蜜04 勒索病毒啟示錄
01-28
本文首發於個人公眾號:《蜜04 勒索病毒啟示錄》
↑勒索病毒,Hacker新聞網輪大@互聯網界:這次勒索病毒在國內爆發,你們還好吧?
↑免疫系統和殺毒軟體比較 3,杏林小草杏林小草:MHC Ⅰ類分子相當於細胞版的「朝陽區群眾」——它可以把細胞內部的蛋白質帶到細胞表面,舉報給公安機關(免疫系統)。感染了病毒的細胞不斷製造病毒的蛋白質,藉助MHC Ⅰ類分子的檢舉揭發,免疫系統得以發現並打擊躲藏在細胞內部的罪犯。阻止細胞產生MHC Ⅰ類分子,就是病毒躲避免疫系統的眾多手段之一,不少病毒在進化過程中獲得了這種能力。輪大@互聯網界:所以,阻止MHC Ⅰ類分子就是高危行為?杏林小草:Exactly!自然殺傷細胞(NK細胞)就是這麼工作的,它專門殺死那些不表達MHC Ⅰ類分子的細胞,這些細胞都是可疑分子。輪大@互聯網界:融會貫通,我也會??杏林小草:媒體說「永恆之藍」並不是新鮮病毒,現在這麼火主要是很多人沒有養成良好的用機習慣,是不是這樣?輪大@互聯網界:對啊,用著萬年不更新的系統,肯定漏洞無窮!
一種名叫「永恆之藍」的電腦病毒正在肆虐,它將硬碟里的文件加密,讓你無法讀取,除非支付贖金解鎖。很多用戶關閉了自動更新,錯失防範良機,最終釀成大量計算機癱瘓的悲劇。其實,保持人體健康也有相似之處...
杏林小草:托您的福,安好??
輪大@互聯網界:教育網不是哀鴻遍野?杏林小草:??反正我帶的組全用正版Win 10,自動打補丁,普通用戶沒有管理員許可權,並且設置強密碼。輪大@互聯網界:噗~潔癖!杏林小草:是啊,當初個個這麼說,現在人人都用充滿感激的眼神看我??輪大@互聯網界:看來你是做了不少工作,畢竟安全與方便存在矛盾,要說服大家行動起來還是有難度的。杏林小草:確實如此,幸好我會總結經驗,提高工作技巧。輪大@互聯網界:比方說呢?杏林小草:正版Windows不便宜,要求人手一台正版確實肉痛。後來我想通了,既然我們小組日常工作用的軟體都不吃硬體性能,那就乾脆買二手Windows商務主機。雖然原廠帶的是Win 7(畢竟上兩代的產品),但是格式化重裝Win 10照樣能夠聯網激活,親測有效。
[ 回復M04,查看蹭微軟福利的方法 ]輪大@互聯網界:商務用戶是微軟收入的大頭,他們還是很照顧滴...杏林小草:沒錯,「給過錢你就是大爺」,這話難聽卻是真理。輪大@互聯網界:我發現你對IT了解還挺多。杏林小草:電腦是我們這個時代最偉大的發明,不用好它怎麼行?輪大@互聯網界:有那麼多時間嗎?杏林小草:融會貫通。輪大@互聯網界:舉例?杏林小草:就拿「永恆之藍」來說吧,它通過445埠入侵,這不就是計算機版的「病從口入」嘛!醫生守護人類健康,預防病原體入侵,其中一種套路也是「封埠」:
↑傳染病的預防,杏林小草輪大@互聯網界:擦,還真是......杏林小草:你們有殺毒軟體,我們有免疫系統,而且原理彼此相通:↑免疫系統和殺毒軟體比較 1,杏林小草[ 回復M04,揭開圖片所配文字的小瑕疵 ]輪大@互聯網界:殺毒有好幾種方法,你這個圖只展示了其中一種——利用掃描器識別特徵代碼(signature)。雖然特徵代碼只是病毒程序的某個小片段,但它可以代表這類病毒的共同特性。因此,某程序出現了這個片段,那它是病毒的可能性極高。殺毒軟體生產商有專門的團隊搜集世界各地的計算機病毒,分析出這些代碼的共同點,從而提取出特徵代碼。
杏林小草:殺毒軟體只識別病毒代碼的某個小片段,免疫系統也如此,它只識別某個局部結構,這個局部結構就叫抗原表位(epitope)。提取抗原表位的過程叫做「抗原處理和提呈」(antigen processing and presentation),我們對此很感興趣但是謎團遠未揭開。↑免疫系統和殺毒軟體比較 2,素材:《自然》雜誌、卡巴斯基實驗室[ 回復M04,查看Nature原版高清圖 ]輪大@互聯網界:如果工程師選的特徵代碼不幸跟正常程序的某個片段一樣,這就是誤報。杏林小草:??各大廠商都出過烏龍,還曾因誤判系統程序導致電腦死機。這應該是所有「以偏概全」的檢測方法必然伴隨的副作用。免疫系統也不例外——某些病原體的抗原表位跟正常組織一樣,在消滅病原體的同時,免疫系統也開始攻擊正常組織。輪大@互聯網界:這就是傳說中的「自身免疫性疾病」?杏林小草:是的,正常情況下免疫系統不會攻擊自身組織,它是怎麼出錯的呢?
病原體與正常組織之間的交叉反應就是其中一種解釋。輪大@互聯網界:Soga...使用特徵代碼還有一個不足,那就是殺毒軟體必須定期連網更新,否則識別不了新病毒。杏林小草:我們的情況也類似,只不過抗原表位是免疫系統自己處理的,我們能做的只是把病原體打殘或者打死,做成疫苗交給免疫系統自動處理。有些病原體比較穩定,打一次疫苗可以管很久,比如麻疹;有些病原體經常變異,需要定期重新接種,比如流感;當然,還有很多病原體變異太快,疫苗效果不好,比如HIV。輪大@互聯網界:計算機病毒也存在變種,甚至還有龐大的地下黑產不停製造新病毒,單用特徵代碼肯定力不從心。行為監控(behavioral detection)就是新一代的殺毒方法——如果某個程序出現了提升許可權、調用特殊功能等等正常軟體不該做的事情,殺毒軟體就會自動阻止並報警。杏林小草:我們的免疫系統也有類似功能:杏林小草:人類疾病也有類似案例。最新鮮熱辣的例子應該是你們美帝的明尼蘇達州:
↑明尼蘇達麻疹大爆發,美國哥倫比亞廣播公司輪大@互聯網界:麻疹不是有疫苗可以預防的嗎?怎麼會搞成這樣?杏林小草:當地民眾被反疫苗團體煽動起來抵制接種,本來快要絕跡的麻疹不就死灰復燃起來。輪大@互聯網界:艹,跟那些忽悠小白關閉自動更新的人一樣壞!杏林小草:在發達國家,整整一代人沒有實質經歷重大傳染病疫情了,以至於疫苗建立的偉大功勛被他們無視。別有用心的人隨便安個莫須有的罪名就能把民眾煽動起來。輪大@互聯網界:我剛剛搜索一下,好像反疫苗團體的領袖還表示此次疫情爆發跟他無關。杏林小草:可憐那些聽信讒言的民眾,不知道自己深處危險之中:↑麻疹非小事,美國疾控中心
[ 回復M04,查看CDC原版高清圖 ]輪大@互聯網界:祝他們好運。杏林小草:能讓大家從其它領域、其它國家的教訓中吸取經驗,也不枉陪你聊到凌晨。輪大@互聯網界:??忘了我們有12個鐘的時差,晚安!杏林小草:??本文綜合多個真實對話,保護當事人隱私已對細節做了無礙基本事實的修改,若有雷同,必屬巧合。
回復"M04"你將看到:本文的更新、如何蹭微軟的福利、圖片文字的小瑕疵、Nature原版高清圖、CDC原版高清圖、加入小蜜群的方法。
推薦閱讀:
※「我還會回來的!" 這波勒索剛過,後續很可能洶湧而來...
※勒索病毒軍隊有未中招?
※肆虐各國的WannaCry,如果重新來過,會有不同嗎?
※貌似有很多教育網內電腦報告說中了Wana decrypt0r勒索病毒,剛剛發生,是否有解決方法了?