從新型冠狀病毒看勒索病毒防范

作者：大兵說安全 2020-02-06 12:37:59

如今，新冠狀病毒肺炎疫情在全國蔓延，為了遏制病毒傳播，全國打響了病毒疫情阻擊戰(zhàn)。今天，我們來談一談從這次疫情防范過程中我可以得到什么啟發(fā)，用在我們對于計算機(jī)病毒的防范上。

如今，新冠狀病毒(2019-nCoV)肺炎疫情在全國蔓延，為了遏制病毒傳播，全國打響了病毒疫情阻擊戰(zhàn)。關(guān)于這個病毒的防范，大家已經(jīng)看到了很多的文章介紹，今天，我們來談一談從這次疫情防范過程中我可以得到什么啟發(fā)，用在我們對于計算機(jī)病毒的防范上。

病毒的概念最早就是來自于醫(yī)學(xué)，病毒是一類由核酸和蛋白質(zhì)等少數(shù)幾種成分組成的超顯微“非細(xì)胞生物”，其本質(zhì)是一種只含DNA和RNA的遺傳因子。病毒具有傳染性、破壞性、潛伏性等特點(diǎn)。

計算機(jī)病毒只是一個程序或者代碼，之所以叫他病毒，就是因為他具有同醫(yī)學(xué)病毒相似的屬性。《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼 (1994.2.18)。這個概念是一個狹義的病毒概念，現(xiàn)在我們所說的病毒是一個廣義的病毒概念，準(zhǔn)確說應(yīng)該叫惡意代碼，是指能夠引起計算機(jī)故障，破壞計算機(jī)數(shù)據(jù)，影響計算機(jī)系統(tǒng)的正常使用的程序、代碼、指令。

下面我們來看一看這二者在特點(diǎn)、防范方式等方面的相同點(diǎn)：

1. 相同的特點(diǎn)

我們先來看一下病毒的幾個基本特征(紅色是電腦病毒部分)：

(1) 破壞性。醫(yī)學(xué)病毒可以破壞人體免疫力，使人生病，嚴(yán)重的可以致命。

而計算機(jī)病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕者會降低計算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰或者直接損毀電腦中的數(shù)據(jù)。

(2) 潛伏性。傳統(tǒng)的病毒進(jìn)入體內(nèi)都有一個潛伏期，比如這次的新型冠狀病毒，潛伏期是7-14天，中毒之后我們往往不會第一時間發(fā)現(xiàn)。

而計算機(jī)病毒也是一樣，也有一個潛伏期，大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊。只有這樣它才可廣泛地傳播。比如著名的CIH病毒，就是每年的4月26號發(fā)作(后來的版本是每月26號發(fā)作)。

(3) 傳染性。關(guān)于醫(yī)學(xué)病毒的傳染性我想大家都深有體會了，不管是流感病毒還是非典病毒，或者這次的新冠病毒，都具有極強(qiáng)的傳染性，病毒傳播方式包括血液傳播、空氣傳播、性傳播等方式。

而計算機(jī)病毒的傳染性是指病毒具有把自我復(fù)制傳播或通過其他途徑進(jìn)行傳播的特性。計算機(jī)病毒是人為編制的計算機(jī)程序代碼，這種程序代碼一旦進(jìn)入計算機(jī)并在適合的條件下得以激活或執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼復(fù)制到其中，達(dá)到自我繁殖的目的。只要計算機(jī)中的某一個文件感染了病毒，如沒有得到及時的處理，那么病毒就會在這臺計算機(jī)上迅速擴(kuò)散，其中的大量符合感染條件的文件(一般是可執(zhí)行文件)都會被感染。同樣，被感染的文件又成了新的傳染源再進(jìn)行傳播。如果某臺電腦再與其他的電腦進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)等渠道進(jìn)行接觸，病毒還會繼續(xù)傳播感染其他的電腦。傳染方式包括磁盤介質(zhì)、局域網(wǎng)、互聯(lián)網(wǎng)、文件等方式。傳染性是病毒(狹義) 的一個主要特征。

(4) 隱蔽性。醫(yī)學(xué)病毒個頭都很小，并不容易被發(fā)現(xiàn)，而且并不是在發(fā)作之后才會傳染，在潛伏期內(nèi)，被病毒傳染的宿主并不會發(fā)現(xiàn)有什么異常，發(fā)作之后的癥狀有時候與普通病癥區(qū)別不大，不經(jīng)常嚴(yán)格的檢測對比很容易當(dāng)成普通病癥看待。也正是如此，才會有“超級傳播者”存在，導(dǎo)致中毒者以為自身沒有問題而導(dǎo)致二次傳播。

計算機(jī)病毒也一樣，計算機(jī)病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤的較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在，大部分的病毒的代碼之所以設(shè)計得非常短小，也是為了隱藏。病毒一般只有幾百個字節(jié)，這相對于電腦的文件存取速度顯得微不足道，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中而不易被察覺。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下，計算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染給大量程序。而且受到傳染后，計算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會感到任何異常。

(5) 非授權(quán)性。病毒者被病毒感染并不是患者自身的意愿，往往是在我們不知道的情況下就中招了。

計算機(jī)病毒也是一樣，一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對用戶是可見的、透明的。而病毒不僅具有正常程序的一切特性，而且它是隱藏在正常程序中的，當(dāng)用戶調(diào)用正常程序時，病毒程序也在可能被激活運(yùn)行，進(jìn)而竊取到系統(tǒng)的控制權(quán)，并先于正常程序執(zhí)行。病毒的目的對用戶是未知的，是未經(jīng)用戶允許的。就像我們雙擊“WORD”圖標(biāo)，我們會知道雙擊之后會出現(xiàn)一個文字處理軟件，這是一種授權(quán)的行為，而病毒的執(zhí)行卻是非授權(quán)的，比如有些病毒會通過修改文件關(guān)聯(lián)的方式進(jìn)行執(zhí)行，當(dāng)你授權(quán)執(zhí)行某個TXT文件時，病毒會附帶運(yùn)行，而這種運(yùn)行對用戶而言則是一種非授權(quán)行為。

(6) 不可預(yù)知性。新的病毒層出不窮，未來會出現(xiàn)什么樣的病毒?如何傳播?如何治療?我們并不知道，2003年的非典和今年的疫情都是一樣，未來會有什么新病毒誰也不知道。

計算機(jī)病毒也是，不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的(如駐內(nèi)存，改中斷號)。我們可以通過現(xiàn)在的技術(shù)進(jìn)行防范，如病毒庫技術(shù)、主動防御技術(shù)等，但相比病毒而言，反病毒永遠(yuǎn)是滯后的，先有病毒再有反病毒。未來的病毒什么樣，誰也無法預(yù)料，也不存在可以防范所有病毒的超級殺毒軟件(有也是騙人的)，任何軟件說可以防范100%的病毒都是騙人的。

2. 防范方法

我們先來看看針對目前的疫情，我們都采用了什么措施進(jìn)行防范(紅色是計算機(jī)病毒)：

(1) 組織層面

一、封城。包括武漢在內(nèi)的一些重災(zāi)區(qū)，采取了封城的手段，除了特定的人員和車輛，其他禁止出入。大到一個城市，小到一個社區(qū)。這種方式可以有效的防止病毒的傳播和擴(kuò)散，將病毒隔離到一個范圍之內(nèi)，再對其中的病毒進(jìn)行處理。

對于計算機(jī)網(wǎng)絡(luò)而言，我們也要對網(wǎng)絡(luò)進(jìn)行分層分域管理，比如根據(jù)不同的職能和部門劃分安全域，對于各區(qū)域邊界進(jìn)行嚴(yán)格的出入控制。在等保2.0中叫安全邊界管理。

[[314125]]

二、斷路。為防止疫情傳播，將道路斷開，避免病毒進(jìn)入。但這并不是一個好的方法，太極端了，畢竟還要有一些正常的來往，一斷路可能連救護(hù)車都進(jìn)不來了，所以國家也專門下文禁止斷路了。

(編者注：在計算機(jī)領(lǐng)域也有斷路措施，即斷網(wǎng)，阻斷計算機(jī)病毒的蔓延。)就像有的單位為了防止感染病毒把所有的網(wǎng)絡(luò)都斷開，有點(diǎn)因噎廢食的感覺。不過在特殊時期也是可以的。

三、準(zhǔn)入。對通過高速、高鐵、飛機(jī)等入城的人員進(jìn)行嚴(yán)格的檢查，對于危險區(qū)域來的人員勸返，只允許特定的人員進(jìn)入，對于可疑人員要及時進(jìn)行隔離，避免出現(xiàn)二次傳播。

在防范計算機(jī)病毒時，我們也要這樣，對于網(wǎng)絡(luò)和主機(jī)，都要有嚴(yán)格的準(zhǔn)入控制系統(tǒng)，不在白名單內(nèi)的用戶和主機(jī)不允許接入網(wǎng)絡(luò)，不在白名單內(nèi)的進(jìn)程和程序不允許運(yùn)行。發(fā)現(xiàn)可疑主機(jī)要及時隔離處理，發(fā)現(xiàn)可疑進(jìn)程馬上啟動相應(yīng)的應(yīng)急處理機(jī)制，通過EDR和KATA進(jìn)行分析。

[[314127]]

四、追溯。一旦有人員確診，馬上對其行蹤進(jìn)行追溯，尋找可能的接觸者，判斷感染源頭。這個過程是比較難的，因為很多人并不是直接和病毒接觸的，就像這次都知道第一批感染者來自華南海鮮市場，但這里就是源頭嗎?還不一定，或者也只是一個寄生體，就像當(dāng)年非典時，開始都以為是果子貍，后來發(fā)現(xiàn)來自蝙蝠。

計算機(jī)病毒也一樣，一旦發(fā)現(xiàn)感染病毒，不要急于格式化重裝系統(tǒng)，一定要先進(jìn)行取證溯源，分析攻擊流程，尋找攻擊者以及可能的被感染者，防止病毒二次傳播。這個過程是一個很重要但也很難的過程，很多黑客攻擊也并不是直接入侵的，而是通過一些僵尸主機(jī)或者跳板進(jìn)行。而且攻擊后并不會只攻擊一臺，往往是同時攻下了好多臺電腦，只不過只在其中一臺或幾臺實(shí)施了破壞，其它沒有被破壞不代表就是安全的。通過追溯就能發(fā)現(xiàn)其他被攻擊的電腦有哪些。

五、疫苗研發(fā)。國家科研機(jī)構(gòu)拿到病毒樣本進(jìn)行分析，提取病毒基因序列，加快進(jìn)行病毒疫苗的研發(fā)工作。

同樣道理，新病毒出現(xiàn)后各大安全公司會及時捕獲到病毒樣本，第一時間進(jìn)行分析，并將病毒特征碼加入病毒庫。

六、多宣傳。疫情出現(xiàn)之后，電視、廣播、新媒體、短信、傳單全方位轟炸，讓大家對病毒的危害有了清醒的認(rèn)識，認(rèn)識到了嚴(yán)重性，之后的一些工作就會容易得到大家的理解和支持。

同樣，對于計算機(jī)病毒，我們也要加強(qiáng)宣傳，通過相應(yīng)的網(wǎng)絡(luò)安全講座，讓大家意識到網(wǎng)絡(luò)安全的重要性，提高安全意識，增強(qiáng)基本的安全技能，養(yǎng)成良好的安全習(xí)慣。這樣才能有效降低被病毒感染的風(fēng)險。

七、公開透明。事實(shí)證明，制止謠言的最好方法就是公開透明。政府每天公布感染人數(shù)和傳播方式，讓其他人引以為戒，知道身邊有沒有危險。

計算機(jī)病毒也一樣，很多單位被勒索病毒感染后都會捂蓋子，怕讓別人知道，這種捂只會讓更多的人被感染。我之前也曾經(jīng)寫過一篇關(guān)于這個的文章《不能說的秘密!》，如果能有一個良好的通報機(jī)制，我覺得是可以讓更多的人免于被病毒感染的。

(2) 個人層面

在個人層面，人民日報給出了個人防護(hù)的幾條建議，我們也可以用在IT網(wǎng)絡(luò)中(紅色部分是針對計算機(jī)病毒的)：