【事件回顧】
5月12日晚8點左右,全國各地的高校學生紛紛反映,自己的電腦遭到病毒的攻擊,文檔被加密,壁紙遭到篡改,並且在桌面上出現窗口,強制學生支付等價300美元的比特幣到攻擊者帳戶上。事實上,不只是國內各地的高校,全球各地的大量組織機構都遭受了攻擊。包括各大醫院,政府機構,受害者電腦會被黑客鎖定,並進行勒索。針對這一現象的發生,PC服務隊鄭重提醒各位培正學子,做好重要文件的備份工作(移動硬碟/u盤/雲盤),特別是應屆畢業生,論文一定要備份好.
這次事件是不法分子通過改造之前洩露的 NSA 黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件。
這次的「永恆之藍」勒索蠕蟲,是 NSA 網絡軍火民用化的全球第一例。一個月前,第四批 NSA 相關網絡攻擊工具及文檔被 Shadow Brokers 組織公布,包含了涉及多個 Windows 系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括「永恆之藍」攻擊程序。
惡意代碼會掃描開放 445 文件共享埠的 Windows 機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
目前,「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁碟文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為 5 萬多元和 2000 多元。
安全專家還發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」,專門選擇高性能伺服器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
Q:什麼是Wanna Decryptor?
A: Wanna Decryptor是一種基於加密的勒索軟體,也被稱為WCRY,主要針對Windows Vista,Windows 7和Windows 8的Windows版本,它會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
軟體利用美國國家安全局黑客武器庫洩露的「永恆之藍」發起病毒攻擊。事實上,微軟已經在三月份發布相關漏洞(MS17-010)修復補丁,但很多用戶都沒有及時修復更新,因而遭到此次攻擊。Win7以下的Windows XP/2003目前沒有補丁,只要開啟SMB服務就受影響。一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖加密。
Q:如果我的感染了ONION和WNCRY,我該怎麼辦?
A:如果你是想恢復你的電腦,這個並不難,全盤格式化後重裝系統就好。
如果你是想通過破解來恢復你被加密的文件,我只能很遺憾地告訴你,這不可能。
勒索軟體將受感染電腦裡的文件使用AES-128算法加密(不排除後續變種使用AES-256算法), AES和RSA加密方法在理論上是無法破解的,,這意味著只能使用相應的唯一密鑰來解密系統文件,除非使用窮盡法。使用窮盡法破解密鑰長度在128位以上的加密數據是不現實的,僅存在理論上的可能性。統計顯示,即使使用目前世界上運算速度最快的計算機,窮盡128位密鑰也要花上幾十億年的時間,更不用說去破解採用256位密鑰長度的AES算法了。
Q:那我是否應該支付勒索的金額以找回被加密的文件?
A:事實上,即使你支付了勒索的金額也未必能找回被加密的文件,因為攻擊者也不一定知道是哪臺電腦支付了贖金.如果病毒被逆向工程破解,為病毒留下的域名/ip對攻擊者而言無疑是滅頂之災。
如果中招了,也暫時不要絕望,這次事件引起的業內關注是空前的,不僅微軟破例為已經停止服務的XP和2003發布了補丁,而且國家、政府、各個信息安全公司和從業人員也都盯著這件事,這種情況下,受害者並不需要絕望,歷史上出現過幾次最終勒索者伺服器被攻破,部分用戶的加密數據最終被解密的先例,那麼這次也有這個可能(或者說我們可以這麼希望)。
在清空硬碟重裝系統之前,把被加密勒索的數據備份下來,等待進一步的結果也是一個必要的措施,這樣一旦勒索者被抓捕或者相關伺服器/加密算法被破解,就有可能恢復數據。
Q:我該怎麼防範「永恆之藍」攻擊程序發起的網絡攻擊?
A:1,關閉445及其他危險埠.為方便培正學子,PC服務隊已集合成工具以供同學們下載:
(http://pan.baidu.com/wap/init?shareid=278956221&uk=3944083501 密碼:eurx)
下載工具後,右鍵 –「以管理員身份運行」
彈出以下畫面,則運行成功。
2, 安裝微軟補丁MS17-010 :
https://technet.microsoft.com/zh-cn/library/security/MS17-010。
3, 安裝正版windows作業系統,Office 軟體,並且開啟自動更新。
4, 不下載、不運行未知來源的軟體,不點開不明連結,要有網絡安全防範意識。
5, 做好重要文件的備份工作(移動硬碟/u盤/雲盤),特別是應屆畢業生,論文一定要備份好.
儘管阻止埠不失去為一個好方法,但也別忘了最重要的事:打上安全更新補丁!
微軟官方的WIN7補丁下載地址:
32位:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu
64位:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu
另外WIN8.1補丁地址如下:
32位:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu
64位:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
使用WIN7和WIN8.1的用戶如果沒有通過Windows更新打上補丁KB4012215(WIN8.1是KB4012216)的話,請務必記得手動更新上述補丁。
而WIN10隻要沒有關閉自動更新,或者更新受阻,通常已經更新了補丁,不過保險起見還是檢查一下有沒有打上相應的安全補丁。
如果你不知道你自己電腦上的Windows 10的版本號,你可以通過Win+R,打開運行窗口,輸入「winver」,在彈出的窗口中就可以看到系統版本號了。
(如圖為1024版本)
WIN10 64位 1507:KB4012606
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
WIN10 64位 1511:KB4013198
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
WIN10 64位 1607:KB4013429
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
免疫工具的原理是通過防火牆對埠進行過濾,如果擔心防火牆被繞過或者不想開啟防火牆的話,也可以用這個哦☞☞☞組策略版(http://t.cn/RaCsEgc 密碼:b57c)同理 右鍵以管理員身份運行就好了。
PC出品,必屬精品
微信編輯 | 拓展部關銘霖