如何看待 2017 年 5 月 12 日中國大量高校及公共設備發生電腦中毒,勒索比特幣的事件?

今天中國多所高校的校園網內windows機器及部分地區公共設備中了比特幣勒索病毒,該如何應對?


根據遊俠安全:【緊急+重要】勒索病毒解決方案大全!新:微軟發布WinXP/03補丁! | 遊俠安全網 該感染已不再局限高校,公共設施,政府部門計算機等皆有感染出現

相關討論正在進行

5 月 12 日開始的全球範圍的網路病毒攻擊事件是怎麼回事?應該如何解決?

美國 NSA 方程式組織(Equation Group)爆出的事件,將會造成哪些影響? - 知乎 ?https://www.zhihu.com/question/49658687

5 月 12 日開始的全球範圍的病毒攻擊勒索事件,會如何影響比特幣的價格? - 知乎:https://www.zhihu.com/question/59769194

遭遇 CryptoWall 4.0 勒索病毒應該如何解決? - 知乎 ? https://www.zhihu.com/question/31567248


微軟見用戶,立有間,微軟曰:「君有漏洞在電腦,不治將恐深。」用戶曰:「寡人無疾。」微軟出,用戶曰:「醫之好治不病以為功!」

  居十日,微軟復見,曰:「君之病在埠,不治將益深。」用戶不應。微軟出,用戶又不悅。

  居十日,微軟復見,曰:「君之病在病毒,不治將益深。」用戶又不應。微軟出,用戶又不悅。

  居十日,微軟望用戶而還走。用戶故使人問之,微軟曰:「疾在漏洞,補丁之所及也;在埠,組策略之所及也;在病毒,殺軟之所及也;已中毒,司命之所屬,無奈何也。今已中毒,臣是以無請也。」

  居五月,用戶電腦被鎖,使人索微軟,微軟複述如上。用戶文件遂亡。

——————————

感謝各位觀眾老爺們的點贊和輪子哥的翻牌。謝謝~

歡迎大家踴躍轉載,請標明出處即可~~


2017.5.15更新新截圖,附在文末。


我想從另一個角度來看待這次災難。本來,開Windows Update,或者關SMB就能解決的事情,硬是被弄成了一場半吊子專家的「建議」和莫名其妙的謠言的大狂歡。

比如說,知道了病毒製作者是誰的人。

黑客聯盟。在緬因州的波特蘭高中。

只攻擊Windows 10的病毒。

拿TeslaCrypt來裝作是這次的密鑰的。

半吊子專家包括:

帶Master Key的RSA

RAS、ACE、PSK加密。

利用Windows漏洞的病毒可感染macOS.

找微軟要代碼讀取磁碟的

試圖騙黑客已經給錢了,另外還把Contact打成Connect的。

讓人不要升級Windows 10,老老實實用XP的。

影子系統、低級格式化解決一切。

補充:

HTTPSMB!

2017.5.14更新:

今天還有新的表演,這次的腦洞太大,思維清奇 -&> WannaCry 明天是否可能又有波小爆發? - V2EX

2017.5.15更新:

不知道他們是來添亂的,還是僅僅為了單純出位博取存在感。但不得不說,這些人給了受害者虛妄的希望,給這次的事情更添一絲黑色幽默的色彩。


我感覺給政府部門定製的那個 Win10 這回賣得出去了……


今天晨會上我給領導說了這個事情,領導誇張地給自己加了一段戲:
他使勁拍了一下桌子,正義凜然帶一點悔恨的表情說到,這幫黑客可恨吶!我一定要把他們繩之以法!守衛網路世界的和平!


底下兄弟們都笑了。
散會,開始了一天的工作。

然後就發現我們警務執法記錄儀採集站被黑了。

這讓我們啞口無言。


從另一個角度來說,我個人覺得或許是好事。

高校的網路安全環境和網路安全意識怎麼樣,大家都心照不宣。

每年多少學生信息從高校流出來,大家心裡都有底。

盜版系統,不打補丁,疏於維護,項目外包甚至給學生做。

出事是遲早的事。

這次揭開傷疤撒撒鹽,弄點損失,搞搞大新聞,能讓高校重視下網路安全。

畢竟多數時候不弄點損失根本換不來重視。

打打耳光才能醒。

我國的網路安全意識,怕是真要多幾次這樣的大事件,才能提高。

另外,遭殃的不止是中國高校,還有英國16家大醫院。

還是那幾句話:

1.平時多備份。

2.少用盜版系統。

3.及時打補丁。

4.別再用老舊系統了。

另:

1.關閉135/137/139/445埠。

2.打上微軟3月推出的補丁MS17-010。

https://technet.microsoft.com/zh-cn/library/security/MS17-010

3.友情提示,給錢也未必能恢復。

4.這件事過後高校更新下系統吧,別死抱著舊系統了還不打補丁。

為了讓比特幣進入打通中國市場,這群人還真是什麼手段都用上了。

有一個有意思的社工破解思路

http://www.zhihu.com/pin/846570592869183488


原回答被摺疊了所以來辯解兩句:
1. 這個問題是如何看待高校大範圍中毒而非如何看待該病毒。我的看法就是,雖然病毒可惡且處理起來棘手,但如果一個機構面對早已存在的各類官方警告,及時做出反應,這件事的惡劣影響是可以被避免或者控制的。舉個實例說明,至少清華大學(本部)做到了。

2. 不否認這個回答有秀學校的成分,但我認為任何一個保護了用戶的電腦使用安全的組織或機構都值得被點贊

3. 至於評論區對「歡迎報考」的質疑,我不聽我不聽……


原答案:歡迎報考清華大學(圖片轉自朋友圈)


#會持續更新,請關注。

#======================更新BEGIN================================

  • 5.16 之前有人問小編,是不是打錢就給密碼,小編真心不敢瞎說,但是有人說是會給解密的,這人是F-secure(很有名的安全公司)的CRO:

  • 5.16 現在所有的目光都集中在是誰做的這件事情。各種各樣的線索大量湧來。嚴謹一點說,我們能看到該病毒的部分代碼片段和朝鮮"國家隊"使用的木馬工具非常一致。是不是說明一定是朝鮮乾的呢? 本小編持謹慎觀望態度。同事們爭執了一會兒又開始去找更多線索了。有情況向大家通報。
  • 請允許我更新一個段子......

  • 在最後更新了周一上班的開機操作步驟。
  • 在文中增加了對該秘密開關的分析和判斷
  • WannaCry的變種來了!修正了第一個版本病毒里的所有弱點。請儘快打補丁、關閉埠。如果在區域網,建議先拔網線開機關閉埠,再聯網(沒有開玩笑)。不知道原作者和變種作者是不是一伙人,我們正在分析。但可以肯定的是,原作者教會了變種作者很多東西。WannaCry新蠕蟲變種,來了! - 知乎專欄

  • 微博上有人稱,廣東鐵路調度系統倍感染被感染。希望不是真的。

#======================更新END================================

上面的很多同學都說了如何防範,不再贅述了。

說幾個新點:

  • 該病毒中存在的一個秘密開關
  • 有人聲稱對此事件負責(說病毒是他們做的)。
  • 該病毒作者賺了多少錢。
  • 該病毒的域名已經被接管
  • 解決方案
  • 周一上班開機的操作步驟

一、秘密開關

微步在線對此次收集到的勒索樣本進行分析後發現,樣本啟動後會首先請求如下域名:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

請求失敗後,才會執行加密;否則,則放棄進一步加密,並直接退出,我們將該域名稱之為「開關域名」:

為什麼作者要這麼做?

木馬為了躲避一些自動化的惡意軟體分析系統(比如沙箱),會在運行前檢測當前的運行環境是一個真實用戶的機器還是用於惡意樣本分析的虛擬環境。如果檢測發現是後者,木馬會採取完全不同的運行路徑,比如直接退出。

沙箱環境為了避免惡意樣本運行過程中對外界網路環境產生危害,通常會將惡意樣本產生的網路流量進行攔截,同時為了保證惡意樣本能夠正常運行對於惡意樣本的網路請求(如DNS、HTTP)請求會模擬返迴響應結果。這樣做的副作用就是,如果一個惡意樣本利用上述沙箱特性進行針對性的檢測,那麼該樣本會發現自己運行在一個虛擬的沙箱環境中,進而為了避免被檢測到,而隱藏自己的惡意行為或者直接退出運行。

我們推斷此次WannaCry勒索木馬使用這個秘密開關域名的原因就是為了進行沙箱環境的檢測,逃避沙箱的自動化檢測,進而延長自己的存活時間。原因有以下兩點:

  • 根據微步在線威脅分析平台的數據顯示,此秘密開關域名從未被攻擊者註冊過,而是被安全人員發現後搶注。如果作為控制開關,黑客應該自己註冊和掌控該域名;
  • 攻擊者很可能是在WannaCry樣本中內置一個隨機的未註冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, 該秘密開關域名的隨機程度達到了97.77%,夠不夠隨機?),在運營過程中用於判斷是否會有網路響應,進而判斷是否運行在虛擬的沙箱環境中,如果是則直接退出。這也符合之前我們對該樣本的分析結論。

之前評論里有人問,是不是自己設置伺服器就解析這個域名就可以免疫了。並不是,新的變種已經出現,黑客隨時可能使用不含此開關的新蠕蟲。所以設置好DNS之後,儘快安裝補丁才是王道。


二、作者是誰?他為什麼要這麼干?

微步在線發現,有疑似名為 SpamTech 的 Twitter 生成對此次攻擊事件負責,但具體真偽我們仍在進一步分析中:

有人問他為什麼要這麼做?他的回答是"測試一下我們的技術":

該團隊有幾個人呢,從該twitter作者找到的網站是4個,

這四個人的微博,有一個人在表示最近在開發一個botnet:

三、該病毒作者賺了多少錢?

對樣本中的三個 Bitcoin 地址監測顯示,目前已經有受害者開始支付贖金,目前的已經累計 11.5 比特幣,即人民幣 138000 元。由於目前大量被勒索的客戶剛剛被攻擊,並沒有來得及支付贖金,預計明後兩天是贖金支付的高峰期


四、這病毒就沒人管么?

上述秘密開關域名早在 2017 年 5 月 12 日即被安全機構接管,但根據微步在線的監測顯示,仍有

大量的機器隨後被執行加密,微步在線分析其中的原因,是由於大量內部機器沒有外網的訪問許可權,因此勒索樣本執行後請求開關域名失敗,隨後被執行加密。


五、我能做什麼?(解決雖然很多人寫了,為了完整,還是寫一下)

  • 鑒於該勒索軟體需要連通上述秘密開關域名,才會停止加密。因此,如果內網機器沒有外網訪問許可權,則建議客戶在內網修改此開關域名的內網解析,並且將解析 IP 指向在線的內部 web 伺服器;如果內網機器具有外網訪問許可權,則無須採取額外措施。
  • 微軟已於 2017 年 3 月份修復了此次三個高危的零日漏洞,建議客戶及時更新系統,安裝最新的升級補丁1,修復相關漏洞。
  • Windows XP、Windows Server 2003 微軟官方已經緊急發布針對此次事件的特殊補丁2,因此建議相關客戶及時使用該補丁修復系統或者按照如下操作關閉 TCP 137、139、445、3389 埠的互聯網訪問: 進入個人電腦的"控制面板"界面,啟用"windows 防火牆", 進入"高級設置",在"入站規則"里,新建規則,勾中「埠」,點擊「協議與埠」, 勾選「特定本地埠」,填寫 137、139、445、3389,點擊「阻止鏈接」,一直下一步即可。

六、周一開機指南

周一上班後,為保證系統安全,建議企業員工按以下步驟開機:

  1. 拔掉網線
  2. 開機
  3. 啟用了Wifi的請開機後第一時間關閉Wifi
  4. 關閉重要埠,步驟如下(以Win7和Win10為例):
  • 進入電腦的"控制面板"界面
  • 啟用"Windows 防火牆"
  • 進入"高級設置"
  • 在"入站規則"里,新建規則

    • 勾中「埠」,點擊「協議與埠」, 勾選「特定本地埠」,填寫 137,139,445,3389,埠數字以逗號間隔

    • 插入網線,聯網。從微軟官方網站下載相應補丁

Windows Server 2003 SP2 x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e Windows Server 2003 SP2 x86 http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9 Windows XP SP2 x64 http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa Windows XP SP3 x86 http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f Windows XP Embedded SP3 x86 http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add Windows 8 x86 http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340

5.重啟電腦

6.如果感覺電腦異常,請立即斷網並與系統管理員聯繫


先解決問題,再發表評論。

安天緊急應對新型「蠕蟲」式勒索軟體「wannacry」全球爆發

去年還有人在知乎問 "為何自從熊貓燒香以後中國再也沒有爆發過類似於此的大規模網路病毒事件?" 知乎 - 知乎


這個事件充分印證了我之前的判斷

no more free virus, no more joke virus, no more poc virus, just for underground profit

2016年以來的勒索軟體終於進化為可怕的勒索蠕蟲了,不要因為你用的不是windows而心存僥倖,軟體和操作系統廠商的安全更新一定要開啟自動安裝啊!這次的勒索蠕蟲就是利用了近期的一個已經被微軟補上了的漏洞,然鵝,不重視安全、不開啟自動更新的人還是大有人在的!


我不談那個病毒,我來說說騰訊電腦管家在這次事件中做了什麼。

可能有人在本問題下看到我在騰訊的回答(圍觀地址:如何看待 2017 年 5 月 12 日中國大量高校及公共設備發生電腦中毒,勒索比特幣的事件?)中寫了一個長評論,具體內容我在這裡就不全部貼上來了,後文我會講到。

2017年5月12日晚上,爆發了全球性的比特幣勒索病毒,國內大學陸續中招。當天晚上我有事在外面,也沒有看微博等社交媒體,到家就打開遊戲,直到第二天早上我才知道有這個事情。

第二天下午,我在微博認識的一個人發布消息。他在前一天晚上一直連著校園網,用的是Windows 7系統,裝了騰訊電腦管家,差點中招。當天中午,他嘗試安裝更新,發現系統的自動更新不知道什麼時候被關閉了,用電腦管家無法安裝關鍵補丁。一查才發現,關鍵補丁被電腦管家屏蔽。手動打開系統自帶的自動更新,能正常安裝關鍵補丁。

他發的這個消息引起了我的注意。我查看了一下網上流傳的中毒圖片,部分圖片上有騰訊電腦管家的圖標。順帶我去自己學校的貼吧里看了一下,討論的帖子不多,有限的幾張圖顯示中毒的電腦裝了電腦管家。

我去看了一下360的官方微博,早在12日下午就發布了預警信息。

騰訊電腦管家呢?第二天才睡醒。順便可以看一下前一天晚上在幹嘛。

騰訊電腦管家的微博和論壇里有用戶質疑,為什麼電腦管家屏蔽了微軟早在今年三月份發布的補丁。騰訊給出的解釋是:

您好,微軟發布的補丁KB4012212/KB4012215包含ci.dll文件,可能會導致少部分盜版系統的電腦重啟反覆藍屏,無法正常進入系統,因此管家會智能篩選給出修復/屏蔽建議,被屏蔽的用戶建議通過臨時關閉135、139、445、3389等埠的網路訪問許可權的方法來解決問題,具體操作方式請參考:a href="http://t.cn/RXQOuqW">O網頁鏈接。

樓主你好,正常開啟電腦管家,管家的實時保護兼顧漏洞防禦和主動攔截,可以有效攔截此次的勒索病毒;另外如果您是win7盜版用戶,管家會智能篩選給出修復/屏蔽軟補丁KB4012212KB4012215(該補丁可能會導致少部分盜版系統的電腦重啟反覆藍屏,無法正常進入系統),被屏蔽的用戶我們建議通過臨時關閉135、139、445、3389等埠的網路訪問許可權的方法來解決問題,具體操作方式請參考:http://bbs.guanjia.qq.com/forum. ... amp;amp;amp;amp;amp;amp;amp;amp;amp;extra=page%3D1。

我覺得你們這些客服說話很搞笑,說話很搞笑你知道吧。

為什麼盜版系統也要裝系統更新?如果微軟想的話,完全可以禁止盜版系統以任何形式(包括但不限於手工從官網下載補丁以及用第三方軟體)安裝系統更新,或者是在每個補丁安裝之前驗證一下當前系統是不是盜版系統(XP時代搞過一次,現在應該沒有了吧),然而微軟並沒有這麼做。

微軟沒有限制盜版系統裝補丁,從某種程度上來說,不僅僅是在保證正版用戶的安全,也在保證整個網路微軟用戶的安全。攻擊者可不分你的系統是正版還是盜版,他們只認系統中存在的漏洞。

哦,騰訊說這些盜版用戶打上補丁會藍屏,請問這個「少部分」的比例是多少?為什麼這部分盜版系統裝上補丁會藍屏?更驚訝的是,微軟發布的這個關鍵補丁級別為「嚴重」(Microsoft 安全公告 MS17-010 - 嚴重),騰訊居然為了「少部分」用戶直接忽略了,這讓「大部分」用戶怎麼活?微軟要是做個補丁,測試都不過一遍,能讓全球的Windows系統全部藍屏,那可是大新聞啊。

只想說:心真大,真任性。

講到這裡,我來說一個自己遇到的事情,供各位參考。去年畢業的時候要去外面列印論文,同學問我借U盤,我拿了一個平時不用的借給他們,還回來的時候他們跟我說,學校外面文印店電腦有病毒。自己用這個U盤拷貝論文的時候不知道是誰把病毒清除了,自己這邊檢查U盤沒看到病毒。到了文印店一看,他們說的病毒就是會把U盤原始文件隱藏起來搞惡作劇的腳本病毒。那個病毒就在我眼前,不過直接刪刪不掉,會自動生成一遍。正好文印店的電腦裝了騰訊電腦管家,也能上網,試著查殺卻提示系統安全。回去之後用自己的電腦,360國際版立馬提示U盤有病毒。從此管家一生黑。

騰訊電腦管家為了推廣,爭奪360的份額,說是可以給QQ等級加速,誘導一部分用戶裝騰訊的安全軟體。現在有意思了,不但關鍵補丁沒打,而且攻擊也沒攔住,吃瓜坐著看這回騰訊怎麼收場。

現在,騰訊電腦管家的論壇上有關這次病毒的詢問帖基本上都鎖定了。

附:騰訊電腦管家論壇上部分用戶的投訴帖。

騰訊電腦管家論壇
騰訊電腦管家論壇
騰訊電腦管家論壇
騰訊電腦管家論壇
騰訊電腦管家論壇
騰訊電腦管家論壇

另:知乎新版的編輯器都爛死了,知乎可能都不知道。


————————————

回應幾點。

1、我寫這篇回答的目的,只是為了讓大家知道騰訊做了什麼。我沒有說讓大家用騰訊電腦管家,也沒有說讓大家用360,更沒有說讓大家抵制什麼什麼,完全沒有任何這個意思。至於你們選什麼,我選擇站在中間。

2、知乎這個平台的主論調是不用第三方安全軟體和優化軟體,這一點我是知道的。我也給別人裝過系統,他們的水平比我爛多了,我都不會推薦他們完全裸奔,根據自己的水平選一個好的軟體。至於我裝360國際版,那只是我的需要。我需要一個好用的殺毒軟體,一個好用的沙箱。相比於各位知乎大牛,我只是一個菜鳥,我也知道有其他同類軟體,就選了一個用著順手的。我倒是覺得,用的是什麼軟體真不重要,知道自己需要用什麼才是最重要的。

3、關於操作系統的使用安全,樓上已經說過了,之前我不想啰嗦所以就沒寫。我想強調的是,好的使用習慣比裝任何安全軟體都重要。我自己有一台Windows平板,也沒裝第三方安全軟體,就只是打開了系統自帶的防護,每次用平板聯網的時候自動更新也會去點一下,保證傳輸到平板上的文件都是安全的,足夠了。另一台主要的電腦,系統和補丁都保持最新,360開著也不怎麼去動,下載軟體基本上都會去官網,實驗性操作用虛擬機,平時也就玩玩遊戲上上網,重要分區數據都用移動硬碟定期備份。

4、研究一些軟體也只是我的一個興趣而已,也就是看看有什麼功能,要是能滿足我的需要且好用的話就拿來用了。至於騰訊和360這兩家公司,有評論說到這兩家公司自己都好不到哪裡去,但360的技術更好一些,以我的感受而言,我是傾向於這種說法的。

5、我只是吐槽了一句知乎的編輯器太爛,就有知乎的員工給我發私信……


連病毒都有簡中,某些遊戲廠商真該反省下


————5.17補充————

評論區有大量憤怒的知乎網友,表達了自己對於360對nsatool的憤怒。對於給大家造成的困擾,深表歉意。

1、360的nsatools不是專殺工具,不能殺毒,手動雙擊運行病毒程序這種的它也防不住。

2、360的nsatools只是微軟的一些補丁的離線安裝包(的集合);我在全新安裝的windows7sp1中做了測試,並沒有復現藍屏問題。如果再有誰遇見藍屏,希望在評論區表達憤怒時可以同時提供以下信息:(1)nsatool的下載世界,大小及md5;(2)操作系統的版本;(3)是不是ghost方式安裝的或者是不是精簡版;(4)藍屏代碼(重要

3、首要推薦的安裝補丁的方式仍然是使用windows update自動更新,包括直接使用微軟的官方離線包都有可能出現各種稀奇古怪的問題

4、關於「防不住」的說法,我無法證實;如果您實在不放心,請使用windows update來安裝補丁。此外,如果有可能,請在表達憤怒的同時提供以下信息以便於排查問題:(1)什麼時候裝的補丁;(2)裝完補丁多久後發現沒防住;(3)當時所處網路環境;(4)所用操作系統及是否開啟了windows update;

5、鑒於以及被評論區罵慘了,現在起不再推薦使用360的nsatool

6、對於大家遇到的問題,無論是中毒了還是藍屏了,或者是因為看了我的回答裝了360的nsatool然後還中毒了,亦或是單純來評論區表示不滿的,再次深感抱歉。


————5.16補充————

早上8:30左右下載了360最新的nsatool,

文件大小131,985,704 bytes

MD5: DA8E9875D20D11C8DFEEEAD9D9072A04

SHA1: E0EC0FD0EEFB2227BB450A397AD318DF40FE1E70

在虛擬機(Win7 sp1,全新安裝後未安裝其他補丁)中安裝測試,並未復現藍屏問題。

與昨天下午下載的版本相比,新版的nsatool中多了一個BAPI.dll文件。


360的nsatool的作用其實就是微軟那一堆重要更新的離線包的安裝,並不能殺毒

如果再遇到藍屏,請核對文件大小及md5與我測試的版本是否一致


網上找了個樣本,用三台虛擬機測試了下,其中一台打補丁作為實驗組,一台全新安裝後不做任何操作(但是開網路發現及共享)作為對照組,最後一台手動運行病毒;三台機器位於一個虛擬網段,該網段和互聯網隔絕

已經等了半個小時了,實驗組和對照組均未被感染。。估計是我下的這個樣本不是蠕蟲。。

暫無法證實評論區中所說的「工具無效」觀點

–––––5.15晚上緊急補充––––

評論區大量反映裝完360補丁後藍屏的情況,已委託一位在360工作的同學反映情況,如果有明確結果我第一時間補充。

我下午時候在虛擬機下測試並未發現問題,明天早上我再試試是不是新版本有問題。

————5.15補充在最前面————

經評論區提醒,病毒的早期版本邏輯上有「bug」,病毒採用了加密文件 -&> 刪除文件而不是直接覆蓋,導致的結果是原始文件在硬碟上可能並未被覆蓋;應該可以使用數據恢復軟體恢復部分數據(死馬當做活馬醫)。

關於嘗試數據恢復的建議:

0、立即關機,正常版本的Windows可能會自動碎片整理,一旦進行了碎片整理,可能就沒啥恢復希望了(正常安裝的Windows7及以上好像都會默認開啟)。

1、建議在交由專業機構進行;個人無相關經驗的情況下進行該操作風險較大

2、如果數據的價值不夠數據恢復的成本想要自己嘗試一下的,建議在PE下進行或使用Linux(不能用Windows的理由同第0條)


————原答————

如果確實是由於nsa的eternalblue引起的,情況不會擴散太嚴重。但已感染的用戶會很鬧心。

(5.13下午補充:原答案「情況不會擴散太嚴重」的估計過於樂觀,根據部分公開報道來看,已經有一些公共服務/民生設施收到影響,石油,電信,銀行,甚至公安網都有受波及。答主此時的內心是絕望的...作為半個軟粉,看到因為微軟的系統捅了這麼大簍子,心裡不太好受

但是仍然有可以樂觀的理由:這些國計民生的關鍵服務的核心系統大多是unix/solaris或者其他「不常見」的系統,並不會收到感染;受感染的僅是終端設備,數據應該是安全的。因為不涉及數據,修復起來相對比較容易。向所有被叫回去加班的各部門、公司技術/運維人員表示感謝。

【圖片已刪】評論區指出原圖為PS作品,已刪除)


1,個人寬頻/家庭用戶方面,運營商應該已經主動屏蔽了445埠;即使未屏蔽,一般家庭都在使用無線路由器,默認情況下不對公網開放/轉發任何埠,也可以避免被攻擊。

2,校園網方面,教育網雖然未主動屏蔽445。但很多高校對師生個人計算機的ip地址的公網訪問採用白名單方式,也可以避免。
2.1,學校歷來是病毒的重災區,主客觀原因都有;想要解決起來問題也不少而且也不容易解決。

3,win10用戶被微軟強制開啟自動更新了(5.15補充:但不是不能關,只是不能像之前版本那樣被明確允許關閉,通過組策略或者直接關閉某服務均可關閉自動更新【不建議關閉,所以不詳說具體操作】),應該已經更新ms17-010補丁了;但是校園網中存在了大量關閉了自動更新的win7(或其他低版本windows)用戶,可能會成為重災區。

4,如果中招了,請做好丟失那些文件的準備。根據以往經驗,交錢並不能消災。文件應該是被aes128加密(後續版本有沒有用aes256不知道),在當前技術條件下,全球絕大多數人並沒有足夠的計算能力來對其進行暴力破解。想通過暴力破解來救迴文件的可以死心了。

5,現在判斷該病毒僅通過主機主動掃描發動的攻擊,對於很多不開放公網許可權的學校及單位還相對威脅不大。如果進一步的變種具備了蠕蟲特性,受感染的主機進一步掃描其區域網內設備並進行攻擊,可能受災面會進一步擴大。希望在這一天到來之前,大家都把補丁補齊了。

(5.15補充:判讀可能有誤,也許最初版本即為蠕蟲。)

6,請(希望)所以看到這個回答的人儘快著手備份自己的重要文件,並養成異地多活備份的習慣。不要等數據丟了才意識到備份的重要性。

平時多備份,災時少流淚

–––––腦洞分割線–––––

這個漏洞(後門)是先被人曝光出來了,並且微軟已經及時發布了補丁而且在還有win10強制自動更新這種有益buff加成情況下,依然造成了嚴重危害。

如果有類似的後門在戰時被精心策劃使用,其破壞力可能可以相當於在敵國首都扔了一顆大伊萬。雖然不一定能造成人員傷亡,但使該國的生活水平倒退到20世紀90年代不成問題。

————5.13補充————

殺毒方案:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c

360解決方案(不是殺毒):http://dl.360safe.com/nsa/nsatool.exe

微軟官方解決方案(不是殺毒):Microsoft 安全公告 MS17-010 - 嚴重

其他預防方案:如果自己並不需要使用smb共享文件,可以考慮直接使用windows自帶防火牆主動屏蔽445埠來達到「臨時解決」的目的

不過其實對於已經中毒的用戶並沒有什麼實質性作用,毒可以清除了,數據還是回不來

Wcry前世今生:Wcry Ransomware


關於被加密資料無法被解密的原因:

根據上文提及的Wcry Ransomeware 中的說法,病毒採用AES-128{什麼是AES?

密碼演算法詳解--AES https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86

}

方式加密用戶數據,主密鑰長度為128bit=16Byte,約為0.016KB;病毒編寫者理智的做法是在每台電腦上進行加密操作時,隨機生成個128bit的密鑰並對用戶數據進行加密,同時或等加密完成後,將該密鑰提交回自己的伺服器並刪除受感染用戶計算機上的密鑰。一切處理妥當,彈出勒索界面,用戶終於知道了自己被感染了,然而已經晚了。

AES的暴力破解是世界性難題,以AES-128為例,其密鑰總個數為  {2}^{128} 個,約為3.4×  {10}^{38} 個,如果生成所有密鑰並存儲在一個文本文檔中,忽略換行等其他開銷,大概需要佔用4.95×  {10}^{27} TB。

如果想要在一年內暴力破解,假設暴力破解需要嘗試大約一半的密鑰空間,則每秒需要完成5.4×  {10}^{30} 次嘗試;而整個宇宙的恆星總數大概只有{10}^{23}這個數量級


病毒體本身不保存密鑰(從後續的報道來看,這句話存疑,可能正確的說法時病毒本身保存了部分密鑰,其中一種說法是aes鑰被被非對稱加密後保存在中毒電腦上;另一種說法是aes密鑰有兩個,其中一個可能保存在用戶電腦上用於支持「部分解密」功能。因為已有大量變種,可能兩種說法均正確),無密鑰情況下暴力破解又是不可能完成的任務,利用windows的高危漏洞進行傳播,可以在用戶不進行任何操作的情況下感染,這大概就是這個勒索病毒最令人感到絕望的地方了。

還好,國內運營商反應夠快;還好,無線路由普及了(所以我要吐槽IPv6沒有NAT6了,把所有設備暴露在公網上,一旦出現類似情況必死無疑);還好,微軟被人罵慘了的強制開啟win10的自動更新終於還是立大功了

在校園網又不想裝第三方殺毒的人(今後)能做什麼:開啟自動更新;開啟Windows自帶的防火牆;聯繫學校把所有師生的IP地址禁用公網訪問許可權,僅開放白名單內的IP(大誤,我會被打死的);如果有可能,在電腦和校園網直接加一個路由器以避免個人電腦被直接暴露在公網上(我打賭,以後不會出現路由器和Windows操作系統同時爆出0day,就算是同時爆0day了,現在路由器廠商/系統這麼多,我賭它不會出現所有路由器都被0day)。

ps:經評論區提醒,現在的家用路由也一堆0day沒(法)修復


涉密不上網,上網不涉密,這是保證安全的最好途徑了

如果必須要聯網,安全就只能是相對的安全了。


————5.13中午補充————

如果懶得根據教程手動添加防火牆規則,或者不放心自己設置是否正確,可以使用如下方案:

以管理員模式運行cmd或powershell,並依次執行以下兩條命令(Windows7及以上,vista沒測試,應該也行)


netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

WindowsXP直接在cmd窗口中運行(不保證一定有效):


netsh firewall set opmode enable

net stop rdr
net stop srv
net stop netbt

5.15補充關於防火牆設置的補充:

經評論區提醒,Windows7及以上系統中,如果設置為公共網路,默認情況下並不會啟用網路發現 和 文件及列印共享,在該模式下無需手動設置防火牆來關閉445埠

如果設置為家庭或工作網路,則需要手動設置防火牆規則或在網路與共享中心——高級共享設置中關閉網路發現就 和 文件及印表機共享


————5.13午睡後補充————

1、雖然用路由可以避免遭受攻擊,但是校園網不讓用路由,一人一號一IP這些規定不應該為這件事背鍋。這件事的鍋只能甩到NSA頭上。

答主上學的學校採用的白名單制,雖然用著公網ip,但只要不在白名單里,所有入口請求都會被學校給攔截掉。說實話即使現在依然羨慕你們這些有手裡能拿的IP有公網許可權的學校/人。


2、[這裡原來有兩段話,大意是先關445埠,然後聯網打補丁,然後再開開。考慮到在不安全的網路環境下允許網路發現及文件共享存在較大風險,故不再無腦建議打完補丁後就把445埠放出來(除非工作環境中需要使用smb共享的文件及印表機)。但仍建議用戶留意自己修改了什麼設置,在今後遇到區域網共享不了文件時知道從哪裡修改防火牆]


3、[這裡原來有兩段話,過於主觀(而且還猜錯了),已刪除]


————5.13下午補充————

根據cnbeta報道,若報道屬實,期待wcry「疫情」能儘快得到控制。

英國研究人員找到隱藏開關 阻止勒索軟體進一步傳播

夾帶私貨:

事情發展到這個地步,感覺會有不少人「棄軟投果」。。。。要不要考慮考慮嘗試下debian/ubuntu唄?嗯,開頭說了我是半個軟粉,沒說的另外半個是debian粉


–––––5.13深夜更新–––––

下午更新那一條消息可能已經失去價值了。"樣本有好幾個變種",結合下午報道出的大量企業,公共服務部門遭遇感染,可以確定病毒已經有了具備蠕蟲化特徵的變種。即意味著,某些通過屏蔽公網訪問躲過了第一波攻擊的學校的網路環境已不再安全。此外,大量只有單一公網出口的內部網路也將受到威脅。

如果有可能,希望相關管理人員儘快將內網劃分子網,並臨時禁止子網間的相互訪問請求。

————5.14補充————

評論區好多人問轉朋友圈的問題:已經設置了允許規範轉載,可以轉到任何地方,轉載/分享什麼的不用再詢問了。


現在再看看這些知乎的提問,你們知道為什麼那麼多中病毒了的吧。

有沒有人覺得Windows 10的強制更新政策細思極恐?
https://www.zhihu.com/question/59194863
==================================
win10在不經用戶同意下自動更新電腦,是不是流氓系統?
https://www.zhihu.com/question/53639516
===================================
win10為什麼不能選擇關掉自動更新?
https://www.zhihu.com/question/46365518
====================================
對於沒有任何重要文件的家庭PC來說,頻繁更新WINDOWS補丁的意義大嗎?
https://www.zhihu.com/question/21458279

====================================
PS:知乎的編輯器在win10上簡直不要太難用。。。。


怎麼看待?當然是必然會出現,只是個時間問題。
世風日下,技術為榮的時代已經過去,一切皆變現得時代已經到來。
估計隨著時間的推移,以後再也沒人發0day了,再也沒人分享滲透技巧了,拿下系統沒有apt價值的,拿了數據就加密勒索。當然破解軟體也都得給你塞上後門,先搜集信息,發現有價值的再加密勒索,沒價值的就當肉雞用了。


我還是那句話,今年是2017年,很多人使用電腦的習慣還停留在十幾年前。
怪誰?

比這個事件更噁心的是很多所謂的安全專家的分析和建議。杜絕這種事件的方法非常簡單,與時俱進,更新你使用電腦的習慣。

如果你:
打開了Windows Update。
或者使用了正確的網路設置,並且內網內部沒有SB下載各種奇奇怪怪的東西。

那麼你根本不會出現任何問題,不需要去搞那些奇奇怪怪的設置。
如果你關心新聞並且有一點兒專業知識的話就會知道,這一次病毒利用的正是前幾個月方程式組織被黑爆出來的那個最要命的SMB協議漏洞。而在這個漏洞被利用之前,微軟已經發布了安全補丁。所以當你打開了Windows Update的時候,你應該自動的免疫了這個病毒,就像我一樣,連病毒長啥樣都看不到。

即便你沒有開啟自動更新,或者說沒有及時進行更新。那麼只要你沒有在不受信的網路環境做出錯誤的選擇,你同樣不會受到困擾。從Windows Vista或者更早的版本開始,系統在安裝好後是默認關閉網路連接的,此時會讓你選擇這個網路位置是可信還是公用的,儘管這個選擇的提示令人費解,但是如果你選擇了公用網路,那麼這一次被攻擊的SMB協議是不會被自動的開啟的。
事實上,這一次的病毒性從傳播方式上來說是根本不可能直接通過互聯網傳播的,至少在我國不可能。因為運營商根本就封鎖了SMB協議的埠。所以爆發點多集中於高校和政府機關,正是因為SMB協議通常在內網才會開啟,導致內網一台機器中毒,所有機器都不能倖免。這與之前的病毒有所區別,作為普通用戶大可不必驚慌,如果你沒有下載奇奇怪怪的東西並授予許可權,你家的路由器和電信通常都會阻斷病毒通過互聯網傳播到你的電腦。

最後,我想講的是,與其像驚弓之鳥一樣求救於那些所謂的安全專家,養成一個現代的使用電腦的習慣才是真正的避免成為受害者的方式。今天的網路安全和信息安全並不比十幾年前更為惡劣,反而是更加安全,唯一的問題是電腦開始普及而大多數用戶根本不知道如何正確的使用電腦,十幾年前半吊子用戶的各種扭曲甚至錯誤的習慣被奉為圭臬。就像今天這些冒出來的安全專家教你關這個關那個,放棄這個不用那個一樣。

現代的使用電腦的方式是:

1、不要關閉系統更新。

2、不要忽略系統警告。

3、不要安裝非必要軟體。

4、經常備份文件。

5、重要文檔直接放在onedrive上。

6、不要關閉自認為不需要的系統服務(如備份,卷影副本)。

7、相信操作系統。譬如說直接用Windows 8和Windows 10自帶的殺毒軟體就夠了,不要相信某些軟體宣稱的什麼會有殺毒軟體誤報或者什麼請在接下來的安全警告對話框點擊確定之類。

8、儘可能使用正版軟體。


不談病毒散播機制,不談解決方法。這次事件真正震驚我的是,淪陷的大部分是內網....

現在,有一個流行的邊界安全理念——隔離。

隔離的初衷很美好,你要進來偷我數據,我為了安全乾脆連門都沒有!看你怎麼偷。

這一機制在很長一段時間內運行很好,因為確實,大部分黑客並非此次的勒索型黑客,而是對數據更感性趣。

隔離帶來了一個問題,阻絕了外來風險的同時,也阻絕了內部系統升級的機會(不要跟我說統一終端管理,定時分發補丁,就這次事件來看,有多少區域網做到了?)

於是內部系統有一個強大的邊界和一個極其孱弱的系統。邊界安全與系統安全不對稱發展,看起來無妨,可惜安全遵循木桶理念,一旦有一天這個邊界被滲透....

比如說這次,蠕蟲病毒在外網攻擊烈度並不高,微軟三月份就下發了補丁,只要你開著系統更新,早就被補過坑了。

而內網...大量的winxp,大量無法升級的低版本系統。再加上病毒鏈接互聯網查詢,作為攻擊發起決定的機制,導致在病毒面世後僅僅七小時,外網攻擊就基本遏制,而內網剛剛開始爆發。

就像是一個無菌房,裡面住著一幫孱弱的,極度敏感而又脆弱的人,一旦發生病毒滲入,大家一起掛。

搞安全理念很重要,你以為宇宙文明要炸裂你,躲到星球背面去,沒想到人家掏出了 二向箔。咱也不要你數據,只讓你自己都看不懂。想看懂?交錢....

另外,就本人工作性質而言,真心慶幸沒有針對嵌入式搞編譯,要是攻擊對象不僅僅是互聯網...誒呀,不能說,想都不敢想。


雖然給受害者帶來了諸多不便,但是如果能給國內的如玄學般的網路安全一個教訓,也算是不幸中的萬幸。

1.永遠不要小看Windows的自動更新和UAC還有防火牆(請沒中招的同學自行百度如何打開);

2.那些說Windows 10不好的應該可以閉嘴了吧(中毒的大多數都是XP/Win7);

3.對於某些為了市場佔有率誘導用戶關閉UAC,Windows Defender甚至是自動更新的國產殺軟可以卸載了;

4.再次說明,國產安全軟體還是不如Windows 10自帶的安全組件好,畢竟沒人比微軟更懂Windows(如果有重要數據的同學,最好使用一個移動硬碟作為備份盤,如果有條件可以使用小型硬碟櫃組建RAID,性能和數據安全兩者都可兼顧);

5.卡巴斯基保平安(價格良心,殺防效果全球前列,未來可能發布破解工具);

6.如果你不幸中招,直接格掉所有數據重裝吧,不要選擇付錢,他們也不知道你電腦對應的密鑰是哪個。


這就是某些校園網不讓用路由器,還只能一號一機的結果!

教育網要麼是一個介面一個公網ip(v6標配v4選配),要麼幾個大區域網,大量的windows設備能夠直接互相訪問,然後病毒就可以輕易的訪問其他未更新win7了,這些學校其實根本沒有"內網",因為大部分學生只能通過學校和運營商提供的定製版軟體撥號,還只有windows版,只能直接把自己的電腦連到宿舍的網口上(或者連接cmcc),那就沒有"如何感染內網"這個問題了

路由器(網關)是內部網路接入互聯網的第一道防線,內部的設備通過nat轉換往外發送封包,源地址和埠都被修改,但是對於外部傳入的封包(目的地址:網關wan,埠445),除非被病毒upnp(只能由內部的設備執行upnp協議,且upnp一般只能指定本機,這裡或者說網關也被病毒控制)或者半吊子搞dmz(一般沒人去轉發445埠),是進不來的,網關上就被丟棄了,因為埠上根本沒有監聽(網關wan的埠)
對於不更新系統裸奔或者裝錯全家桶的,這就是最後的防線了,因為某些教育網的規定,上千台設備,都能夠直接相互訪問,有那麼一台中招,然後就Boom
(補充)當然默認的防火牆配置也是很重要的,上段說明nat轉換本身就起到了防火牆的作用,一般的nat路由器外部都是一個埠都沒有(鬼知道國產49元路由器wan有沒有防火牆,倒是lan這邊有),除非自己打開某些默認關閉的功能,廣域網路由器上的防火牆就更重要了,比如我們學校的伺服器機房的網路只開放3個埠可以連入22,80,443

即使病毒通過其他的方式在一個宿舍的區域網內某台機器上執行,這個宿舍全中招,也不能傳播到其他宿舍,因為都是有路由器的,路由器也有不同型號,不同的架構,病毒還要控制網關那就太麻煩了,不僅要能感染windows,還要能夠操作各型號的路由器,linux,vxworks系統,架構也有型號各異的MIPS和少量的ARM,感染就能得到控制,損失就會限制

正是因為有了網關設備和網關設置的多樣性,廣域網才有安全可言,這裡可以參考生物多樣性

一號一機,一人一機完美的消滅了這種多樣性

至於為什麼這些校園網要這樣搞。。。
至於這個鍋該給誰。。。
我也只能說句"出離憤怒"了

--------
多少人都不知道,這個小小的插座
帶給人們幸福與快樂,舒適和便捷的插座
到底通向哪裡


傻瓜預防方案:打開Windows自動更新。


早有先見之明的,已經把445之類高危險的埠關了,或者用防火牆阻斷了。


作為一個被罵了無數次「注孤生」「活該沒sex生活」的直男之癌,我就看著你們在群里、朋友圈、微博上哭天抹地。


勒索軟體又稱 Ransomware,最近兩個月在黑市裡面發展到了令人髮指的規模,甚至出現了雲勒索平臺,駭客已經將勒索軟體作爲一種服務來賣,業內稱爲 Ransomware-as-a-Service (RaaS) 。

這些雲勒索平臺提供了整套的病毒生成和 CC 中控服務,駭客顧客們基本不需要架設任何節點就能直接部署並操控殭屍網路 swarm,非常便利。

如果有興趣還可以翻牆看看這款叫 Philadelphia 的勒索軟體的廣告:

https://www.youtube.com/watch?v=5WJ2KHoo5Fo

這款 RAT 可以自定義的參數非常多,功能也十分強大,支持 USB、LAN 傳染、進程保護、CC 中控服務器遷移、密鑰管理等等的操作。就連 CC 中控服務器的後端代碼都能自動生成,能夠非常快速地部署大量 swarm,如果一部分中控服務器被牆也能快速地遷移到新的中控服務器上。更重要的是這樣一款優秀的勒索軟體在黑市上只要 400 美金就能買到,並且作者聲稱提供長期保修維護服務。

對於有編程基礎的駭客,甚至還有免費的、開源的勒索軟體框架。早期是一位來自土耳其的黑客 Utku Sen 寫的叫做 hidden-tear 的框架,現在很多雲勒索平臺是基於這個框架開發的,比如上面提到的 Karmen。後來他在新版本中改名爲 eda2,但是一位自稱來自孟買的小哥 Empinel 在其代碼中發現了後門,於是他在改進和移除後門後又改名叫 Win32.Stolich。這些項目的原始 repo 都已經被 GitHub 移除了,現在找到的都是一些 fork,估計不久也會 404 掉。不管怎樣,這些優秀的開源框架都極大方便了勒索軟體的開發工作,比如 LMAOxUS 就是基於 Win32.Stolich 框架的一款造成了很大破壞的勒索軟體。

不過有一點要解釋清楚,Ransomware 是整個入侵流程最終運行的程序,具體的入侵手段跟 Ransomware 本身沒有關係。勒索軟體運行後只會去加密文件、顯示勒索窗口、收到解密指令後執行解密而已,並不需要具備攻擊其他計算機的能力。當然自定義的勒索軟體可能會捆綁蠕蟲病毒,利用各種攻擊手段入侵其他計算機傳播自己,但是其最終的目的都是執行勒索軟體本體。

說到這裡我必須要闢幾個謠言。首先有人誤解了本次 WannaCry 的開價,真正的價格是「300 美金等價的比特幣」,也就是大概 2000 人民幣的樣子,三天翻倍,七天永久失去機會。其次是很多人說的「不要付款、付款也不給解密」之類的謠言,請各位理性考慮一下再做決定。如果你沒有備份、嘗試過各種恢復手段了、然後被加密的文件對你非常重要的話請不要再糾結,請果斷付款。這次的勒索發展到這個規模,對駭客來說已經成爲了一筆非常嚴肅的生意,而生意最重要的就是守信用,如果你給錢他又不給你解密那就是失信,失信的結果就是客戶流失,就沒人會給他打錢了,這是他絕對不願意看到的,所以各位儘管放心,除非那人的目的不是錢,否則是沒有理由對你失信的。

這次的 Ransomware 本體無非也就是用上面提到的框架寫的變種而已,但是真正讓其大肆傳播的實際上是源於去年 8 月份開始由駭客組織 Shadow Brokers 泄漏的美國國安局 NSA 內部的駭客組織 The Equation Group 的武器庫當中的漏洞 ETERNALBLUE,並且 WannaCry 在運行後還會安裝來自同一批泄漏的 DOUBLEPULSAR 後門。

這裡也有些要注意的,NSA 的武器庫是分批泄漏的,16 年的幾批當中其實並不包含 ETERNALBLUE,「永恆之藍」是於今年 4 月份才泄漏的,屆時微軟已經接到 NSA 的通報,早在今年 3 月份就已經發佈了 MS17-010 補丁修補了相關漏洞,所以只要用戶及時更新,都能趕在該漏洞被公開之前打好補丁。但是基於我朝特色嘛,由於各種原因不更新的大有人在。

不得不說 NSA 實在是老奸巨猾,平時不停地去挖漏洞、買 0day,直到快要被人泄漏出來了才去通知廠家。想必他們手上還有更多未被泄密的漏洞,對他們來說基本所有人的設備都是不設防的,如果再發生類似的泄漏事件,對任何人來說都會是災難。

斯諾登一直在做的就是反抗 NSA 的這種行爲,想想看,如果這次的漏洞不是簡單地被用作敲詐,駭客也沒有公開漏洞,而是祕密地用在恐怖活動中,襲擊的是金融、軍事機構,後果將不堪設想。

至於這次國內影響這麼大跟很多人的安全意識太低有關係,很多人不關心網路安全、不在意個人隱私、對某些勢力擁有大規模網路攻擊能力抱有僥倖和縱容態度。要知道就算是自己的國家擁有該能力,也有可能被敵對勢力竊取而反過來威脅己方。我不是說國家就不能去研發網路攻擊能力,而是要有一定社會責任心,研究怎麼攻擊敵對勢力時也要考慮怎麼提升本國的網路防禦能力,你能發現的問題別人也有可能發現,如果你向廠商反映並修復了,那麼對方就失去了一種攻擊可能,實際上也是一種安全策略。

同時也要促進各種機關的軟體升級,國內太多系統都只兼容XP,這便讓駭客有機可乘。這次攻擊算是給這些故步自封的機關敲響了警鐘,不失爲一件好事。

說到這又有一件想吐槽的事,本次的 Ransomware 已經被分析出來存在一個開關:該病毒在運行時會嘗試訪問 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 這個網站,如果能訪問則會直接退出,不執行加密操作。現在該域名已經被安全機構強制管控進行黑洞處理了,理論上所有能訪問網路的計算機現在運行這個病毒都不會執行加密操作了,已經能控制危害範圍。

但是,但是。我大天朝的特色嘛,你懂的。

所以該病毒在國內仍然處於活躍狀態,請各位自覺做好防護工作吧。

更新:

新消息稱病毒作者已經發佈了新的變種,去掉了開關,所以該變種病毒會繼續傳播。

Round Two: WannaCry Ransomware That Struck the Globe Is Back

我個人覺得,安全機構應該快速利用該漏洞,傳播補丁蠕蟲,自動「入侵」所有有該漏洞的電腦強制打上補丁。


好消息:

由於 XP 的 RSA 函數實現上存在安全問題,現在已經有人寫出了工具能在一定機率上從內存中找到 WannaCry 生成 Session RSA Private Key 用到的 P、Q 素數值,從而計算出私鑰從而能夠最終解密文件。該方法目前只適用於 XP,並且要求在中毒之後沒有進行過重啓操作,且 P、Q 值仍殘留在內存中,所以有一定概率性且限制很大。

祥見:aguinet/wannakey


謝知乎團隊邀請~系統地分析回顧一下整個事件。

——————

事件概述

北京時間5月12日晚開始,名為Wanna Decrypt0r的蠕蟲勒索軟體爆發,襲擊全球網路,目前已有近百個國家的用戶受到攻擊。 Wanna Decrypt0r會加密受害者計算機中的文件,需要支付比特幣贖金,才可以解密還原文件。國內高校教育網成為重災區,其他行業如一些政府和企業內網也受到影響。

Wanna Decrypt0r勒索軟體是什麼?

? Wanna Decrypt0r通過加密受害計算機中的數據文件,向受害者敲詐金錢(使用比特幣形式),這種加密強度非常大,所以除非有對應的解密工具,否則基本不可能成功解密。

? 該勒索軟體帶有蠕蟲傳播性質,可以通過MS17-010漏洞來自動攻擊和感染同一網路上的其他Windows計算機。

事件時間軸

  • 2016 年 8 月,一個名為「Shadow Brokers」 的黑客組織聲稱入侵了另一個黑客組織Equation Group(譯名:方程式組織),方程式組織據稱是NSA(美國國家安全局)下屬的黑客組織,其所擁有的技術無論是從複雜程度還是從其先進程度來看,都已經超越了目前絕大多數的黑客團體,該黑客組織已經持續活躍了二十多年。Shadow Brokers在互聯網上放出了大量的據稱是NSA用於網路監控和攻擊的工具程序,同時還保留了部分文件,打算公開拍賣。
  • 2017 年 4 月 8 日,「Shadow Brokers」 公布了保留部分的一部分解壓密碼。
  • 2017 年 4 月 14 日,「Shadow Brokers」放出了第二波保留文件,包括新的23個黑客工具,其中一個工具利用了微軟的MS17-010漏洞,也就是本次Wanna Decrypt0r勒索軟體所使用的漏洞。
  • 2017 年 4 月 14 日當天,微軟MSRC發布公告,聲明大部分的漏洞均已修複發布對應補丁,其中MS07-010是在3月份的補丁中已經修復。
  • 2017年5月12日,利用MS17-010漏洞的Wanna Decrypt0r勒索軟體爆發,截至目前已經有接近100個國家的用戶受到攻擊。

還沒有中招,我該做什麼預防?

  • 如果你使用的是正版操作系統,打補丁是最好的選擇。微軟已經在3月份發布了該漏洞的補丁,使用自動更新安裝即可。根據最新消息,微軟在北京時間今天(5月13日)剛剛決定,為已經停止維護的Windows XP和部分伺服器版本Windows Server 2003發布針對本次攻擊的特別安全補丁。
  • 如果你使用的是盜版操作系統,不支持自動更新,可以嘗試使用各類第三方安全軟體安裝補丁。
  • 如果你確實無法安裝補丁,比如安裝補丁後會死機,無法啟動之類的,使用windows自帶的系統防火牆關閉445埠的訪問。具體步驟可以根據自己的操作系統版本,參考一些網上教程,例如http://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html。看了教程也不知道怎麼操作的同學,可以使用一些安全公司推出的免疫工具,例如:http://t.cn/RX6FcHb
  • 對於企業伺服器用戶,除了安裝補丁外,在確保業務不需要使用445埠後,還可以使用防火牆關閉445埠的訪問。使用了第三方安全服務或產品的企業,可以諮詢為您提供安全服務或產品的公司。
  • 使用國內公有雲(阿里雲,UCloud等)的用戶,由於國內此前爆發過多次利用139,445等埠傳播的蠕蟲事件,運營商已經封鎖了445埠(沒有封鎖的教育網和各企業內網成為了本次事件的重災區,同情一下畢業論文被加密的同學),所以來自公網的攻擊基本可以不用擔心,但仍建議使用雲廠商提供的防火牆,封鎖139,445等埠。

已經中招了,我該怎麼辦?

  • 對於已經中招的同學,表示深深的同情。據稱有受害者支付了贖金,但仍然沒有獲得解密程序,建議不要支付比特幣贖金,支付贖金只會讓勒索軟體產業更加壯大,出現越來越多的勒索事件。
  • 保存好被加密的文件,關注各家安全公司或者勒索軟體作者是否有解密程序放出
  • 重新安裝系統,並根據上面的安全建議打好補丁,做好預防措施,保持打補丁的良好安全習慣。

吃一塹長一智,後續應該做些什麼?

對個人來說

  • 養成良好的安全習慣,及時打補丁,安裝安全防護軟體,從正規渠道下載軟體等,這些小習慣往往在關鍵時刻,能避免你的損失。
  • 最最最有效的手段,找一個做安全行業的男(女)朋友 :)什麼?你已經有了還中招了,那需要換一個了,我這裡有資源,請私聊。

對企業來說

  • 撥出一些預算,成立自己的安全團隊,或使用第三方專業的安全服務/產品。
  • 國內各公有雲的用戶,可以使用各雲廠商提供的鏡像和數據備份服務,即使受到攻擊,也可以及時恢複數據。比如 UCloud 的數據方舟產品,可以恢復到12小時內任一秒的數據狀態。
  • 對公司內的安全崗位同學好一點,請他們吃飯,給他們加工資。

本文由『UCloud安全團隊』提供。

「UCloud機構號」將獨家分享雲計算領域的技術洞見、行業資訊以及一切你想知道的相關訊息。

歡迎提問求關注 o(*////▽////*)q~

以上。


推薦閱讀:

為啥現在大多數手機開機後不能直接使用指紋?
網頁遊戲都有哪些安全問題?如何做得更安全?

TAG:互聯網 | 數據安全 | 網路安全 | 信息安全 | Wana Decrypt0r 2.0(計算機病毒攻擊) |