用 Malwarebytes 反惡意軟件主管 Adam Kujawa 的說法:「WannaCry 的傳播量是巨大的,我從來沒有見過這樣的事情?����!?/p>
感染該病毒之后���,相應設備的磁盤文件會被篡改為相應的后綴����,包括文檔、圖片��、視頻以及壓縮包在內的各類資料將無法正常打開��。
對于這場波及全球范圍的「勒索軟件」襲擊事件�,國內外媒體進行了大量報道�����。這篇文章我們將直入主題�,來說下哪些用戶需要格外注意�,以及如何進行防范。另外��,結尾處也會進行簡單的回顧(PS:已經對整個事件比較了解可以直接略過)��。
目前「災區」為 Windows�����,其它平臺設備暫時安全
WannaCry(又稱 WanaCrypt0r 或者 WCry),是之前泄露的 NSA(美國國家安全局)黑客武器庫中「Eternal Blue」攻擊程序的變體����,其可以遠程攻擊 Windows 的 445 端口(文件共享)�。
目前只感染 Windows 平臺��,而 macOS���、Linux�����、Android 不在此次攻擊范圍之內��,所以如果你的設備運行后幾種平臺,暫時是安全的����。不過,沒有人敢保證�,接下來傳播者是否會通過更新這一軟件�����,來對其它平臺的設備進行攻擊,所以同樣需要留意相關信息�����。
目前受 WannaCry 影響的 Windows 操作系統包括:
需要特別注意的是��,利用 445 端口傳播的蠕蟲病毒之前曾多次出現��,一些運營商封掉了個人用戶的 445 端口。但教育網對此并未對此進行限制�,因此依舊存在大量開放的 445 端口設備��,而這些設備無疑將成為了這次受感染的「重災區」。
如何及早采取措施��,讓你的設備「幸免于難」
就目前而言����,一旦你的設備已經「中槍」,想要恢復被加密的資料���,唯一可能的途徑就是按照勒索者的要求,支付 5 比特幣或者 300 美元贖金(約合 5 萬和 2000 多元人民幣)���。另外,按照勒索者的說法����,如果一周之內不付款�����,那么威脅要完全刪除被加密的文件��。
但問題是��,即使是你「認栽」,支付相應數額贖金�����,也不能保證一定會解密成功����。所以建議,如果并非緊急情況,最好等待后續解決方案出臺,即使到時依舊無法獲得解決����,再去嘗試支付贖金也不遲�。
下面來重點講下�,如何即使采取措施,來對設備進行防護。
實際上,早在今年 3 月份,微軟發布的安全更新補丁中���,就包含有此次被 WannaCry 勒索軟件利用的漏洞。不過由于不會影響日常的使用體驗,大家對于 Windows 的日常更新往往并不會太多關注�,相當一部分人并沒有及時更新��。目前來看最簡便、靠譜的方法,就是完成之前的系統更新。
有一條好消息是�,微軟周五表示�,將向更舊的操作系統「不再接受主流支持」的用戶推出更新�����,包括 Windows XP(NHS 仍然主要使用)�����,Windows 8 和 Windows Server 2003。
微軟已經發布了相關的補丁 MS17-010 用以修復此次被利用的系統漏洞����,大家可以去微軟官方了解詳細解決方案�。直通地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010�����。
360 對此次大范圍病毒攻擊事件反應較為迅速����。按照 5 月 13 日早些時候其微信公眾平臺發布相關文章的說法,之前 360 安全中心已經推出「NSA 武器庫免疫工具」,能夠一鍵檢測/修復 NSA 黑客武器攻擊漏洞�����。
針對已經停止更新的 Windows XP/2003 系統���,免疫工具可以關閉漏洞利用的端口�,來防止 NSA 黑客武器植入勒索病毒等惡意程序。
隨后騰訊電腦管家也發文提醒用戶����,保持騰訊電腦開啟狀態��,來實時攔截病毒。尚未選擇修復漏洞的用戶可以使用「漏洞修復」功能進行掃描修復����。
默認狀態下�����,Windows 的 135��、139��、445 端口處于開放狀態。而此次 WannaCry 正是通過 445 端口來進行大規模傳播的�,我們也可以選擇手動來關閉以上端口���。下面來講下如何關閉此次「惹禍」的 445 端口�。
目前網上有很多「如何關閉」445 端口的方法����,但經過多次嘗試,親測(Windows 10 系統)有效的是通過「修改注冊表」來實現�����。下面來說下具體操作�����。
在準備關閉 445 端口之前��,首先需要認定的是,你的設備是否已經開啟了該端口��。查看方法:快捷鍵 Win+R 打開運行窗口��,調出 CMD 命令行程序�����,然后活動輸入 netstat -na 命令,此時就可以看到在運行的端口狀態為 Listening�����。(PS:由于之前測試環節我已經關閉了 445 端口�,可以參考 135 端口狀態。)
以 445 端口已經開啟為例��。接下來需要進完成的步驟是在 Parameters 服務項下�����,新建 QWORD(32/64 位)值�����,并且重命名為「SMBDeviceEnabled」,同時把它的值改為 0�����。
具體操作����,打開運行窗口,輸入 regedit 進入注冊表編輯器「����。依次點擊注冊表選項�����,按照 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters 路徑,就可以完成以上操作了。
繼續往下走���。打開運行窗口,并且輸入 services.msc 命令進入服務管理控制臺�����。然后找到 server 選項����,雙擊進入管理控制頁面��。把啟動類型更改為「禁用」�����,同時服務狀態更改為「停止」,確定之后重啟電腦即可完成 445 端口的關閉任務。
WannaCry 的影響,在持續蔓延
據悉���,WannaCry 會掃描開放 445 文件共享端口的 Windows 設備,只要用戶的設備處于開機上網狀態,黑客就能在電腦和服務器中植入勒索軟件����、遠程控制木馬�、虛擬貨幣挖礦機等惡意程序��。
糟糕的地方在于��,相比大多數其他惡意程序依靠通過欺騙用戶點擊附有攻擊代碼附件來的傳播方式,WannaCry 可以通過網絡自行傳播�����,傳播速度要遠高于前者�����。
麻煩的是��,目前攻擊起源尚不清楚,難以大規模修復。FOX-IT 的研究員在 Twitter 上表示��,他懷疑電子郵件可能是一部分途徑�����,但不非所有。思科系統 Talos 集團的研究人員進一步寫道:「我們的研究無法確定電子郵件是否是最初的感染載體����,目前正在分析中�����?����!?/p>
近幾周進行的互聯網掃描顯示,有多達 230 萬臺計算機的 445 端口暴露在互聯網上���,其中有 130 萬臺 Windows 機器尚未進行漏洞修復。
截至周五下午��,卡巴斯基實驗室分析顯示�����,受感染計算機數量已超過 45000 臺��,其中絕大多數為俄羅斯(烏克蘭,印度和臺灣),而目前國內方面����,受影響較大的是校園網設備����。由于目前正處大四畢業生畢業答辯前期�����,這也將直接影響到這一過程的順利進行。
為了以后能夠避免類似于此次大規模的病毒軟件傳播所帶來的影響��,我們在日常的使用設備的過程中��,應該養成備份重要文件的習慣(雖然會額外花費一些時間����,但應付數據異常等異常情況確實非常有用)����。
另外,非常重要的一點�����,使用設備過程中�,要及時留意微軟推送的安全更新。以這次的 WannaCry 事件為例����,如果用戶在 3 月份安裝了針對相關漏洞的補丁����,那么也就不會出現目前大肆蔓延的情況了���。
最后還是建議大家�,無論通過何種途徑,盡快修復 Windows 漏洞����,同時開啟防火墻來避免類似的端口攻擊。未來一段時間,我們也將持續對該事件進行關注�����。
日���,全球爆發了新一輪的比特幣病毒��,國內很多高校網絡和大型企業網絡遭受了攻擊�。很多人苦不堪言�����,保存了多年的重要資料(種子)全都沒了�����。今天老劉就來給大家說一說如何讓你的電腦遠離病毒和惡意軟件的攻擊����。
更新你的操作系統至最新版本
我記得之前還有人嘲笑和諷刺過Windows10的強制更新設置����,現在來看是非常有必要。就像這次的比特幣病毒����,其實微軟早就通過今年3月14號的一個補丁修復了這個漏洞了��。如果你關閉了自動更新還能怪誰呢?如果你還在用WIN7之前的系統�����,請去微軟官網買一套正版的Win10系統��。
遠離各種衛士管家類軟件
通過這次的事件,希望大家明白一個道理:這種免費的病毒管家類軟件就是一種心理安慰,其本身對你的PC沒有任何保護的作用���,微軟本身自帶Windows Defender對于普通用戶是完全夠用的。此外��,這些軟件還有一個功能就是廣告牌��。
遠離未知鏈接
很多的病毒都是通過郵件傳播的���,并且它們會在你打開附件的同時馬上開始傳播�����。所以請不要打開任何你不熟悉的人給你發的郵件或者短信。
打開系統自帶的防火墻
不管是微軟還是蘋果都自帶殺毒軟件和防火墻,請同意讓他們來接管你PC的安全。由于很多原因�����,國人對操作系統自帶的殺毒軟件和防火墻都知之甚少����,可是現實就是它們真的很好用。
把重要的文件備份到“云”
互聯網時代,最大的好處就是你可以省很多買硬盤的錢�����,因為幾乎每一個大型的IT公司的云服務都非常的棒��。微軟��,亞馬遜,蘋果��,這些公司的云都非常的好用����,價格也劃算比被比特幣病毒勒索(400美元)便宜多了��。請一定把你重要的文件備份到云空間�����。
年來,數字貨幣不僅是交易市場上的寵兒�����,也逐漸成為勒索病毒關注的焦點����。在比特幣之后,另一種數字貨幣——達世幣又“脫穎而出”����,成為勒索新幣種�,安全廠商已發現全球首例接受達世幣的勒索病毒樣本��。近日��,據騰訊御見威脅情報中心感知發現��,一款名為GrandCrab的勒索病毒正借網頁掛馬等方式傳播,加密文件后綴為.GDCB���。不同于以往勒索比特幣,GrandCrab勒索病毒此次向受害者勒索的幣種為達世幣��,且金額高達1200美元�����。
根據近期發布的騰訊安全《2017年度互聯網安全報告》與《2017年數字加密貨幣安全報告》���,自問世以來就立志成為全球通用“數字現金”的數字加密貨幣已多達1500種�,愈發受到社會的普遍關注���。此前如WannaCry�����、Peyta等臭名昭著的勒索病毒多以比特幣為勒索對象��,但使用比特幣時,任何交易都會被寫到數據區塊鏈中���,這使得每個人都能查詢交易,而達世幣則幫助不法黑客隱藏了這些信息���,使得其更加難被追蹤,因此達世幣逐漸成為不法黑客勒索錢財的“新寵”��。
同樣值得關注的是��,GrandCrab勒索病毒在傳播方式上耍的“花招”�。騰訊安全反病毒實驗室在近日發布的《2018年1月安全輿情報告》中指出����,GrandCrab于2018年1月26日首次被發現��,與以往勒索軟件不同的是���,它是由RIG EK和GandSoft EK兩個開發工具包進行分發��,這種使用攻擊工具包進行推送勒索軟件的方式并不常見。
騰訊電腦管家安全專家、騰訊安全反病毒實驗室負責人馬勁松指出�����,此次旨在獲取達世幣的GrandCrab勒索病毒在傳播方式上大費心思���,通過掛馬攻擊����、IE瀏覽器漏洞、水坑攻擊和釣魚郵件攻擊四種方式組成“廣撒網”的攻擊策略,提升攻擊成功率����。
其中��,水坑攻擊傳播通過入侵各網站服務器,將網頁內容篡改成亂碼,進而誘導用戶下載運行“字體更新程序”����,實則為下載運行GrandCrab勒索病毒�����。而早前由于大范圍傳播Locky勒索病毒被大家熟知Necurs僵尸網絡也被發現傳播GrandCrab勒索病毒��,同樣是通過偽裝成單據等文件的方式誘導用戶點擊運行。
梳理近期頻發的勒索病毒事件不難發現,從比特幣����、門羅幣再到達世幣,勒索病毒活動正在尋找更為隱蔽且高效的傳播方式����,以實現自己的非法獲利企圖�����。用戶在防御勒索病毒時應該更加側重事前預防,不給不法黑客可乘之機。
騰訊電腦管家推出的“文檔守護者2.0”,基于管家的安全防御體系�����,保護用戶的文檔不被加密勒索����。基于管家的安全防御體系��,通過對系統引導��、邊界防御�����、本地防御、執行保護�、改寫保護����,備份等多個環節的保護構建完整的防御方案���,保護用戶的文檔不被加密勒索����。除支持已知430多種勒索病毒的免疫之外���,還能提供對未知的勒索病毒的攔截和備份能力�����,進一步保證文檔安全�����。
