勒索病毒来袭
昨天夜间,全球近 100 个国家的计算机同时遭到了来自一款名为wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。中国各地许多高校学生突然发现自己电脑中了一种神秘的病毒。病毒是全球性的,就中国来说疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、浙江传媒学院、杭州电子科技大学以及广西等地区的大学。网友反映,大连海事大学、山东大学等也受到了病毒攻击。
这些用户只要连上校园网,自己磁盘中所有的文件都会被病毒加密为.onion后缀并且无法使用。除此之外,自己电脑的壁纸也会被改为这样:
根据BBC的报道,这类网络攻击近期在全球范围内都有愈演愈烈之势,而医院往往成为了这些攻击的“重点照顾对象”。究其原因,则是由于医院的信息系统往往相对老旧,并且在近些年来越来越依赖电子智能医疗系统。
同样没有逃过黑客毒手的是俄罗斯内务部,然而根据战斗民族的一位发言人表示,在所有的1000台电脑中只有0.1%的电脑遭受了攻击,服务器完好无损。
虽然我们反复提到说,要预防电脑、手机被黑客侵入,虽然我们在上网中,电脑或者是手机仍然被黑客侵入了,一般来说普通的重装系统都可以解决,不严重的用杀毒软件也可以解决,如果你再继续使用这台电脑上网的话,你的隐私就会被窃取,就没有什么隐私而言了。黑客一般攻击的电脑,都是比较有价值的,所以你应该立即检查一下你的银行卡和支付宝等中的钱财是否还在,定时的查杀木马,修补补丁。
那攻击来源是什么?如何预防它?电脑感染以后又应该如何应对?这篇文章将给你答案。
攻击来源?
wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序,在被不法分子改造之后变成了一款「勒索软件」。根据网络安全机构通报,不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,所以教育网就是受攻击的重灾区。
在过去的两年中随着比特币交易的越来越普及,这类的恶意软件也必然会越来越多。往往黑客们会将病毒脚本写进一些被大量下载的文件(比如泄露版的电影),当你下载电影后就会自动激活病毒。
被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。
勒索软件会影响哪些系统?
wana Decrypt0r 2.0 目前会影响几乎所有的基于 WindowsNT 内核的客户端/服务器操作系统,包括:
客户端操作系统:
- Windows 2000、XP
- Windows Vista
- Windows 7
- Windows 8 / 8.1
- Windows 10(除Windows 10 Creators Update、build 15063)
服务器操作系统:
- Windows Server 2008 / 2008 R2
- Windows Server 2012 / 2012 R2
- Windows Server 2016
目前 wana Decrypt0r 2.0 只会感染Windows 桌面操作系统,如果你使用的是 Linux 或者macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击Linux 或者 macOS。
wana Decrypt0r 2.0 如何传播?
由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序,因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息,从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件,而这一过程无需用户的任何操作,这也是其可以快速在全球传播的原因。
对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口,但是国内高校的「教育网」并未封掉 445 端口,所以本次国内高校计算机成为了受感染的重灾区。
此外,国内许多企业内部局域网也没有封掉 445 端口,因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。
如何预防 wana Decryptor 2.0?
为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。
最简单的方式:开启Windows 安全更新
本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。
早在今年三月份,微软就已经针对 Windows 设备推出了月度安全更新,其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此,如果你还没有下载这个更新,你可以在 Windwos 中检查并下载安装,防范勒索软件。
另外,你也可以单独下载安全修补程序 KB4012212 进行更新,并通过 MS17-010 了解更多相关安全问题。
临时解决方案一:禁用 SMBv1
如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:
对于客户端操作系统:
- 打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。
- 在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
- 重启系统。
对于服务器操作系统:
- 打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。
- 在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
- 重启系统。
临时解决方式二:使用系统防火墙封禁 445 端口
如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:
- 打开「控制面板」
- 在「控制面板」中选择「Windows 防火墙」
- 点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选「入站规则」
- 新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。
临时解决方案三:关闭 445 端口(适用于 Windows XP 等)
对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:
- 通过 Windows + R 打开「运行」
- 输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。
- 新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0
- 重启电脑
临时解决方案四:使用 360 的 NSA 武器库免疫工具
如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。
如何确定自己电脑是否中招?
1.用CTRL+ALT+DEL调出任务管理器,查看有什么程序在运行,如发现陌生的程序就要多加注意,大家可以关闭一些可疑的程序来看看,如果发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话,不要怀疑,动手查看一下吧(注:也有可能是其它一些病毒在作怪)
2.在「开始」→「运行」中输入“MSCONFIG”查看是否有可疑的启动项。
3.查看注册表。在「开始」→「运行」中输入“REGEDIT”。 先对注册表进行备份,再对注册表查看。(一定要养成一个习惯,在修改文件时,对自己没有把握的需要先进行备份)查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run项,看看有没有可疑的程序。
4.在「开始」→「运行」中输入“CMD”启动CMD,输入NETSTAT-AN查看有没有异常的端口。
5.在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度查一下,一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)
6.查看c:\autoexec.bat与c:\config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
7.右击「我的电脑」→事件查看器查看安全日志,看看里面有没有可疑的内容。
8.启动CMD,然后输入“NETUSER”看看有没有可疑的用户,出现自己不曾设立的用户,马上用NETUSER****/DEL把它删除(这里的****是用户名,只要把它改成想要删除的用户就行了)
已经中招了应该如何应对?
- 如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。但是经分析发现,不要支付比特币给黑客,因为比特币地址是同一个,如:13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。 按照区块链原理,黑客不可能知道到底是谁支付了赎金,所以在技术上来说,支付比特币能成功恢复文件的可能性为“0”。
- 最好的办法先断网电脑,不要接入任何储存设备,过几天再说,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。
想要避免今后被攻击,你还需要做这些:
- 对于重要文件请及时备份至移动设备、 NAS 或者其他云存储中。
- 无论是什么样的网络环境,请及时对系统进行安全更新,尤其是微软每月的安全更新,往往可以让你避免数据丢失所造成的灾难性后果。
- 开启 Windows 防火墙避免类似的端口攻击。
- 安装反勒索防护工具,但仅在病毒侵入前有作用,但对已经中病毒的电脑无能为力,还是要做好重要文档备份工作。不要访问可以网站、不打开可疑邮件和文件
- 简单武断,把网掐了。
1415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
