如何預防 5 月 12 日校園網比特幣勒索病毒?

如圖,目前全國範圍內校園網用戶都面臨該病毒威脅,特徵為:

1. 主要是win 7感染

2. 加密文件後綴不統一

3. 發作迅速


保持良好的使用習慣,開自動更新,盡量別用破解軟體(主要是註冊機之類的會比較危險)——不然就算你用Mac也可能會中招

Swift語言惡意勒索軟體出現:面向macOS偽裝成破解工具_安全_cnBeta.COM


5月12日,WanaCrypt0r 2.0、Onion以及Wallet等後綴的勒索加密事件在全球蔓延。周一在大家打開電腦之前,企業的IT管理員和信息安全管理員務必注意「安全第一」。

阿里雲安全專家推薦您按照以下幾步,進行「周一安全檢查」(部分建議適用於雲上用戶):

  • 我們發現部分主機疑似被植入了蠕蟲,但蠕蟲尚未運行。如果您發現系統有任何異常但數據未被加密,強烈建議您使用ECS提供的快照功能立即創建磁碟快照備份;
  • 微軟已於2017年3月份修復了此次三個高危的零日漏洞,建議您立即安裝相關補丁(域用戶建議通過域控緊急推送微軟官方的補丁);
  • 安裝防病毒軟體(推薦MSE),並同時按照第一步打上補丁;
  • WindowsServer 2003微軟官方已經緊急發布針對此次事件的特殊補丁:因此建議您立即安裝相關補丁(域用戶建議通過域控緊急推送微軟官方的補丁),修復漏洞。
  • 通過安全組策略增加訪問控制策略,關閉公網和內網入方向的TCP137、139、445、3389埠(注意,關閉3389埠可能導致無法遠程登錄伺服器,建議您通過ECS的管理終端功能登錄管理伺服器);
  • 使用以下命令關閉SMB服務:

以管理員身份打開CMD,運行以下命令:
net stop server
sc config lanmanserver start= disabled

  • 檢查【內網】入方向是否存在0.0.0.0/0 允許策略,如果存在,建議您備份安全組設置後,儘快刪除0.0.0.0/0條目(注意:刪除此策略前,請務必確認內網需要互訪的請求已經單獨通過安全組策略放行
  • 對於已經被加密的機器目前尚無可靠的解密手段,若有備份,建議您重置系統後使用備份數據進行恢復
  • 新創建的ECS已經安裝了補丁,不受此事件影響,但依然建議您確認高危埠是否對內外網開放;如非必要,建議您參考第四步,關閉相關埠

完整建議方案:【企業IT管理員必讀】WanaCrypt0r 2.0和ONION等勒索軟體病毒應急處置方案|雲安全 - 開發者論壇


如圖

關於勒索病毒爆發應急處理的緊急通知

5月12日晚開始,各單位陸續出現針對Windows操作系統的敲詐者病毒,該病毒基於網路途徑傳播,表現中病毒計算機/伺服器的文件被加密,並出現索要贖金的畫面。

針對所有windows伺服器(含內網,外網),為預防病毒感染應開展如下工作應對:

1.請在windows系統中控制面板-&>程序-&>啟用或關閉windows功能,取消勾選SMB 1.0/CIFS 文件共享支持並重啟系統;

2.開啟系統防火牆,利用防火牆高級設置, 關閉445埠,設置方法可參考下面文章的第三部分。

http://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==mid=2650170534idx=1sn=dedc3ff25c3594b49bc4e6c53c9fd123chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7mpshare=1scene=1srcid=0513O1Ff8QaFNpyJEfkpLqpv#rd

3.更新系統3.14微軟補丁,地址https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx?from=groupmessageisappinstalled=0

4.不要點擊不明郵件內的鏈接信息

5.伺服器一旦感染病毒立即斷開本地網路,防止進一步擴散

請儘快操作,避免被病毒侵入。

大概就這樣了!


不管Win7還是Win8還是Win10

自動更新別絞盡腦汁的關閉

什麼,你用XP?呵呵,活該

Mac/Linux並非什麼大法好 只是病毒開發者沒針對你們罷了

畢竟就這倆系統的市場份額,全部感染了也沒多少


本回答轉自我的專欄,想看應對解決辦法和事件評論的,各取所需即可:

勒索軟體肆虐,難道只能欲哭無淚(WannaCry)? - 知乎專欄 (有問題可以私信聯繫我)

https://pic2.zhimg.com/v2-d5808f69bab70ca50ac0acb0f9d019c1_b.png

從昨天起,全世界都被一款名叫WannaCry的勒索軟體刷屏了,在短短不到18個小時的時間裡,該病毒迅速席捲到我國,對Windows電腦產生了惡劣的破壞作用。

題圖就是全球受WannaCry病毒影響的國家和地區(神奇的是,北韓地區,是沒有藍色病毒小點的)

https://pic1.zhimg.com/v2-67f9ec831a77f14aa40416ec1285fc10_b.jpg

果然,金將軍帶頭用 MacBook,為朝鮮的網路安全,起到了很好的示範和防範作用

事件回顧:

5月12日起,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊,中國大批高校也出現感染情況,眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復。

在我國,受WannaCry 病毒影響最大的群體,就是國內的各個高校。因為高校內有一大堆裝著舊版Windows系統的電腦(XP、Win 7),除了微軟早已不提供更新的XP(2014.4.28),不少安裝Win 7的電腦,也因為沒有打開系統更新,受到病毒的攻擊。

https://pic2.zhimg.com/v2-7a4bfcab3774800690654b413af56069_b.png

病毒的界面,有倒計時,提醒受害者用比特比轉賬,才能贖回被加密的重要個人文件

WannaCry勒索病毒對用戶電腦的破壞有哪些?

1.加密用戶所有分區的文件,只有向黑客的指定賬戶,匯款比特幣,才能解密文件。 2.目前該病毒只能通過打補丁的方式來防範,目前還沒有有效的專殺工具來應對,易感染病毒的電腦。

為什麼在國內受感染最多的是高校的電腦?

1.Windows版本滯後,沒有打上最新的補丁 2.該病毒在內網裡主要靠445埠傳播,校園裡撥號上網工具,主要靠445埠進行通訊,外加內網裡的大量「肉雞」,為病毒傳播提供溫床。

解決方法:

一、為系統安裝補丁:

如果你的電腦在裝過系統後,就沒有打過補丁,那麼只有Windows 10(1703 創意者更新)才有「 金鐘罩,鐵布衫 」,不怕勒索軟體的攻擊。

https://pic3.zhimg.com/v2-7334b1b81527022939ecb7ab005a43ba_b.jpg

查看當前系統版本的方法:

Win 10:

右擊「Windows 徽標」,點擊「命令提示符(A)」,查看系統版本:

https://pic4.zhimg.com/v2-fa5bad5446f3dedf9cffcc6181c03217_b.png

如果系統版本號顯示:

10.0.10240

10.0.10586

10.0.14393

那麼請注意,你需要安裝防護補丁。

Win 8、Win 7、Win Vista、XP:

不用查看系統版本了,你們一個都跑不掉。

1.通過Windows Updates打補丁:

打開Windows Update,對於不知道如何打開的同學,請參照這裡(XP、Vista微軟已不提供更新,下面有單獨的補丁安裝):

Win 7(這條是教你怎樣關閉系統更新的,反之亦然):教你怎樣關閉Win 7 系統更新功能

Win 8:win8系統更新兩種方法

2.連接微軟伺服器慢?檢查Windows Update時間太久?不用急,我們可以下載單獨的補丁包:

對應不同系統版本的補丁包下載(個人整理):

KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

適用於Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安騰

KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

適用於Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

適用於Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

適用於Windows 8嵌入式、Windows Server 2012

KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

適用於Windows 10 RTM 32位/64位/LTSB

KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

適用於Windows 10 1511十一月更新版32/64位

KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

適用於Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

二、關閉系統445埠(應急用)

1.鍵盤Win + R運行,輸入「CMD」,啟動命令行窗口,注意,Win 8以上版本用戶,需要按Win + X,選擇「命令提示符(管理員)A」。接著輸入:netstat -an 命令,檢查打開的埠中,是否有445埠。

https://pic2.zhimg.com/v2-e1067d025c429e7b5ae8b206bcd1cc75_b.png

2.如果出現上圖式樣,就需要把445埠關閉,需要依次輸入以下命令:

net stop rdr

net stop srv

net stop netbt

https://pic1.zhimg.com/v2-c3488e953a9100fcb3f7b3ba3a463508_b.png

這樣,我們的目標就達成了。

360也推出了相應的防護修復工具,其實原理相當簡單,就是引導用戶到360打補丁的界面,把對應補丁打上,即可使系統得到防護。

下載鏈接: 360 NSA武器庫防護工具

https://pic2.zhimg.com/v2-8e00848e9be36e87d07902ead840eafd_b.png

解壓後運行,按提示操作即可

有羊補牢 / 亡羊補牢之措

1.平時做好定期備份個人文件的習慣,現在移動硬碟真不貴,容量越大,單GB價格越低,花錢買個保障是值得的,畢竟硬碟有價、數據無價。

https://pic4.zhimg.com/v2-03afe036c011e28604e3a815e079690b_b.png

2.如果你已經不幸中招,很遺憾,暫時真沒有什麼有效的解密辦法,下一步,你應該當機立斷,死死按住電源鍵,強行關機。這樣病毒的進程就沒法運行,自然就不會繼續侵蝕你的其他文件。

然後,如果你周圍有會修電腦的小夥伴們(比如我,嘻嘻),他的手上,多少會有一個獨立的「移動硬碟盒」,你需要由他的協助下,拆開電腦,拿出電腦里的硬碟,然後將硬碟接到移動硬碟盒上,連接到其他電腦上,繼續恢複數據。

注意:該硬碟連接到的電腦,需要安裝好上述最新補丁,並保持殺毒軟體防火牆開啟,445埠關閉,並且最好在殺毒軟體病毒庫已更至最新,斷網的狀態下,對數據進行備份。

遇到以 .onion 結尾的文件,就不用去動他了,勒索軟體採用了AES-128位的加密演算法,將破壞的用戶文件,加密壓縮成這種類型。將這些文件,單獨隔離起來,等待未來有可能的解決辦法,如果你按電源鍵的反應夠快,相信還是能找回不少未被破壞的數據的。

後記

美國安全局(NSA)被成為此次事件的「始作俑者」,原因是這些勒索病毒,均是由其實驗室泄露出來的「永恆之藍」黑客武器的變種。

此次事件中,值得關注的幾點,一個是比特幣,另一個是脆弱的機構網路,還有一個是公眾(尤其是我國)落後的信息安全保護意識。

1.比特幣作為一種「去中心化」的貨幣,由於誰也不能知曉,比特幣交易過程中,經手的路徑和經手人身份,所以成為極受黑客們歡迎的貨幣。

按照比特幣當前單幣1800美元的價值,用戶需要支付六分之一個比特幣(價值300美元),才能從勒索者手中,獲得解鎖數據的機會,為了打壓勒索者的囂張氣焰,我不贊成受害者用這種方式挽回數據。

我對比特幣的存在,是持保留態度的,或許,這種以區塊鏈技術驅動的貨幣,為每個比特幣交易者,建立了絕對可信任的交易環境。

但比特幣的數量是有極限的,越是到後期,挖礦(找比特幣)需要消耗的計算量和電力就越大,在物質財富不斷增加的社會,勢必會造成嚴重的通貨緊縮,引發經濟問題。

其次,我們也了解了,比特幣交易的匿名性,為一些犯罪機構 / 黑客洗錢,提供了極大的便利,要遏制這種情況的出現,就需要針對比特幣進行監管,這也是個相當頭疼的問題。

2.各個國家的安全機構,都會對本國的信息網路,進行監聽活動,如果玩大了,就像美國的稜鏡門那樣,搞得全世界風風雨雨。包括這次事件,黑客直接利用了NSA泄露出的黑客武器,為我們展現了,美國政府,對於公民信息隱私漠視的另一面。

在國內,普通人對科技的毫不關心,使大部分人對信息安全的保護,也完全不上心,只有當「熊貓燒香」、「WannaCry」這樣的病毒對自己信息造成了損害,才追悔莫及。

很多人覺得,XP、Win 7挺好用的啊,兼容性也不錯,反正電腦也沒壞,幹嘛要重裝系統?

https://pic2.zhimg.com/v2-01e9f7420215d3d5d6fe42cf5f5dc101_b.png

早在3年前,就不受微軟支持的 Windows XP,在中國依舊佔了20.54%的市場份額,真是「老而彌堅」!

尤其是各種銀行、政府機關、教育機構內網裡的電腦,因為購買新硬體需要投入、舊軟體不支持新系統、人員培訓成本等原因,運行舊版Windows 系統的電腦還有很多,只要未來類似WannaCry的病毒,找到一個突破口,入侵這些機構的內網,那麼就會「兵敗如山倒」。

沒有百分之百安全的防護系統,保持你的系統和軟體持續更新到最新,就可以大大降低受到攻擊的風險,況且,Win 10對舊電腦的優化,也很不錯了,不用非得買新電腦。接受新工具、接納新事物,既可以提高工作、生活的效率,也可以保障自己的信息安全。

3.微軟真得好好優化一下,自家Windows Update的用戶體驗了,在 Win XP時代,用戶在瀏覽器里更新系統,就會出現「svchost.exe」 進程CPU佔用率過大,一直沒有反應的情況。

https://pic4.zhimg.com/v2-6cac077e3370625be029860884561f7b_b.png

解決這個問題的方法之一,是要先安裝 「 IE8 升級補丁 」 ,可有多少普通用戶知道這個辦法呢?

Win Vista、Win 7、Win 8時代,Windows Update 的體驗方面稍有改進,採用客戶端更新的形式,但微軟的伺服器在國外,國內用戶需要先裝一枚更新Windows Update 網路代理的補丁,才能繼續更新系統,但安裝這個補丁,就需要費很長時間。

https://pic4.zhimg.com/v2-80c2b3bc1fa0532019a2ab7051894f53_b.png

補丁一次性無法成功安裝,簡直是家常便飯,因為像是net.Framework這樣的運行庫,需要先安裝庫本身,才能繼續安裝功能安全性補丁;甚至還出現某些補丁,如果用戶選擇同時安裝,就一定會失敗,當選擇安裝某一個時,Windows Update會提示另一個不用再安裝了。簡直就是操作系統里的 「鬼燈夜話 」。

https://pic1.zhimg.com/v2-11ee85d3cafb18112c8e72da2766ecd8_b.png

Win 10的補丁安裝,確實比以前人性化多了,這個全局的 Windows Update中心,微軟可以向用戶提供包含 Windows、MS Office、本機驅動、Windows Defender等各種產品的更新,自動化程度也比以前高了很多,但網路連接慢的問題,一直沒有得到改善。

於是,市場上催生出了一堆,專門給用戶電腦打補丁的「管家、衛士」類的產品,他們其實像個「 二道販子 」,補丁都是來自微軟,但他們有部署本土的伺服器,下載補丁的速度更快,給用戶提供了一個便捷之選。

https://pic1.zhimg.com/v2-5fd43c22f384d85ecce485624eeba820_b.png


預防比特幣病毒,這三招就夠了


最近出現危害很大的比特幣病毒(勒索病毒),因為中毒的電腦文檔數據被加密而無法使用,而解鎖文檔需要給黑客300美元等價的比特幣。|

很多同學表示直接重裝系統搞定這個問題,然而有句話說的好,設備有價數據無價,最珍貴的還真的是數據,比如老友的聯繫方式,過世親人的相片,寫了一年的方案,再比如準備了半年的論文,很多都是無法再生。很多都不僅是冰冷的數據,而是承載著我們的回憶與情感。

可恨的是現階段只能以預防為主,目前仍然沒有治療的手段,如果已經中毒的朋友,要麼不要數據直接重裝系統,要麼只能花300美元給那個混蛋黑客幫你解鎖。對於還沒中毒的windows系統的朋友該怎麼做呢?俗話說亡羊補牢,為時未晚。保不齊下次又會從世界的哪個角落跳出一個自詡有人格的人渣利用你的數據來索要報酬。

那麼首先是防止同一個網路其他設備感染到你,關閉你的文件共享和印表機共享服務,不要隨意打開陌生人郵件。如果真的要打開可以用手機端打開郵件。

一、windows漏洞補丁修復/360安全衛士windows補丁修復,可以使用360打上補丁。

二、windows防火牆阻止445埠

1.右鍵網路標誌

2.點擊防火牆

3.如果關閉防火牆的記得開啟

4.點擊允許或應用通過防火牆

5.新建規則

6.點擊埠

7.點擊阻止

三、網路手段阻止傳播

通過網路手段解決傳播的問題,可以在交換機的埠禁止TCP 445埠在區域網內傳播,但共享文件和印表機就使用不了。

步驟如下:

1.定義ACL匹配445埠

ip access-list extended test

permit tcp any any eq 445

permit tcp any eq 445 any

2.在access-map中關聯ACL和執行動作

vlan access-map btbbd 10

match ip address test

action dorp

vlan access-map btbbd 20

action forward

3.在vlan中關聯access-map

vlan filter btbbd vlan 10

以上命令主要從二層上過濾445埠的數據包,從而防止區域網內傳播。

總結

建議大家及時備份數據,對於關鍵的數據不要只存放一台電腦,做好備份工作。

5月21日晚上20:00將會在知乎進行我的第一場LIVE,主題是網路工程師的進階之路, 如果對網路學習有疑問或者想要了解網路行業的行業可以抽空來聽一下,感謝。 傳送門: 網路工程師的進階之路


原文發表於少數派:比特幣勒索軟體全球爆發,這些技巧讓你避免中招

作者:化學心情下2

------

昨天夜間,全球近 100 個國家的計算機同時遭到了來自一款名為 wana Decrypt0r 2.0 的勒索軟體的攻擊。幾乎同時,國內各大高校中教育網中計算機也遭到了攻擊,有不少學生朋友已經中招。wana Decrypt0r 是什麼?如何預防它?電腦感染以後又應該如何應對?這篇文章將給你答案。

什麼是 wana Decrypt0r 2.0?

wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器庫中的「永恆之藍」攻擊程序,在被不法分子改造之後變成了一款「勒索軟體」。被攻擊目標在感染它之後,系統中的圖片、文檔、視頻、壓縮包文件等會被加密,並只有向勒索者支付 5 比特幣或 300 美元的「贖金」才能將文件解鎖。由於它採用了安全性極強的 AES 加密演算法,因此很難被破解或者繞過。

(Wana Decrypt0r 2.0 中招畫面 來源:idropnews)

wana Decrypt0r 2.0 會影響哪些系統?

wana Decrypt0r 2.0 目前會影響幾乎所有的基於 Windows NT 內核的客戶端/伺服器操作系統,包括:

客戶端操作系統:

  • Windows 2000、XP
  • Windows Vista
  • Windows 7
  • Windows 8 / 8.1
  • Windows 10(除Windows 10 Creators Update、build 15063)

伺服器操作系統:

  • Windows Server 2008 / 2008 R2
  • Windows Server 2012 / 2012 R2
  • Windows Server 2016

目前 wana Decrypt0r 2.0 只會感染 Windows 桌面操作系統,如果你使用的是 Linux 或者 macOS 則暫時不會感染,但依然推薦你及時進行安全更新,因為並不知道勒索軟體是否會更新從而支持攻擊 Linux 或者 macOS。

wana Decrypt0r 2.0 如何傳播?

由於 wana Decrypt0r 2.0 基於之前的 NSA 黑客武器「永恆之藍」攻擊程序,因此其攻擊方式均為通過向 Windows SMBv1 伺服器發送特殊設計的消息,從而允許執行遠程的攻擊代碼。黑客會在公網掃描開放 445 埠的 Windows 設備並植入勒索軟體,而這一過程無需用戶的任何操作,這也是其可以快速在全球傳播的原因。

對於國內的普通家庭用戶而言,由於此前國內曾被利用類似技術的蠕蟲病毒攻擊過,因此國內運營商在主幹網上封掉了 445 埠,但是國內高校的「教育網」並未封掉 445 埠,所以本次國內高校計算機成為了受感染的重災區。

此外,國內許多企業內部區域網也沒有封掉 445 埠,因此企業內網中的 Windows 桌面設備感染 wana Decrypt0r 2.0 可能性也相當高。

如何預防 wana Decryptor 2.0?

為了防止中招帶來的數據損失以及財產損失,以下的方式可以幫助你預防 wana Decrypt0r 2.0 勒索軟體。

最簡單的方式:開啟 Windows 安全更新

本次遭到攻擊的設備絕大部分都是教育網以及企業內網中的 Windows 設備,很大一部分的原因是這些設備並未及時安裝系統更新。

早在今年三月份,微軟就已經針對 Windows 設備推出了月度安全更新,其中就已經包括了本次勒索軟體 wana Decrypt0r 2.0 所利用漏洞的安全修補程序。因此,如果你還沒有下載這個更新,你可以在 Windwos 中檢查並下載安裝,防範勒索軟體。

另外,你也可以單獨下載安全修補程序 KB4012212 進行更新,並通過 MS17-010 了解更多相關安全問題。

(三月份月度安全更新下載)

臨時解決方案一:禁用 SMBv1

如果你的設備處於特殊環境,暫時無法通過 Windows 安全更新進行預防,那麼你也可以通過禁用 SMBv1 來預防,具體操作如下:

對於客戶端操作系統:

  1. 打開「控制面板」,單擊「程序」,然後單擊「打開或關閉 Windows 功能」。
  2. 在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。
  3. 重啟系統。

對於伺服器操作系統:

  1. 打開「伺服器管理器」,單擊「管理」菜單,然後選擇「刪除角色和功能」。
  2. 在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。
  3. 重啟系統。

臨時解決方式二:使用系統防火牆封禁 445 埠

如果你使用系統自帶的防火牆,那麼你可以通過以下步驟封禁 445 埠:

  1. 打開「控制面板」
  2. 在「控制面板」中選擇「Windows 防火牆」
  3. 點擊左側的「高級設置」,在彈出的「高級安全 Windows 防火牆」中選擇「入站規則」
  4. 新建規則,點擊「埠」,點下一步;選中「TCP 」埠中的特定的本地埠,填寫 445 埠後,再點下一步;然後點擊「阻止連接」再點擊下一步後;將所有網路選中,然後輸入規則名稱點擊完成即可。

臨時解決方案三:關閉 445 埠(適用於 Windows XP 等)

對於 Windows 2000 / XP 用戶而言,因為目前微軟已經結束了對這兩款操作系統的支持,因此可以通過修改註冊表的方式關閉:

  1. 通過 Windows + R 打開「運行」
  2. 輸入 regedit,點擊確定後定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters。
  3. 新建名為「SMBDeviceEnabled」的 DWORD 值,並將其設置為 0
  4. 重啟電腦

臨時解決方案四:使用 360 的 NSA 武器庫免疫工具

如果你覺得通過修改註冊表的形式太麻煩,也可以使用 360 推出的 NSA 武器庫免疫工具進行檢測,並根據軟體提出的方案進行操作,從而避免中招。

已經中招了應該如何應對?

  1. 如果你的設備已經不幸中招,並且裡面的資料極為寶貴且非常緊急,很遺憾,目前可能你只有支付贖金才能解鎖文檔。另外,根據勒索軟體的描述,如果不支付贖金,一周後設備中的數據將會全部丟失。
  2. 如果數據並不是非常緊急,你可以等待近期國內外安全公司給出的解決方案。也許在接下來的一段時間可以實現無損解鎖,從而避免損失。

想要避免今後被攻擊,你還需要做這些:

  1. 對於重要文件請及時備份至移動設備、 NAS 或者其他雲存儲中。
  2. 無論是什麼樣的網路環境,請及時對系統進行安全更新,尤其是微軟每月的安全更新,往往可以讓你避免數據丟失所造成的災難性後果。
  3. 開啟 Windows 防火牆避免類似的埠攻擊。

更新

5 月 13 日 16 點:

由於影響過於廣泛,微軟針對此前已經結束支持的 Windows XP、Windows Server 2003 以及 Windows 8 發布了單獨的安全更新,用來封堵本次勒索軟體所利用的安全漏洞,使用以上三款操作系統的用戶或系統管理員點擊 這裡 下載更新。更多詳情請參考 TechNet Blogs。

5 月 13 日 19 點:

國內安全媒體 Freebuf 公布了目前可以嘗試的兩種勒索軟體中招解決方案:

方法一,利用黑客在勒索贖金交易環節設計的疏忽,對其進行交易欺騙,具體操作步驟如下:

1. 打開自己的那個勒索軟體界面,點擊 copy,複製黑客的比特幣地址

2. 把 copy 粘貼到 http://btc.com (區塊鏈查詢器)

3. 在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易哈希值)

4. 把 txid 複製粘貼到勒索軟體中,並點擊 connect us。

5. 等黑客看到後,再點擊勒索軟體上的 check payment。

6. 再點擊 decrypt 解密文件即可。

方法二:

使用開源的腳本(需要 Python 3 環境)來運行嘗試恢復,本質與方法一相同。

腳本下載地址 | Python 3 下載地址

5 月 14 日 14 點(已失效)

國外安全專家已經找到了勒索軟體的一個「隱藏後門」,勒索軟體在入侵時會嘗試訪問一個網址,如果可以順利訪問(返回相關網路狀態碼)就不再加密被入侵電腦中的資料文件,而目前這個網址已經被安全人員進行了註冊,從而阻斷了該勒索軟體的進一步傳播。

但是目前該網址在國內訪問不是很順暢,我們可以通過修改系統 host 的方式,將其映射到國內一些網站的 IP 上,從而達到免疫的作用,具體修改操作為:

1. 在「我的電腦」中進入到 C:WindowsSystem32driversetc 目錄中,找到 host 文件

2. 用「記事本」打開 host 文件

3. 添加以下文本:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.217

4. 保存退出

5. 如果遇到許可權問題,可將 host 文件拷貝至桌面,在桌面修改完成後再覆蓋回源地址。

5 月 14 日 15 點:

據國家網路與信息安全信息通報中心緊急通報:

監測發現,在全球範圍內爆發的 WannaCry 勒索病毒出現了變種:WannaCry2.0,與之前版本的不同是,這個變種取消了 Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。

因此,採用修改 host 來訪問「隱藏後門」的方式已經失效,不能保證免疫作用,請各位參考本文的其他方法或及時更新安全補丁。


NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。
解決方案:勒索蠕蟲病毒文件恢復工具
檢測工具下載
「永恆之藍」勒索病毒檢測+恢復工具 - 知乎專欄

關於永恆之藍(MS17-010)漏洞

如果攻擊者向 Windows SMBv1 伺服器發送特殊設計的消息,那麼其中最嚴重的漏洞可能允許遠程執行代碼。

使用方法

-h 192.168.4.4

-n 192.168.4.0/24

繼續呈高危感染態勢,雖然WannaCry蠕蟲傳播被臨時「制止」了,但這隻能阻止其通過網路繼續感染傳播,並不能防止本機中毒被加密勒索。而且,從當前情況來看,我國還在處於感染傳播嚴重階段,從malwaretech動態圖分析,我國華東多個地區內還繼續有WannaCry感染情況。

升級版的WannaCry2.0將會繼續發起攻擊,這還沒完,攻擊者可能還會發起第二波WannaCry攻擊,新一波的變異WannaCry程序將不會內置「緊急開關」(kill switch)了,到時這種WannaCry升級版的傳播感染態勢將不可預計。儘快利用這段時間及時處理修復阻止。

作為攻擊者來說,只需要使用十六進位編輯器簡單更新一下程序,刪除那個所謂的緊急開關或進行其它的功能更新,這就是一個升級版的WannaCry2.0,所以,下一波攻擊將難以避免。在未來幾周或數月內,我們將會看到不同的WannaCry變體傳播。WannaCry不僅僅可以當成蠕蟲病毒,它還可以被其它惡意軟體利用,或搭載漏洞利用Payload發起多種形式的攻擊。


大清上個月就完成了防禦準備

所以我一直在想啊,這不是上個月的新聞嗎?

所以,歡迎報考清華大學!

清華,你放心的選擇!


據說實在不懂掐網線就可以了,

我已經掐了一早上了啥都沒幹,

就是手有些困了,想問問用夾子夾著可以嗎?


快更新吧,微軟千方百計得讓你們更新,你們就是不更

這個鍋微軟不背


各位不要慌,對Vista以上的系統,只要你開啟了Windows更新,微軟已經修復了這個漏洞(3月份推送),你是安全的。

特別地,對Windows 10來說,只要系統版本號(小數點後面)高於14393.953或10586.916或10240.17394,就是安全的。

///////////////////////////////////////////////////////////

查找方法:設置&>系統&>關於,就有系統版本號

如果版本低的,在設置&>更新與安全&>檢查更新,就能自動檢查並更新修復。


win10用戶 計算機小白 剛剛從微博上了解了一下預防方法

大概是這兩個都要做

埠的話

我們學校發布的文件里多提了137,138,139

反正跟135和445的操作是一樣的

然後還要安裝個補丁,地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010;


迄今為止最大規模的[勒索病毒]席捲全球,國內高校成重災區!

內含事件描述和防禦教程,希望有幫助~


win10趕緊升級Creators更新

不是win10的趕緊升級win10並一路到Creators更新


永恆之藍利用的Windows漏洞已於今年三月被微軟修復。因此中病毒的一般都是沒有開啟系統自動更新的計算機。那麼是什麼原因讓機主們沒有選擇開啟自動更新呢?在我看來,原因有三:一是微軟之前幾次作死讓部分機主對下一版本的穩定性不夠放心;二是很多人的系統是盜版的,無法更新;三是校園網費用太貴了,開啟自動更新會產生大量的上網費用。微軟強行給本不兼容win10的電腦升級系統害人不淺,拿客戶做小白鼠的行為實在不夠良心,但微軟作為掌握核心技術的公司,我們對其行為束手無策。至於盜版,我們現在本就在大力抵制盜版,不予討論。綜上所述,學校你是不是該降低校園網的費用了呢?比如推出一些良心的套餐什麼的?


表示即使不聯網

中獎的電腦也會被它當作跳板

用P2P的方式攻擊

其他有跟他連接並且漏洞沒修補的

所以啊

那些說沒事瞎折騰電腦的

這回知道用最新的系統

安裝最新的更新有啥用了吧

補丁轉需

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

有的人啊習慣太差

就拿這事來說

殺毒軟體給他提示

嫌吵然後關掉

中毒了馬上一堆文件加密了

又開始哀嚎

我能怎麼辦啊我也很絕望!

對了

如果真的可以交錢保平安

真tm搞笑啊


不好意思,我斷網已經20多天了


啟用防火牆關閉TCP及udp的135 137 138 139 445埠,不下載除官網以外或者不能判斷是否惡意的各類軟體,安裝殺軟及時更新病毒庫,重要資料備份


機智的我早已把有關畢設的東西上傳到了百度雲(*σ′?`)σ


推薦閱讀:

如何讓大家加入安全行業?
勒索病毒是網路安全的轉折點還是360的事件營銷?
經過網易郵箱信息泄露一事對網易失望,你們還用過什麼比較好的郵箱?
作為一個初學者,如何聯繫上大牛並讓大牛給你指點迷津?

TAG:MicrosoftWindows | 黑客Hacker | 計算機病毒 | 勒索病毒 | WanaDecrypt0r20計算機病毒攻擊 |