北京時間5月12日開始,全球范圍內爆發了基于Windows網絡共享協議進行攻擊傳播的“永恒之藍”勒索病毒,目前已有100多個國家和地區的數萬臺電腦遭勒索病毒感染,我國部分Windows系列操作系統用戶已經遭到感染。
今日,曾先后為北京奧運會、G20杭州峰會等重大活動提供全方位網絡信息安全保障的杭州安恒信息,通過官方微信發布了關于如何處理勒索病毒的辦法。客戶端小編基于此為大家梳理了一份網絡安全手冊,保證小白都能看得懂。
該勒索病毒名為“永恒之藍”,偽裝為Windows系統文件,用戶一旦感染,電腦中大多數文件類型均會被加密,然后向用戶勒索價值300或600美金的比特幣。該病毒影響所有Windows操作系統。
請廣大計算機用戶盡快升級安裝補丁,地址為https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
Windows 2003和XP沒有官方補丁,相關用戶可打開并啟用Windows防火墻,進入“高級設置”,禁用“文件和打印機共享”設置;或啟用個人防火墻關閉445以及135、137、138、139等高風險端口。
已感染病毒機器請立即斷網,避免進一步傳播感染。
關于尚未感染的用戶群體的詳細防護步驟如下:
1. 關閉網絡,開啟系統防火墻;
2. 利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)及網絡共享;
3. 打開網絡,開啟系統自動更新,并檢測更新進行安裝;
360公司發布的“比特幣勒索病毒”免疫工具下載地址:
http://dl.360safe.com/nsa/nsatool.exe
Win7、Win8、Win10操作指南:
1. 關閉網絡:拔下網線,關閉無線路由器,已開機PC可關閉本機無線網卡,或禁用網絡連接
2. 打開控制面板-系統與安全-Windows防火墻,點擊左側啟動或關閉Windows防火墻
3. 選擇啟動防火墻,并點擊確定
4. 點擊高級設置
5. 點擊入站規則,新建規則,以445端口為例
6. 選擇端口、下一步
7. 選擇特定本地端口,輸入445,下一步
8. 選擇阻止連接,下一步
9. 配置文件,全選,下一步
10. 名稱,可以任意輸入,完成即可
11. 插入網線,啟用網卡,恢復網絡
12. 開啟系統自動更新,并檢測更新進行安裝
注:在系統更新完成后,如果業務需要使用SMB服務,將上面設置的防火墻入站規則刪除即可。
XP系統操作流程
1. 依次打開控制面板,安全中心,Windows防火墻,選擇啟用
2. 通過注冊表關閉445端口,單擊“開始”——“運行”,輸入“regedit”,單擊“確定”按鈕,打開注冊表
3. 找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters
選擇“Parameters”項,右鍵單擊
選擇“新建”——“DWORD值”
4. 將DWORD值命名為
“SMBDeviceEnabled”值修改為0
5. 重啟機器,查看445端口連接是否已經沒有了
6. 鑒于本次WannaCry蠕蟲事件的影響巨大,微軟總部決定對已停服的XP和部分服務器版本發布特別補丁,微軟公告詳情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
被感染的用戶補救方案
1. 首先拔掉網線,與內網其他機器隔離;
2. 參考“二、開機防護操作指南”操作免疫;
3. 使用蠕蟲勒索軟件專殺工具(WannaCry)清除病毒;
4. 使用PE盤進入操作系統,將可用文件進行備份,并對備份數據進行離線處理;
5. 如果重裝系統,重裝后重復第二步和第三步的步驟,并參考做好防護工作。
有關勒索病毒的更多相關消息,請點擊勒索病毒出現變種 傳播速度可能會更快》》
(綜合人民網、國家網絡與信息安全通報中心、錢江晚報)
本文首發【科技美學】將會詳細告訴你,突然爆發的“比特幣勒索病毒”的一切
“比特幣勒索病毒”的危害
該病毒的來源和作者身份
中毒后怎么辦
沒中毒怎么預防
預防病毒的微軟官方補丁鏈接
先看這件嚴重的安全事件(還在快速蔓延中)
這兩天國內多所高校都發布了關于連接校園網的電腦大面積中“勒索”病毒的消息,這種病毒致使許多高校畢業生的畢業論文或畢業設計被鎖。
看到了嗎,有一些電腦已經被鎖,開機就先顯示黑客的勒索信息。
看不清?放大給你看看。
這是一個內置28國語言的勒索病毒
病毒自帶簡體中文
制作還是相當用心的
如果想要換回文件,你就要付錢,那么黑客要多少錢呢?圖例寫的很清楚:
要600美元
注意:不是人民幣
不只是國內,全球許多國家的醫院及科研機構等也都遭受了攻擊。據@英國那些事報道 英國多家醫院周五因“大規模”的黑客攻擊而癱瘓。手術被取消,救護車被迫轉向其他醫院。醫療工作者報告說,他們的系統被鎖定了,根本進不去。屏幕上有消息顯示,要求他們支付“贖金”以重新開啟。
如果只是學校boom還能說是小事,但是醫院boom就是涉及人命的大事了。在眾多被莫名其妙取消的手術中,很多病人會因此而含冤逝世。這一切都只發生在短短的十幾個小時內,充分發揮了“病毒式傳播”的精髓。
但是假如你不去支付相應的“贖金”會如何呢?你所有被鎖的文件都將永遠無法恢復,如果你沒有備份的話這將會是個巨大的災難。如果你想要考慮一下,可以,但是別超過7天。
如果超過了7天,那么如上所說,你的文件就真的沒法恢復了。當然你也可以祈禱這位始作俑者良心發現給你解開,不過可能性無限接近于零。
根據卡巴斯基給出的統計顯示,在過去的十幾個小時里全球共有74個國家的至少4.5萬電腦中招,而這種病毒還在繼續蔓延。
那么這個病毒是怎么來的呢?
其實這不是這種病毒第一次搞事情了。
2015年5月1日,一種名為“CTB-Locker”的比特幣敲詐病毒在國內爆發式傳播。該病毒通過遠程加密用戶電腦文件向用戶勒索贖金,用戶文件只能在支付贖金后才能打開。反病毒專家稱,目前國內外尚無法破解該病毒。
我們現在所討論的這個病毒正是CTB-Locker的升級版,據外媒報道,該病毒由俄羅斯黑客艾維蓋尼耶·米哈伊洛維奇·波格契夫所作。
這個黑客是FBI 現任全球十大黑客通緝犯排行第二的人,如果你抓到他了FBI會給你300萬美金的獎金。
在看看這個人的照片之前,小編先問你一句:你覺得黑客應該是什么樣的?
電影里的?這樣的?
很遺憾,現實中的黑客并不會這么帥。他們可以一分鐘敲下200個字符,會因為打字數量太多而形成“黑客美指”。同時因為常年對著電腦等電子設備,他們會微微駝背,并且看起來可能“不太健康”。此處高能預警,請各位保護好眼睛——
其實不是那么不堪入目吧,但是的確具備了最近網上描述宅男的那三個字的特征。
再回顧一下他病毒里的勒索宣言:
您的一些重要文件被我加密保存了。
照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等,幾乎所有類型的文件都被加密了,因此不能正常打開。
這和一般文件損壞有本質上的區別,您大可在網上找找恢復文件的方法,我敢保證,沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔。
有沒有恢復這些文檔的方法?
當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保,能提供安全有效的恢復服務。
但這是收費的,也不能無限期的推遲。
請點擊<Decrypt>按鈕,就可以免費恢復一些文檔。請您放心,我是絕不會騙你的。
但想要恢復全部文檔,需要付款點費用。
是否隨時都可以固定金額付款,就會恢復的嗎,當然不是,推遲付款時間越長對你不利。
最好3天之內付款費用,過了三天費用就會翻倍。
還有,一個禮拜之內未付款,將會永遠恢復不了。
對了,忘了告訴你,對半年以上沒錢付款的窮人,會有活動免費恢復,能否輪到你,就要看您運氣怎么樣了。
很吊的語氣
最后還想假裝仁義道德
并不是所有的黑客都會像小說之中的俠客那樣劫富濟貧。黑客本就是形容罪犯的詞匯,我們所理解的好人黑客叫做“白帽黑客”。他們大多受雇于政府機關,是和黑客作斗爭的組織或個人。
而最受黑客們歡迎的支付方式自然就是比特幣了。
前幾天我們給大家講過比特幣是什么對吧?沒印象的同學可以翻歷史記錄回去看看。
懶得回去看的同學可以點這里:聽說過比特幣嗎?可值錢了
為什么比特幣受歡迎呢?因為這東西是不受監管的,而且價值非常高。它使用整個P2P網絡中眾多節點構成的分布式數據庫來確認并記錄所有的交易行為,并使用密碼學的設計來確保貨幣流通各個環節安全性。簡而言之,自由民主平等博愛還安全。
大家可以看一眼今天的比特幣行情:
別忘了人家要的是600美金
看到了嗎?單單一枚比特幣就價值上萬,這次黑客要價其實還不算太高呢。600美元按發稿時的匯率折合人民幣也就4100塊錢多點,半枚都幾乎買不起。但是價格少架不住量大,全球這么多臺電腦遭殃,每個人600美元算下來也是天文數字了。
自從這個病毒在全球遍地開花之后,各大比特幣交易平臺在短時間內至少接到了15萬件交易請求。因為此次事件的特殊性,這突如其來的訂單并沒有全部被執行。
如果都兌現了,那么黑客的獲利就是:
15萬X600美元=?
9000萬美元!6.2億人民幣啊!
原來做黑客這么掙錢?
我也想學
到這里可能會有人問了:我電腦都中毒了,你說這些有啥用?怎么解決啊?
答案是沒有辦法
要文件,你只能付錢
不過看了黑客的勒索信件,我又有點猶豫了。這名俄羅斯黑客信誓旦旦的表示:請您放心,我是絕對不會騙你的。
還用人格擔保,會幫你恢復文件。
你 TM 有人格嗎?
我現在嚴重懷疑你的人品,交了錢也未必保證黑客就不撕票。而且大多數情況下,比特幣交易是雙盲的,也就是收款方無法準確知道付款方的信息,那么他真能幫你解鎖?也是存疑的。
別廢話,解決辦法是啥!?
你要是沒中毒的話,那么咱們還有辦法:
昨日各高校已經通過各種渠道發布了相關的控制辦法,首先告知各位近期不要用電腦和手機登錄校園網,謹防被病毒波及。這一次的病毒強行解密也需要長達半年的解密時間。
小編給大家看看山東大學貼出的解決辦法:
為什么偏偏是科研機構和高校的電腦會遭殃呢?因為他們使用的系統都比較老舊,大部分還停留在Win7、Win8甚至是XP上。這些系統漏洞非常多,安全性極低。有些更早期的系統更是已經被微軟停止提供系統更新維護服務。
而且很多殺毒軟件和升級助手都會“自作聰明”的屏蔽掉系統原生開發者所提供的安全升級補丁或系統漏洞補丁,這會讓蠕蟲很容易就趁虛而入。但是我們也不能排除個人用戶關閉自動更新并沒有主動選擇更新新補丁的情況。
照常進行系統升級維護的企業機構和個人用戶反而幾乎都沒有遭受到攻擊,因為這個病毒本就是利用了去年被盜的美國國家安全局自主設計的Windows系統黑客工具Eternal Blue搞出來的。
如果你的win10開啟了自動更新,那么在上個月應該已經更新這個重要補丁。
在此小編也提醒各位一下,請一定要密切關注自己系統的相關升級維護。這次的事情只是個不進行照常升級的后果之一。如果沒有關注過系統補丁的話,大家可以去微軟官網上根據自己系統的版本來選擇下載相關補丁。微軟寫的很全面,不用擔心會下錯。尤其是標注了“嚴重”字樣的補丁,大家最好是都更新好。
要提醒各位的是,如果自行下載補丁請務必前往微軟官方網站下載。
如圖所示,如果你是Win10的1607版本,那么要下載的升級包為699.8MB,其他系統和其他版本,下載文件和大小都不同。
【科技美學】微信文章末尾會提供真正官方補丁鏈接。
如果你安裝的是盜版Windows系統,盜版作者在制作時已經屏蔽了系統更新怎么辦呢?
也有辦法,請到下面的微軟官方升級包下載站并根據我們提供的表格搜索對應的補丁包,比如Win10系統搜索 KB4013429。
http://www.catalog.update.microsoft.com/home.aspx
根系
有同學說,我是WIN10系統,并且自動更新了,是不是就沒問題了呢?
為了保險起見,最好檢查一下你的更新記錄里,有沒有更新這個補丁
沒更新的話,請立刻下載以下適用于Windows 10 的補丁包
【KB4013198】:適用于Windows 10 1511十一月更新版32/64位
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
【KB4013429】:適用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
對于已經停止更新的 Windows XP 等舊系統,微軟也提供了官方補丁包。就沖這點,微軟還是有良心的。
Windows XP SP2 64位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=a679cafc-d8da-4c2a-9709-17a6e6a93f4f
Windows XP SP3 32位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=9e189800-f354-4dc8-8170-7bd0ad7ca09a
Windows XP SP3 32位嵌入式:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=d4d15d30-e775-4f6f-b838-d3caca05a5e9
Windows Server 2003 SP2 32位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=fdb0df5f-8994-4e43-a37b-82544a1eff68
Windows Server 2003 SP2 64位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=6e52528b-7754-49ba-b39e-2a2a2b7c8c3a
Windows 8 32位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=ec4f955a-2fe7-45e6-bde1-1de91cbe874f
Windows 8 64位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=22699699-94c3-4677-99e5-38cb4fb66401
這件事其實給大家敲響的最大警鐘不是及時更新,而是要記得把你所有的重要文件都留存備份放在移動硬盤、U盤或上傳云端中。就算遇上再大的事,只要你硬盤不被偷了或者砸了都無所畏懼。