【绝活专访】勒索病毒“永恒之蓝”信息汇总及应对方式

绝活网 7年前 (2017-05-15) 2094浏览

5月12日晚八时许, 当大多人正在享受着周末的休闲时光,一种名为WannaCry(永恒之蓝)的电脑勒索病毒在全球蔓延,99个国家受到病毒感染。中国也未能幸免,在国内这种病毒也被称为:“勒索病毒”、“比特币病毒”。

来势之猛超过当年“熊猫烧香”

此次的“永恒之蓝”一登场就是全球蔓延的趋势,5个小时内:包括英国、俄罗斯、整个欧洲以及中国多个高校校内网、大型企业内网和政府机构专网中招,造成部分基础设施服务瘫痪,直接和间接损失目前尚无法统计。

病毒运作模式

“永恒之蓝”本质是一种网络蠕虫病毒,本身不造成具体危害,但它带来的“并发症”却非常致命:被入侵的windows电脑,用户只要一经联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序——给你送了一份病毒“豪华大礼包”。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

为什么要用比特币?因为它很难被追踪和监控。

而事实上,即便你真的付了“赎金”也未必能完全恢复文件,黑客也不可能就此放过你。大多情况下执行全盘低级格式化,才能根除病毒和木马。可这样数据就全没了,一干二净。

病毒原理和可能的来源

“永恒之蓝”利用的是Windows操作系统中的一个漏洞,攻击对象是电脑主机的445端口,也就是说:假如你用的是windows系统,并且445端口没有关闭,就有可能成为受害者。

而在一个月前, 第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

意思是:包含“永恒之蓝”在内的这批”网络核武器“,本来是NSA(美国国家安全局)研发的网络攻击武器,而不知为何泄露出去了,被人为改装后投放到民间为非作歹。

NSA会不会哪天造出了电影中毁灭人类的程序?除了”永恒之蓝“,它还有哪些大杀器也泄露了?

NSA的梗,微软背锅

此次重大网络攻击事件的关联方:微软,这次可谓再次背黑锅。不仅替人擦屁股,完了还得被人骂。对于病毒重灾区的XP和2003系统,本来已经停止了官方更新,但微软在13号宣布:特别发布这两个系统的补丁,用于帮助用户杜绝漏洞。信中同时也提到:只有win10是绝对安全的。这是不是一个巧妙的广告?

根据微软官方的描述,这一次恶意软件所利用的漏洞其实早在今年 3 月就被修复了,然而因为 XP、Windows Server 2003 等系统早已停止技术支持,所以未获得补丁更新。但是由于本次影响实在过于严重, 经过评估决定特例提供补丁。

这不免让人想到之前的一个新闻:微软会对中国部分仍使用XP等旧系统的政府机构和企业,提供额外的延长技术支持,那为什么这次还是出现了全国多地部门感染?或许是因为中国国情,盗版,你懂的。。。。。。

给中国的具体危害

国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。

中国的蠕虫病毒感染重灾区集中在高校。据悉,目前全国范围内有数十所高校的校园网感染了这一病毒,而正值毕业季,许多学生的毕业论文和设计都因感染病毒而被锁死。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击。

不仅教育网被攻击,公安局域网络也没能逃过一劫。苏州地区目前已经无法办理车辆检测、上牌照等业务,同时微博上一些用户开始反馈,今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

另据《每日经济新闻》报道:包括北京、上海、重庆、四川成都、四川南充等多个城市的部分中国石油旗下加油站在今日0点左右突然出现断网, 而因断网目前无法使用支付宝、微信、银联卡等联网支付方式,只能使用现金支付,加油站加油业务正常运行。

有没有预防措施?

目前360软件已经给出了相关检测工具,不过客观的说,360毕竟只是“安全软件”,而并非专业的“杀毒软件”或“防火墙”。

最稳妥的办法还是自己动手,并不难,按图一步步点击即可,一分钟就能完成。

打开控制面板

点击“Windows防火墙”

点击“高级设置”

点击“入站规则”

在子菜单中点击“新建规则”

在打开的对话框中勾选“端口”,选完点下一步

“特定本地端口”中输入“445”,然后点下一步

勾选“阻止连接”,然后下一步

此处是所有情形都勾选,然后下一步

名称可以随意,然后点击“完成”,这个规则就算做完了,意味着病毒无法再通过你电脑的445端口进行攻击。

欢迎转发,让这篇文章能帮到更多人!

绝活专访原创内容最终解释权归受访人和绝活传媒所有。欢迎转载并请注明出处。转载,素材、投稿请联系绝活专访小编(58557695)。

绝活专访编辑:木星

标签: