勒索病毒工作过程及一般防护方法

一.什么是勒索病毒？

勒索病毒是一种恶意程序，可以感染设备，网络与数据中心使其瘫痪，直至用户支付赎金使系统解锁

二.勒索病毒的工作过程

1.外部入侵过程-----非法登录计算机，传递勒索病毒
通过分析多起针对Windows服务器的勒索病毒攻击，发现此类攻击大多利用弱口令漏洞，系统漏洞等方式获得远程用户名和密码，之后通过RDP（远程桌面协议，TCP，3389）远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器，则可以在服务器上为所欲为。这也意味着，即使服务器安装了安全软件也可能被黑客手动退出

对于很多内网中的主机，黑客一般采用的方式是，先攻克一台暴露在公网上的主机，通过这台主机再进一步渗透内网中的其他主机

2.感染加密
以Globelmposter加密为例

该勒索软件使用了RSA+AES加密方式（非对称加密+对称加密）方式，加密过程设计两队RSA密钥（分别为黑客公私钥和用户公司钥，分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥）。黑客RSA密钥密钥用于加密用户的RSA密钥，用户RSA密钥用于加密AES密钥，AES密钥用于加密文件内容

具体加密过程：勒索软件首先解码出一个内置的RSA公钥（hacker_rsa_pub），同时对每个受害用户，使用RSA生成公私钥（user_rsa_pub和user_rsa_pri），其中生成的密钥信息使用内置的RSA公钥（hacker_rsa_Public）进行加密后，作为用户ID。在遍历系统文件，对符合加密要求的文件进行加密。对每个文件，通过CoCreateGuid生成一个唯一标识符（32位字符串），并由该唯一标识符最终生成AES密钥（file_aes_key），对文件进行加密。在加密文件的过程中，该唯一标识符会通过RSA公钥（user_rsa_pub）加密后保存到文件

黑客在收到赎金，用户ID和文件后，通过自己的私钥（hacker_rsa_pri）解密用户ID，可以得到user_rsa_pri，使用user_rsa_pri解密文件，就可以得到文件的file_aes_key，进而可以通过AES算法解密出原始文件

上述感染行为复盘
1）勒索程序中有黑客的公钥，对每个受害用户使用RSA产生公钥和私钥，然后使用黑客的公钥对受害者的公钥和私钥加密，并作为用户ID（用来识别用户的身份）

2）遍历文件时，对符合要求的文件，每个都创建一个唯一标识符，并使用这个标识符生成AES密钥，使用这个AES密钥对文件进行加密，同时使用用户的公钥加密这个AES密钥

这样的话，用户如果想要获取文件内容，首先必须获取AES密钥，但是AES密钥，被用户的公钥加密，所以还需要用户的私钥，用户的私钥和公钥信息是经黑客的公钥加密后保存在在黑客端的，所以要想解开文件，必须使用黑客的私钥解密用户的公钥和私钥，得到了用户的私钥，才可以获得AES密钥，从而解密文件

三.预防手段

（1）主要是从传输途径上预防，勒索病毒是利用网络传播的，不打开不明网址，不接收来路不明的邮件和文件等
（2）关闭危险端口，445文件共享，3389远程桌面接口等
（3）及时升级杀毒软件
（4）定期异地备份重要数据和文件
（5）防火墙对用户发出的异常流量的监控控制（截断被攻克主机与C&C服务器的通信）

四.传播手段

1.钓鱼邮件
主要对象：个人PC
传播方向：从外到内
典型案例：Hermes，Petya

2.蠕虫式传播
主要对象：无定向，自动传播
传播方向：横向传播
典型案例：WannaCry，Petya变种

3.恶意软件捆绑
主要对象：个人PC
传播方向：从外到内
典型案例：Globelmposter

4.暴力破解：通过暴力破解RDP端口，SSH端口，数据库端口
主要对象：开放远程管理的Server
传播方向：横向，从外到内

五.永恒之蓝勒索病毒分析

1.感染主机后，在主机上安装勒索软件

2.勒索软件需要和远端的C&C服务器通信（切断传输路径）

3.对文件加密

4.横向扩展