不能再进入系统，只能通过暗网链接付费后，拿到破解密钥才能恢复重要文件，性质恶劣，给用户带来了严重的后果和损失。

2.1勒索病毒隐蔽性更强

勒索病毒隐蔽于第三方应用，利用用户对第三方应用服务的完全信任，传播病毒。病毒隐蔽于微信、QQ、电子邮件、HTML页面等，借助比特币电子货币、洋葱网络等匿名通信技术劫持受害者。病毒以程序代码或隐含文件的形式存于程序中，只有经过程序代碼分析，对代码字节一一分析才能检查出来。

2.2勒索病毒的传染性更强

勒索病毒的传播有局域网和跨网传播两种传播途径，在局域网中生成含整个局域网的网段表，然后依次攻击，直到感染全部有价值的文件。跨网传播则生成随机IP地址，发送攻击代码，利用有些防火墙和路由器没有实施安全策略部署，利用防火墙漏洞，通过无线管理网络，进行跨网段、跨省攻击。

2.3勒索病毒的攻击手段更多样

利用蠕虫病毒的特征，实现全程自动化攻击，使用U盘蠕虫、WEB挂马、RDP爆破、永恒之蓝漏洞等多种攻击方式，让用户防不胜防。许多勒索病毒与高级网络攻击相结合，单一的防御手机无法抵御。病毒攻击的范围已经覆盖了Windows，Mac，Android，IOS和虚拟桌面。尤其是Windows7，XP等老旧系统，成为病毒攻击的重灾区，Windows10系统及时发布的漏洞更新受到较小影响。

2.4难以破解的加密算法

勒索病毒的制造者为了让用户不能轻易破解密码，采用了难以破解、不可逆的加密算法对数据加密。勒索病毒大多数使用RSA非对称加密算法，有些还采用对称密码算法，AES，3DES和RC4，非对称密码算法RSA，ECDH等，甚至有时还使用其他软件的加密模块进行加密，个人用户根本无法解密自己的文件只有交付赎金，才能拿到解密的密钥，恢复文件[3]。

3对勒索病毒计算机防护及措施

3.1禁止重要服务器访问外网

禁止重要服务器访问外网，将保存有重要数据的服务器用内网隔离，增加内部服务器的升级服务。勒索病毒是蠕虫和勒索软件相结合产生新的病毒模式，可实现跨平台、跨系统的传播，对现有计算机安全防护模式产生的重大的威胁。用户需主动防御，层层管理。

内网安全漏洞也很多，勒索病毒也极易从内部发起攻击。“内网隔离是安全的”这种定式思维也是错误的，局域网数据资产和数据价值很大，被攻击后影响很严重。校园、企业、政府机构一直盲目认为内网会更安全，但实际上内网也会受到攻击和感染，主要因为内网安全疏漏更多、防御更不足。最新的病毒变种利用“管理员共享”功能在内网自动渗透，传播速度可达每10分钟感染5 000余台电脑。内网中毒更易引起连锁反应，一台服务器的失守，导致全部计算机被攻陷。内网管理者要注意杀毒软件，应用软件的安装和更新，对内网网段的升级隔离，定期检查系统配置是否正确没有被篡改，对关键文件定期扫描检查，对显示文件和扩展名为vbs，shs，pif的文件进行查杀。

3.2严格设定服务器允许安装的应用

勒索病毒利用SMB漏洞攻击，对主机端口进行扫描，被攻击后下载WannaCry木马进行感染，运行后进行交叉感染传播，再使用敲诈者编写的程序，对图片、文档、视频、压缩包等各类文件进行加密，然后进行勒索付费。勒索病毒入侵服务器或主机后，会对各类文件文档进行加密处理，采用2048位的RSA算法进行文件加密，这种加密算法目前没有有效的解密方法，暴力破解需要上百年时间。不在服务器上安装不必要的软件，只安装必要的服务，与服务无关的应用进行关闭或禁用，FTP服务时则不要装IIS服务。

3.3防火墙只开放必要端口

防火墙只开放必要端口，设置访问白名单，禁止不明网站和身份的用户访问。对于OA，ERP等对外提供服务的服务器只开放必要端口。在防火墙上创建拒绝策略，勒索病毒利用TCP的445端口和其他关联端口135、137、139进行感染，因为这一类端口权限较高，可以利用它访问共享文件或共享打印机。系统需关闭445端口的访问权限，在防火墙上配置入站和出站规则，禁止使用文件和打印共享服务。通过细化访问控制策略，细化至IP和端口，核心交换机和汇聚交换机上应配置限制相关风险的ACL。

3.4做好远程登录访问的审核控制

不要点击OFFICE宏运行提示，避免来自OFFICE组件的病毒攻击。积极升级最新的防病毒安全特征库IPS，升到最新的防病毒库，识别已发现的病毒样本，进行病毒过滤。勒索病毒具有蠕虫病毒的特征，可以自我复制，自我传播，对主机内所有文件进遍历，判断文件的扩展名是否存在于病毒内的列表中，如果是，则加入加密列表，遍历后对列表内所有对象进行加密操作。

使用监测系统进行流量分析，如果系统产生大量异常流量或是资源占有异常，SMB攻击或455端口占有异常，都可能是病毒在扩散，可以尽快采取响应措施，即时断网或禁用网卡等操作，以尽可能减少损失。应警惕用户不要打开网页挂马、垃圾电子邮件与恶意捆绑程序，提高安全意识。

勒索病毒的传播原理如图1所示，攻击者将伪装成盗版软件、游戏外挂或普通推广软件，通过病毒控制服务器发布，诱惑受害者下载使用，受害者计算机下载运行病毒模块后被感染，病毒全程自动化攻击计算机系统，通过挖矿法扫描受害者重要数据，打包重要数据，利用勒索模块加密本机重要数据，加密算法通过现有技术不可破解，攻击者发出勒索信息，索要赎金。

3.5使用强口令

勒索病毒最常用的攻击方式为远程弱口令攻击。用户总觉得自己被攻击的概率很低。事实上，成千上万的攻击者不停地使用工具掃描寻找弱口令设备。勒索病毒利用永恒之蓝漏洞和远程桌面协议等服务弱口令植入病毒。病毒暴力破解各类空口令，字符强度不足口令，重复字符数多口令，以达到入侵的目的。系统应及时修改使用强口令，并且督促用户和管理员定期更换强口令。

3.6做好服务器系统与数据的异地备份

网络技术人员应尽量做好定期异地备份，更换操作系统备份的工作。这些措施可增加网络安全，减少网络安全漏洞，但却无法做到绝对避免病毒感染。因此，做好数据备份是应对病毒的最后一道安全保证。如果备份系统与服务器一同感染了病毒且被数据加密，那备份也就失去了意义。可以更换操作系统备份，如果原有系统是Windowserver，那么新备份系统可以用Linux操作系统，也可以用虚拟机或备份一体机对系统进行异地备份。

4结语

重要数据信息部门不能掉以轻心，不能认为内网隔离就是绝对安全。内网攻击不易被发现，是个缓慢

渗透，较长攻破的过程，就需管理员随时做好内网监测。勒索病毒的暴发，体现了计算机防护体系还需要不断进步，传统的病毒特征库和防护体系都是先收集病毒样本，然后提取样本特征，再进行查杀，这种模式导致病毒的查杀总是落后于病毒的出现。所以，要改变应对病毒防御的思路，做好防护工作的同时，可利用“可信计算”进行主动防御，这是一个较新的理论，“可信计算”的原理在于计算机运行全程可预测可控制，但不被干扰，一旦出现和预计不同，就阻止其运行，对系统访问进行干预，以期改变现被动防御病毒的局面，改为主动防范。

[参考文献]

[1]沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学，2010（3）：5658.

[2]蔡谊.军民融合的军队可信计算标准 [J].信息安全研究，2017（5）：114117.

[3]罗健菲，付东楠.计算机病毒疫情分析 [J].信息网络安全，2019（2）：85.

[4]许奕芸.黑客入侵技术的分析和检测[J].网络安全，2011（2）：4243.

[5]张广根，陈云.计算机网络安全漏洞及解决措施分析策略[J].科技创新与应用，2020（31）：124125.

（编辑傅金睿）

Computer network security and countermeasures against blackmail virus

Cai Qin

（Information Technology Department of the Party School of the CPC Xinjiang Uygur

Autonomous Region Committee， Urumqi 830002， China）

Abstract： Although cloud computing data platform provides users a large amount of data

information， when the data security is threatened， the loss is greater. This paper introduces the

transmission characteristics， transmission mode and harmfulness of blackmail virus “Wannacry”，

analyzes its attack mode and process， and discusses the protection methods and security measures of

data platform. By enhancing the overall computer network protection system and strengthening the

protection and security of the intranet， we can avoid virus infection and attack， and finally

maintain data security.

Key words： cloud computing; ransomware; computer security; system protection