昨天開始,全球爆發(fā)了比特幣勒索病毒攻擊電腦事件,在過去的十幾個小時里,全球共有74個國家的至少4.5萬Windows系統(tǒng)電腦中招。并仍在迅速蔓延中。
而在國內(nèi),部分高校的電腦同樣被病毒攻擊,電腦內(nèi)的文檔全部被加密。攻擊者稱需支付最多3個比特幣才能解鎖。中毒的同學電腦上所有的word、excel、PDF、圖片、視頻等各類有用的文件會全部被加密。
中毒界面
今早,360董事長周鴻祎則在頭條問答中說明,此事件是由NSA泄漏的“永恒之藍”黑客武器傳播的。如果你的電腦系統(tǒng)沒有安裝今年3月的微軟補丁,那么無需操作,只要開機上網(wǎng),就會被植入病毒。
而安裝了今年3月的微軟補丁的用戶也不要掉以輕心,像一些不明鏈接,不明文件,不明郵件等等都不要有任何操作。據(jù)目前所知,此次爆發(fā)的電腦病毒事件擴散還是很嚴重的。
另外值得強調(diào)的是萬一你中了病毒也別給錢,且不說300美元的比特幣價格不菲,黑客們也未必會給你解密的密鑰!
最后針對此事360董事長周鴻祎也出了幾點提示:
1. 重要文件提前備份。
2. 開啟360安全衛(wèi)士防勒索服務。
3. 加強安全意識,不明鏈接不要點,不明文件不要下載,不明郵件不要點開。
下載NSA武器庫免疫工具: http://dl.360safe.com/nsa/nsatool.exe
用 Malwarebytes 反惡意軟件主管 Adam Kujawa 的說法:「WannaCry 的傳播量是巨大的,我從來沒有見過這樣的事情。」
感染該病毒之后,相應設備的磁盤文件會被篡改為相應的后綴,包括文檔、圖片、視頻以及壓縮包在內(nèi)的各類資料將無法正常打開。
對于這場波及全球范圍的「勒索軟件」襲擊事件,國內(nèi)外媒體進行了大量報道。這篇文章我們將直入主題,來說下哪些用戶需要格外注意,以及如何進行防范。另外,結(jié)尾處也會進行簡單的回顧(PS:已經(jīng)對整個事件比較了解可以直接略過)。
WannaCry(又稱 WanaCrypt0r 或者 WCry),是之前泄露的 NSA(美國國家安全局)黑客武器庫中「Eternal Blue」攻擊程序的變體,其可以遠程攻擊 Windows 的 445 端口(文件共享)。
目前只感染 Windows 平臺,而 macOS、Linux、Android 不在此次攻擊范圍之內(nèi),所以如果你的設備運行后幾種平臺,暫時是安全的。不過,沒有人敢保證,接下來傳播者是否會通過更新這一軟件,來對其它平臺的設備進行攻擊,所以同樣需要留意相關(guān)信息。
目前受 WannaCry 影響的 Windows 操作系統(tǒng)包括:
Windows 2000 / XP
Windows Vista
Windows 7
Windows 8 / 8.1
Windows 10(不包括 Windows 10 Creators Update 和 build 15063)
Windows Server 2008 / 2008 R2
Windows Server 2012 / 2012 R2
Windows Server 2016
需要特別注意的是,利用 445 端口傳播的蠕蟲病毒之前曾多次出現(xiàn),一些運營商封掉了個人用戶的 445 端口。但教育網(wǎng)對此并未對此進行限制,因此依舊存在大量開放的 445 端口設備,而這些設備無疑將成為了這次受感染的「重災區(qū)」。
就目前而言,一旦你的設備已經(jīng)「中槍」,想要恢復被加密的資料,唯一可能的途徑就是按照勒索者的要求,支付 5 比特幣或者 300 美元贖金(約合 5 萬和 2000 多元人民幣)。另外,按照勒索者的說法,如果一周之內(nèi)不付款,那么威脅要完全刪除被加密的文件。
但問題是,即使是你「認栽」,支付相應數(shù)額贖金,也不能保證一定會解密成功。所以建議,如果并非緊急情況,最好等待后續(xù)解決方案出臺,即使到時依舊無法獲得解決,再去嘗試支付贖金也不遲。
下面來重點講下,如何即使采取措施,來對設備進行防護。
首選:開啟 Windows 安全更新
實際上,早在今年 3 月份,微軟發(fā)布的安全更新補丁中,就包含有此次被 WannaCry 勒索軟件利用的漏洞。不過由于不會影響日常的使用體驗,大家對于 Windows 的日常更新往往并不會太多關(guān)注,相當一部分人并沒有及時更新。目前來看最簡便、靠譜的方法,就是完成之前的系統(tǒng)更新。
有一條好消息是,微軟周五表示,將向更舊的操作系統(tǒng)「不再接受主流支持」的用戶推出更新,包括 Windows XP(NHS 仍然主要使用),Windows 8 和 Windows Server 2003。
微軟已經(jīng)發(fā)布了相關(guān)的補丁 MS17-010 用以修復此次被利用的系統(tǒng)漏洞,大家可以去微軟官方了解詳細解決方案。直通地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010。
次選:安裝 360 安全衛(wèi)士、騰訊管家等安全軟件
360 對此次大范圍病毒攻擊事件反應較為迅速。按照 5 月 13 日早些時候其微信公眾平臺發(fā)布相關(guān)文章的說法,之前 360 安全中心已經(jīng)推出「NSA 武器庫免疫工具」,能夠一鍵檢測/修復 NSA 黑客武器攻擊漏洞。
針對已經(jīng)停止更新的 Windows XP/2003 系統(tǒng),免疫工具可以關(guān)閉漏洞利用的端口,來防止 NSA 黑客武器植入勒索病毒等惡意程序。
隨后騰訊電腦管家也發(fā)文提醒用戶,保持騰訊電腦開啟狀態(tài),來實時攔截病毒。尚未選擇修復漏洞的用戶可以使用「漏洞修復」功能進行掃描修復。
其它方法:手動關(guān)閉端口
默認狀態(tài)下,Windows 的 135、139、445 端口處于開放狀態(tài)。而此次 WannaCry 正是通過 445 端口來進行大規(guī)模傳播的,我們也可以選擇手動來關(guān)閉以上端口。下面來講下如何關(guān)閉此次「惹禍」的 445 端口。
目前網(wǎng)上有很多「如何關(guān)閉」445 端口的方法,但經(jīng)過多次嘗試,親測(Windows 10 系統(tǒng))有效的是通過「修改注冊表」來實現(xiàn)。下面來說下具體操作。
在準備關(guān)閉 445 端口之前,首先需要認定的是,你的設備是否已經(jīng)開啟了該端口。查看方法:快捷鍵 Win+R 打開運行窗口,調(diào)出 CMD 命令行程序,然后活動輸入 netstat -na 命令,此時就可以看到在運行的端口狀態(tài)為 Listening。(PS:由于之前測試環(huán)節(jié)我已經(jīng)關(guān)閉了 445 端口,可以參考 135 端口狀態(tài)。)
以 445 端口已經(jīng)開啟為例。接下來需要進完成的步驟是在 Parameters 服務項下,新建 QWORD(32/64 位)值,并且重命名為「SMBDeviceEnabled」,同時把它的值改為 0。
具體操作,打開運行窗口,輸入 regedit 進入注冊表編輯器「。依次點擊注冊表選項,按照 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters 路徑,就可以完成以上操作了。
繼續(xù)往下走。打開運行窗口,并且輸入 services.msc 命令進入服務管理控制臺。然后找到 server 選項,雙擊進入管理控制頁面。把啟動類型更改為「禁用」,同時服務狀態(tài)更改為「停止」,確定之后重啟電腦即可完成 445 端口的關(guān)閉任務。
據(jù)悉,WannaCry 會掃描開放 445 文件共享端口的 Windows 設備,只要用戶的設備處于開機上網(wǎng)狀態(tài),黑客就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
糟糕的地方在于,相比大多數(shù)其他惡意程序依靠通過欺騙用戶點擊附有攻擊代碼附件來的傳播方式,WannaCry 可以通過網(wǎng)絡自行傳播,傳播速度要遠高于前者。
麻煩的是,目前攻擊起源尚不清楚,難以大規(guī)模修復。FOX-IT 的研究員在 Twitter 上表示,他懷疑電子郵件可能是一部分途徑,但不非所有。思科系統(tǒng) Talos 集團的研究人員進一步寫道:「我們的研究無法確定電子郵件是否是最初的感染載體,目前正在分析中。」
近幾周進行的互聯(lián)網(wǎng)掃描顯示,有多達 230 萬臺計算機的 445 端口暴露在互聯(lián)網(wǎng)上,其中有 130 萬臺 Windows 機器尚未進行漏洞修復。
截至周五下午,卡巴斯基實驗室分析顯示,受感染計算機數(shù)量已超過 45000 臺,其中絕大多數(shù)為俄羅斯(烏克蘭,印度和臺灣),而目前國內(nèi)方面,受影響較大的是校園網(wǎng)設備。由于目前正處大四畢業(yè)生畢業(yè)答辯前期,這也將直接影響到這一過程的順利進行。
為了以后能夠避免類似于此次大規(guī)模的病毒軟件傳播所帶來的影響,我們在日常的使用設備的過程中,應該養(yǎng)成備份重要文件的習慣(雖然會額外花費一些時間,但應付數(shù)據(jù)異常等異常情況確實非常有用)。
另外,非常重要的一點,使用設備過程中,要及時留意微軟推送的安全更新。以這次的 WannaCry 事件為例,如果用戶在 3 月份安裝了針對相關(guān)漏洞的補丁,那么也就不會出現(xiàn)目前大肆蔓延的情況了。
最后還是建議大家,無論通過何種途徑,盡快修復 Windows 漏洞,同時開啟防火墻來避免類似的端口攻擊。未來一段時間,我們也將持續(xù)對該事件進行關(guān)注。
日,全球爆發(fā)了新一輪的比特幣病毒,國內(nèi)很多高校網(wǎng)絡和大型企業(yè)網(wǎng)絡遭受了攻擊。很多人苦不堪言,保存了多年的重要資料(種子)全都沒了。今天老劉就來給大家說一說如何讓你的電腦遠離病毒和惡意軟件的攻擊。
我記得之前還有人嘲笑和諷刺過Windows10的強制更新設置,現(xiàn)在來看是非常有必要。就像這次的比特幣病毒,其實微軟早就通過今年3月14號的一個補丁修復了這個漏洞了。如果你關(guān)閉了自動更新還能怪誰呢?如果你還在用WIN7之前的系統(tǒng),請去微軟官網(wǎng)買一套正版的Win10系統(tǒng)。
通過這次的事件,希望大家明白一個道理:這種免費的病毒管家類軟件就是一種心理安慰,其本身對你的PC沒有任何保護的作用,微軟本身自帶Windows Defender對于普通用戶是完全夠用的。此外,這些軟件還有一個功能就是廣告牌。
很多的病毒都是通過郵件傳播的,并且它們會在你打開附件的同時馬上開始傳播。所以請不要打開任何你不熟悉的人給你發(fā)的郵件或者短信。
不管是微軟還是蘋果都自帶殺毒軟件和防火墻,請同意讓他們來接管你PC的安全。由于很多原因,國人對操作系統(tǒng)自帶的殺毒軟件和防火墻都知之甚少,可是現(xiàn)實就是它們真的很好用。
互聯(lián)網(wǎng)時代,最大的好處就是你可以省很多買硬盤的錢,因為幾乎每一個大型的IT公司的云服務都非常的棒。微軟,亞馬遜,蘋果,這些公司的云都非常的好用,價格也劃算比被比特幣病毒勒索(400美元)便宜多了。請一定把你重要的文件備份到云空間。