基于勒索病毒加密过程分析的补救措施探讨.docxVIP

?

?

基于勒索病毒加密过程分析的补救措施探讨

?

?

徐琛鉴李颖

摘要：勒索病毒近几年来的快速传播和发展，严重危害了互联网计算机用户的数据安全，成为网络安全业界关注的热点之一。研究勒索病毒的工作机制和原理是探索勒索病毒的预防和治理的主要途径，文章通过分析勒索病毒的加密原理和工作过程，总结出几点在计算机用户遭到勒索病毒侵害后的补救措施，为中毒用户提供一些参考。

关键词：勒索病毒;RSA;网络安全;密码学

0??引言

自2017年4月14日黑客团体ShadowBrokers公布“永恒之蓝”漏洞，5月12日基于该漏洞的“Wannacry”（中文译为“想哭”）勒索病毒短时间内迅速席卷全球，给互联网用户造成严重损失[1]。随后几年内，包括我国在内的世界多国遭受Petya，GlobleImposter，GandCrabV5.0.4，GandCrabV5.2，Satan等多种勒索病毒侵袭，各国的政府、电力、教育、金融等多个系统受到不同程度的影响。

勒索病毒是蠕虫病毒的一种，其入侵受害者计算机的途径可分为主动投放和被动感染两种。主动投放以投放者利用受害者计算机系统或软件漏洞入侵至受害者计算机、通过包括RDP（远程桌面协议）爆破受害者计算机弱口令在内的不同方式达到入侵的目的，成功入侵后受害者计算机投放病毒程序;被动感染包括发送钓鱼邮件、虚假信息链接等方式诱导受害者计算机访问带有病毒的邮件或页面达到感染病毒的目的。在勒索病毒成功侵入受害者计算机后，黑客将用户数据进行加密，并勒索受害者支付赎金进行解密。支付方式多以虚拟货币为主。

勒索病毒的危害性主要在于对受害者计算机文件加密方式基本不具备可逆性，在未取得解密密钥的前提下，受害者几乎不可能还原被加密文件。从而，受害者的计算机一旦被感染，则损失巨大。以国内某医院感染GlobleImposter勒索病毒为例，该医院服务器被感染后，医院诊疗系统大面积瘫痪，挂号、收费、诊疗等业务均无法正常运转。

本文通过分析研究勒索病毒的加密原理和工作过程，分析用户在感染勒索病毒后可尝试的恢复被感染数据的部分方法技巧和可能性，为感染勒索病毒的用户提供一些参考。

1??勒索病毒加密受害者文件原理及过程

1.1?加密原理

勒索病毒通常采用对称加密技术和非对称加密技术相结合的方式来实现对用户文件加密和解密密钥的保管，通常将高级加密标准（AdvancedEncryptionStandard，AES）与RSA算法相结合。这种方法既能有效保障已完成加密的用户文件不易被破解，又将解密密钥与用户完全隔离，确保解密密钥不泄露，进而保证整个勒索过程的有效性和安全性。

1.1.1?对称加密算法及AES

简单来说，对称加密算法使用的加密密钥和解密密钥为同一密钥。在对称加密算法中，数据明文被发送者通过使用加密密钥和加密算法进行加密后，将密文发给接收者，接收者使用加密密钥及加密算法的逆运算进行解密，获得明文。

高级加密标准（AdvancedEncryptionStandard，AES），是对称加密算法在计算机加密应用场景中较为广泛、成熟的一种加密方式。它的加密过程主要包括“字节代换”“行位移”“列混合”“轮密钥加”四步，通过使用密钥轮对明文进行逐轮加密实现密文的可靠性。在勒索病毒的工作过程中，AES通常被用作对计算机文件进行“绑架”加密，是加密过程中的第一把锁。

1.1.2?非对称加密算法及RSA

与对称加密算法相反，非对称加密算法的加密密钥与解密密钥是不同的，通常分别称为“公钥”和“私钥”。在非对称加密算法中，根据密钥生成算法可以生成两个有一定关联性但互相之间难以推导的密钥对。将“公钥”公布给发送者，而“私钥”由接收者保留。发送者使用“公钥”通过加密算法对明文加密后，仅需将加密后的密文发给接收者，接收者使用“私钥”通过解密算法对密文进行解密还原。非对称加密算法的优点在于很好地保护了“私钥”，增强加密的可靠性。

RSA算法是计算机加密应用场景中非对称加密算法应用比较广泛的一种，其通过生成两个极大素数，通过使用欧拉函数、欧几里得算法分別获取“公钥”和“私钥”所需相应元素，对明文或密文使用“公钥”或“私钥”分块进行幂运算和取模运算，以完成加密或解密。同时，对极大整数做因数分解的数学难题决定了RSA算法的可靠性。有研究表明，在当前普通计算机性能条件下，破解1024位RSA密钥耗时约两年，破解2048位（十进制256位）密钥耗时需80年，而大多数勒索病毒采用RSA算法生成的密钥长度为2048位[2]。

1.2?工作过程

目前，互联网上流行的勒索病毒工作过程基本类似。以著名的“Wannacry”勒索病毒的工作过程为例，其采取两级基于2048位RSA算法的非对称加密方法，和一级基于128位AES的对称加密方法完成