来源:蜘蛛抓取(WebSpider)
时间:2017-11-30 13:19
标签:
比特币勒索病毒 补丁
比特币勒索软件全球爆发,这些技巧帮你避免中招【方法更新】 - 少数派
请选择你要投稿的专栏
比特币勒索软件全球爆发,这些技巧帮你避免中招【方法更新】
0" v-cloak>
昨天夜间,全球近 100 个国家的计算机同时遭到了来自一款名为 wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。wana Decrypt0r 是什么?如何预防它?电脑感染以后又应该如何应对?这篇文章将给你答案。
什么是 wana Decrypt0r 2.0?
wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序,在被不法分子改造之后变成了一款「勒索软件」。被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。Wana Decrypt0r 2.0 中招画面 来源:idropnews:
wana Decrypt0r 2.0 会影响哪些系统?
wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:客户端操作系统:Windows 2000、XPWindows VistaWindows 7Windows 8 / 8.1Windows 10(除Windows 10 Creators Update、build 15063)服务器操作系统:Windows Server 2008 / 2008 R2Windows Server 2012 / 2012 R2Windows Server 2016目前 wana Decrypt0r 2.0 只会感染 Windows 桌面操作系统,如果你使用的是 Linux 或者 macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击
Linux 或者 macOS。wana Decrypt0r 2.0 如何传播?由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序,因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息,从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件,而这一过程无需用户的任何操作,这也是其可以快速在全球传播的原因。对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口,但是国内高校的「教育网」并未封掉 445 端口,所以本次国内高校计算机成为了受感染的重灾区。此外,国内许多企业内部局域网也没有封掉 445 端口,因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。如何预防 wana Decryptor 2.0?为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。最简单的方式:开启 Windows 安全更新本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。早在今年三月份,微软就已经针对 Windows 设备推出了月度安全更新,其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此,如果你还没有下载这个更新,你可以在 Windwos 中检查并下载安装,防范勒索软件。另外,你也可以单独下载安全修补程序
进行更新,并通过
了解更多相关安全问题。三月份月度安全更新下载临时解决方案一:禁用 SMBv1如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:对于客户端操作系统:打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。重启系统。对于服务器操作系统:打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。重启系统。临时解决方式二:使用系统防火墙封禁 445 端口如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:打开「控制面板」在「控制面板」中选择「Windows 防火墙」点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。临时解决方案三:关闭 445 端口(适用于 Windows XP 等)对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:通过 Windows + R 打开「运行」输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0 重启电脑临时解决方案四:使用 360 的 NSA 武器库免疫工具如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 进行检测,并根据软件提出的方案进行操作,从而避免中招。已经中招了应该如何应对?如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。另外,根据勒索软件的描述,如果不支付赎金,一周后设备中的数据将会全部丢失。如果数据并不是非常紧急,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。想要避免今后被攻击,你还需要做这些:对于重要文件请及时备份至移动设备、 NAS 或者其他云存储中。无论是什么样的网络环境,请及时对系统进行安全更新,尤其是微软每月的安全更新,往往可以让你避免数据丢失所造成的灾难性后果。开启 Windows 防火墙避免类似的端口攻击。更新5 月 13 日 16 点:由于影响过于广泛,微软针对此前已经结束支持的 Windows XP、Windows Server 2003 以及 Windows 8 发布了单独的安全更新,用来封堵本次勒索软件所利用的安全漏洞,使用以上三款操作系统的用户或系统管理员点击
下载更新。更多详情请参考 。5 月 13 日 19 点:国内安全媒体
公布了目前可以尝试的两种勒索软件中招解决方案:方法一,利用黑客在勒索赎金交易环节设计的疏忽,对其进行交易欺骗,具体操作步骤如下:1. 打开自己的那个勒索软件界面,点击 copy,复制黑客的比特币地址2. 把 copy 粘贴到
(区块链查询器) 3. 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值) 4. 把 txid 复制粘贴到勒索软件中,并点击 connect us。5. 等黑客看到后,再点击勒索软件上的 check payment。
6. 再点击 decrypt 解密文件即可。方法二:使用开源的脚本(需要 Python 3 环境)来运行尝试恢复,本质与方法一相同。5 月 14 日 14 点(已失效):国外安全专家已经找到了勒索软件的一个「隐藏后门」,勒索软件在入侵时会尝试访问一个网址,如果可以顺利访问(返回相关网络状态码)就不再加密被入侵电脑中的资料文件,而目前这个网址已经被安全人员进行了注册,从而阻断了该勒索软件的进一步传播。但是目前该网址在国内访问不是很顺畅,我们可以通过修改系统 host 的方式,将其映射到国内一些网站的 IP 上,从而达到免疫的作用,具体修改操作为:1. 在「我的电脑」中进入到 C:\Windows\System32\drivers\etc 目录中,找到 host 文件2. 用「记事本」打开 host 文件3. 添加以下文本:
220.181.57.2174. 保存退出5. 如果遇到权限问题,可将 host 文件拷贝至桌面,在桌面修改完成后再覆盖回源地址。5 月 14 日 15 点:据国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的 WannaCry 勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了 Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。因此,采用修改 host 来访问「隐藏后门」的方式已经失效,不能保证免疫作用,请各位参考本文的其他方法或及时更新安全补丁。
评论(${commentLength})
请勾选举报理由
${ item.text }
0" v-cloak>
${ related.released_at * 1000 | friendlyTime }
${related.summary}
${ related.likes_count }
根据国家网信办规定,互联网账号需要实名认证。验证手机号码再进行评论或撰写文章。
点击去验证相关文章推荐
天凌晨4:50节点公司400转过来的求助电话,来自广西某个医院的客户;电话中说数据库被攻击了,业务完全停止,言谈之中表现的时分地迫切和着急。
首先我们来看看数据库的日志是什么?
今天来到公司,组长说数据库中病毒了,提示数据库被锁死。我在网上搜索得知是遭遇了比特币勒索攻击。问题症状:登录数据库时,提示数据库被锁死,黑客提示发送5个比特币可以解锁。如果从客户端登录,你获得的提示信...
L2-013. 红色警报
代码长度限制
战争中保持各个城市间的连...
战争中保持各个城市间的连通性非常重要。本题要求你编写一个报警程序,当失去一个城市导致国家被分裂为多个无法连通的区域时,就发出红色警报。注意:若该国本来就不完全连通,是分裂的k个区域,而失去一个城市并不...
360网站安全检测平台今日发布红色警报称,广泛应用在国内大型网站系统的Struts2框架正在遭到黑客猛烈攻击。利用Struts2“命令执行漏洞”,黑客可轻易获得网站服务器ROOT权限、执行任意命令,从...
题目链接还记得这是去年决赛时L2的第一道题,当时还是有点懵。现在看看就是暴力的dfs。。#include
题目链接:/contests/gplt/L2-013题目描述:战争中保持各个城市间的连通性非常重要。本题要求你编写一个报警程序,当失去一个城市导致国家被分裂为...
题解:连通块问题显然要与并查集有关,而且C4比赛极喜欢出与并查集有关的知识。
这道题可以这样做,即我每次去掉一个城市的时候,都对剩余的城市重新建立并查集,然后判断联通块的数量有没有删减,如果...
L2-013. 红色警报
战争中保持各个城市间的连通性非常重要。本题要求你编写一个报警程序,当失去一个城市导致国家被分裂为多个无法连通的区域时,就发出红色警报。注意:若该国本来就不完全连通,是分裂的k...
L2-013. 红色警报
代码长度限制
判题程序...
他的最新文章
讲师:董晓杰
讲师:姚远
他的热门文章
您举报文章:
举报原因:
原文地址:
原因补充:
(最多只允许输入30个字)近期爆发在各高校的电脑勒索比特币的病毒究竟是什么?如何解决?
此次侵略各大计算机的Wanna Decryptor是一种基于加密的勒索软件,也被称为WCRY,针对Windows Vista,Windows 7和Windows 8的Windows版本,旨在通过持有数据文件乃至整个计算机来向受害者敲诈金钱(比特币形式)。
它使用AES和RSA加密方法,这意味着只能使用相应的唯一密钥来解密系统文件,由于这种勒索软件的加密强度很大,如果采用暴力破解,仍然需要极高的运算量,因此基本不可能成功解密。
该版本的WannaCry通过加密其所有文件来感染电脑,并通过SMB使用远程命令执行漏洞MS17-010,将其分发到同一网络上的其他Windows计算机上。虽然微软在今年三月已经发布了该漏洞的补丁,但是还有一些windows使用者没有及时更新。wannaCry也被称为“永恒之蓝”,与黑客组织Shadowbrokers有关。
&img data-rawheight=&660& src=&/v2-2f7dc438f5cbe_b.jpg& data-rawwidth=&867& class=&origin_image zh-lightbox-thumb& width=&867& data-original=&/v2-2f7dc438f5cbe_r.jpg&&
警惕支付Bitcoins
有受害者表示即使支付了比特币也没有恢复资料,而且支付高昂费用也意味着进一步的鼓励这些犯罪分子,所以想要给钱还是再三思一下吧。
查看影响波及图
似乎是世界范围内的入侵唉,在同一时间像英国、美国、中国、俄罗斯,西班牙等地都有类似的入侵现象,目前已波及150个国家,将近20万台电脑被感染。
整理的一些解决方案。
1、关闭端口
打开控制面板-网络和共享中心-更改适配器设置-右键点击正在使用的网卡后点击属性-取消勾选Microsoft网络文件和打印机共享-确定-重新启动系统。
2、安装微软补丁MS17-010
3、NSA武器库免疫工具的下载地址
4、安装正版windows操作系统,Office 软件,并且开启自动更新。Windows 2003、xp和vista已经失去了安全更新支持,建议能尽量更新到windows 10的都尽量更新吧。
5、及时备份资料数据,未中毒的将重要资料及时上传网盘或者移动硬盘。
6、不下载、不运行未知来源的软件,不点开不明链接,要有网络安全防范意识。
*这两天学校的图书馆应该都会闭馆了,因为电子阅览室基本沦陷,连一块通告电子屏幕都没有幸免。:)
电子屏幕: 我只是一块显示通知的电子屏幕,我做错了什么?
&img data-rawheight=&800& src=&/v2-87eead14c64e495b768ade35c732c09d_b.jpg& data-rawwidth=&600& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/v2-87eead14c64e495b768ade35c732c09d_r.jpg&&
微软已经发布公告,决定对已经停止支持的Windows XP和Windows 2003发布特别补丁。
另根据最新消息,针对之前注册域名掐断病毒传播的情况,WCRY已经出现了变种,2.0版本不再能通过注册某个域名来关闭WCRY的传播。希望没有打补丁和更新的都尽快补上,以防感染。
责任编辑:
声明:本文由入驻搜狐号的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
今日搜狐热点如何看待5月12号爆发在各高校电脑勒索比特币的病毒?
我的图书馆
如何看待5月12号爆发在各高校电脑勒索比特币的病毒?
据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”(下载连接: /nsa/nsatool.exe),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。给大家几点提示:1. 重要文件提前备份。2. 开启360安全卫士防勒索服务。3. 加强安全意识,不明链接不要点,不明文件不要下载,不明邮件不要点开。下载NSA武器库免疫工具: /nsa/nsatool.exe
早晨各位的朋友圈一定已经被“比特币病毒”刷屏了吧,我国尤其是校园网已经有大范围用户遭受攻击。如果还没有看到这个新闻的事,小编先来简单说一下这个病毒是怎么回事。比特币病毒只要你开开电脑连上网络黑客即可入侵你的电脑,不需要你有任何的操作。入侵以后他会对你的电脑文件进行加密,然后并给你弹出勒索窗口,表示你只要交付赎金他们就会为你解密。如果晚交或者不交,他们会对你的文件进行彻底删除。此病毒对于电脑没有其他危害,但是黑客扬言如果不交钱,老天来了也破不了密码!所以如果电脑里有重要文件的用户,建议首先在不联网的情况下用U盘把重要文件先进行备份。备份好再联网进行下一步的补丁预防工作!预防比特币病毒需要做的:1、暂时不要在使用校园网,包括cmcc等等。2、在电脑上关闭139/445等端口。具体方法请在百度经验中搜索“如何关闭139端口及445端口等危险端口”。3、安装微软补丁MS17-010。百度搜索“微软补丁MS17-010”,写着Microsoft 安全公告 MS17-010 - 严重,这个就是微软官网的补丁下载。4、下载安装NSA武器库免疫工具。这个工具是360带的免疫工具,大家可以去360安全卫士或者百度自行查找。经过小编亲测,第四种方法最省事操作最简单。
NSA(美国国家安全局)旗下的“方程式黑客组织”使用的部分网络武器4月份泄露,被称作互联网“核弹危机”。如果当时你还觉得是危言耸听的话,如今木马黑产真的利用其引爆了一颗“核弹”,使用NSA泄漏的黑客武器攻击Windows漏洞,把ONION、WNCRY等勒索病毒在校园网快速传播感染。5月12日,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,我国校园网也基本同步被大面积攻陷。黑客也不评估一下,同学们的电脑里有值5个比特币的文件吗?同学们,别慌!勒索病毒在我看来还算属于“图财不害命”的病毒,就是赎金有点丧心病狂,ONION和WNCRY两个家族为主的病毒勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。我相信绝大多数受害的同学不会付赎金,最多不就是毕业论文可能要重写吗?少撸几个通宵的英雄联盟,就当赚回来赎金,我的经验是重写的论文一般会更好。至于那些“不可描述”的图片、文档、视频、压缩包等各类资料就当做了一次“有关青葱岁月”的断舍离!言归正传,Windows的445端口对于绝大多数个人用户就像“阑尾”,只有发病的时候才有存在感。文件共享这个应用在带宽资源捉襟见肘的时代对个人用户还是有些价值的,就是通过网上邻居串个门看点资料或下载点比较大的文件,如今很多年轻用户都不知道网上邻居是什么存在了。由于曾多次出现利用445端口传播的蠕虫病毒,不少运营商对个人用户封掉了445端口。在教育网中,可能445端口还存在一点使用价值,存在大量暴露着445端口的机器,一直都是黑客攻击的重灾区。有没有感觉445端口就是给黑客留发后门?这次NSA黑客武器中的“永恒之蓝”就是这个套路。360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。看来黑客们主要是瞄准的网矿机,毕竟目前比特币炒的比较火,敲诈普通用户只是顺手牵羊。对于个人用户而言,类似的病毒是可以防御的,针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。更早时间,360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。360还是棒棒的!每次遭遇病毒攻击之后,作为用户都应该做一下自我检查。首先要有良好的使用习惯和安全防护意识,Windows系统由于应用广泛一直是黑客的主要攻击对象,其实防护措施也是非常多的,比如360公司与微软合作就很深入,能够相对及时的发布预警和防范通告,保持必要的关注并对系统进行更新就可以让自己的电脑很安全。其次,对于一些重要的文件资料目前云存储应用也很丰富,经常进行整理备份是非常便利也是必要的,对于一些很私密的文件,我建议个人用户也可以采取必要的“异地容灾”措施,比如手机、智能路由器、最简单的U盘等等数码设备都能够达到分散存储备份容灾的效果。目前,国内目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学,据说山大也有部分宿舍的电脑集体阵亡了,清华的同学很得意的抓朋友圈,说他们的校园网在4月份就关闭了存在安全隐患的接口。最后,我想说,用NSA黑客武器就敢跟同学们勒索5个比特币?丧心病狂!同学们别慌!大不了涮一遍系统,一毛钱都不要给!趁机拿起手机大家一起王者荣耀一下!
关于防范ONION勒索软件病毒攻击近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。校园网全面启动安全防护机制,为您护航:1、校园网核心网络层面,我们通过关闭病毒传播的tcp/udp端口切断病毒传播途径;2、无线校园网已具有安全防护机制,我们在设计之处就部署了用户隔离机制不会相互传播。同时也提醒广大校园网用户:目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:/nsa/nsatool.exe
小心看到的病毒表现只是冰山上的部分,近期中国科技取得很大成功,高校这时候被黑还只是被勒索比特币,当心挂羊头卖狗肉,勒索比特币是假、趁机窃取机密或植入木马潜伏才是真的,别简单看待。
比特币本身就是网络产物,流通于虚拟世界!通常情况下只有高校学生,尤其计算机专业的学生对比感兴趣!说到底就是黑客组织之间的较量,在高校爆发病毒很正常!目前国内高校学生都买网络上买卖虚拟货币,这也就解释了只存在高校爆发病毒!所以劝大家没有过硬的网络安全技术,不要炒作这些!
我们的记者通过搜索找到了一个疑似病毒实时监测的网址,里面实时显示着被这一次的比特币病毒成功黑掉的地点和电脑数量。看到24小时内的污染数量,记者甚微惊恐,这确实是全球爆发的另一场灾难。这一次病毒全球已经有6万多台电脑被污染。下图为全球感染监测图和我国感染地区的监测图。比特币的特点是分散化、匿名、只能在数字世界使用,不属于任何国家和金融机构,并且不受地域限制,可以在世界上的任何地方兑换它,也因此“最适合”被不法分子当做洗钱工具。这一次的病毒事件就是黑客利用了但比特币没有痕迹的交易漏洞,从而可以轻松的坐收渔利。目前,比特币交易网的最新价格为准,目前一个比特币的价值高达10504元,近乎天价,按照目前6万台的中毒电脑,这一次黑客的勒索金额总额完全是万亿的标准。昨日,各高校已经通过各种渠道发布了相关的控制办法,首先告知各位近期不要用电脑和手机登录校园网,谨防被病毒波及。这一次的病毒强行解密也需要长达半年的解密时间。
我们学校已经中招,其中不少是即将毕业的,一定要重视该问题!!下载360那个免疫工具后,我传给了实验室其他同学,之后发现实验室许多同学都有漏洞,极其容易中招,但也有不少同学没事,经过询问发现这些同学有以下习惯:1.电脑自动更新一直开启。2.每天用杀毒软件检测更新漏洞。3.防火墙开启。4.电脑小白。反而是这些对电脑不怎么懂的,没检测出来问题,我的却赶紧把杀软装上,更新全部打开。
1,个人宽带/家庭用户方面,运营商应该已经主动屏蔽了445端口;即使未屏蔽,一般家庭都在使用无线路由器,默认情况下不对公网开放/转发任何端口,也可以避免被攻击。2,校园网方面,教育网虽然未主动屏蔽445。但很多高校对师生个人计算机的ip地址的公网访问采用白名单方式,也可以避免。 2.1,学校历来是病毒的重灾区,主客观原因都有;想要解决起来问题也不少而且也不容易解决。3,win10用户被微软强制开启自动更新了,应该已经更新ms17-010补丁了;但是校园网中存在了大量关闭了自动更新的win7(或其他低版本windows)用户,可能会成为重灾区。4,如果中招了,请做好丢失那些文件的准备。根据以往经验,交钱并不能消灾。文件应该是被aes128加密(后续版本有没有用aes256不知道),在当前技术条件下,全球绝大多数人并没有足够的计算能力来对其进行暴力破解。想通过暴力破解来救回文件的可以死心了。5,现在判断该病毒仅通过主机主动扫描发动的攻击,对于很多不开放公网权限的学校及单位还相对威胁不大。如果进一步的变种具备了蠕虫特性,受感染的主机进一步扫描其局域网内设备并进行攻击,可能受灾面会进一步扩大。希望在这一天到来之前,大家都把补丁补齐了。6,请(希望)所以看到这个回答的人尽快着手备份自己的重要文件,并养成异地多活备份的习惯。不要等数据丢了才意识到备份的重要性。平时多备份,灾时少流泪–––––脑洞分割线–––––这个漏洞(后门)是先被人曝光出来了,并且微软已经及时发布了补丁而且在还有win10强制自动更新这种有益buff加成情况下,依然造成了严重危害。如果有类似的后门在战时被精心策划使用,其破坏力可能可以相当于在敌国首都扔了一颗大伊万。虽然不一定能造成人员伤亡,但使该国的生活水平倒退到20世纪90年代不成问题。————5.13补充————杀毒方案:/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c360解决方案:/nsa/nsatool.exe微软官方解决方案(不是杀毒):Microsoft 安全公告 MS17-010 - 严重其他预防方案:如果自己并不需要使用smb共享文件,可以考虑直接使用windows自带防火墙主动屏蔽445端口来达到“临时解决”的目的不过其实对于已经中毒的用户并没有什么实质性作用,毒可以清除了,数据还是回不来Wcry前世今生:Wcry Ransomware关于被加密资料无法被解密的原因:根据上文提及的Wcry Ransomeware 中的说法,病毒采用AES-128{什么是AES?密码算法详解--AEShttps://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86}方式加密用户数据,主密钥长度为128bit=16Byte,约为0.016KB;病毒编写者理智的做法是在每台电脑上进行加密操作时,随机生成个128bit的密钥并对用户数据进行加密,同时或等加密完成后,将该密钥提交回自己的服务器并删除受感染用户计算机上的密钥。一切处理妥当,弹出勒索界面,用户终于知道了自己被感染了,然而已经晚了。AES的暴力破解是世界性难题,以AES-128为例,其密钥总个数为2的128次方个,约为3.4×10的38次方个,如果生成所有密钥并存储在一个文本文档中,忽略换行等其他开销,大概需要占用4.95×10的27次方TB。病毒体本身不保存密钥,无密钥情况下暴力破解又是不可能完成的任务,利用windows的高危漏洞进行传播,可以在用户不进行任何操作的情况下感染,这大概就是这个勒索病毒最令人感到绝望的地方了。还好,国内运营商反应够快;还好,无线路由普及了(所以我要吐槽IPv6没有NAT6了,把所有设备暴露在公网上,一旦出现类似情况必死无疑);还好,微软被人骂惨了的强制开启win10的自动更新终于还是立大功了在校园网又不想装第三方杀毒的人(今后)能做什么:开启自动更新;开启Windows自带的防火墙;联系学校把所有师生的IP地址禁用公网访问权限,仅开放白名单内的IP(大误,我会被打死的);如果有可能,在电脑和校园网直接加一个路由器以避免个人电脑被直接暴露在公网上(我打赌,以后不会出现路由器和Windows操作系统同时爆出0day,就算是同时爆0day了,现在路由器厂商/系统这么多,我赌它不会出现所有路由器都被0day)。涉密不上网,上网不涉密,这是保证安全的最好途径了如果必须要联网,安全就只能是相对的安全了。————5.13中午补充————如果懒得根据教程手动添加防火墙规则,或者不放心自己设置是否正确,可以使用如下方案:以管理员模式运行cmd或powershell,并依次执行以下两条命令(Windows7及以上,vista没测试,应该也行)WindowsXP直接在cmd窗口中运行(不保证一定有效):第一条命令为开启防火墙(无论防火墙是否开启都可以执行)第二条命令为添加一条inbound记录,名字为band445,内容为拒绝445端口的tcp连接
第一,不要付钱,勒索者给所有用户的端口是同一个,按比特币双端匿名的机制,勒索者不可能知道谁给了他钱,所以给钱可能有用吗?不用我说了吧?第二,没中招的迅速处理,具体方法:生命周期结束的Windows设备首先拔网线/关WiFi,然后关闭电脑的.445端口和网络共享,更改高安全性的管理员密码,备份好重要数据,不要打开任何可疑网址和邮件,尤其是带可执行文件的。生命周期还未结束的Windows设备(包括Windows7,Windows8,Windows8.1,Windows10等)请迅速前往系统更新下载微软的安全补丁,即可避免该病毒的感染。第三,已经中招的……首先对你表示同情,然后还是不要打钱,原因在第一点,而且300个比特币可以说真她妈贵……然后这个病毒本体不难清,但是至于被加密的文件……你再也见不着了……病毒使用的加密方式目前没有逆向破解的方法,使用暴力破解要几十万年的时间(这是超算的能力),病毒并不在电脑本地保存密匙,在你知道中毒的一瞬间,那个随机生成的密匙已经在你的电脑上销毁了,备份被传到黑客的服务器。这就是说如果抓不着这位黑客,你的数据就要永远和你再见了……而且,祈祷黑客的服务器别被黑吧而且,这次事件,很好的体现了全世界的Windows用户的网络安全意识是多么的差,尤其是Windows的企业用户。只要你及时用上了Windows10,并且没关掉自动更新,接收和安装了微软三月发布的安全补丁,这个病毒真就拿你没办法。至于那些抱着XP甚至95死不放手的国家机关、大型企业……懒得喷了,基本活该,知道数据重要还用着生命周期停止的甚至盗版的系统这不是作死是什么?也是心疼微软,辛辛苦苦各种弄安全补丁,玩命维护客户安全,然后发现人家根本不领情,敲代码也要想方设法的关掉自动更新,就算7带Core也想方设法的冒着连网卡驱动和USB驱动都找不着的危险退回Windows7所以,别再因为“Windows7顺手”就死活不升级了,你要是不在乎安全也无所谓。
馆藏&15052
TA的最新馆藏
喜欢该文的人也喜欢
