近日來,wannacry勒索病毒席卷全球,超過150個國家至少30萬名使用者中招,造成損失達80億美元(約合人民币550億元)。
目前,多名網絡安全專家指出,目前病毒事态隻是由于多種原因而稍顯緩和,但許多網絡使用者特别是中國使用者仍面臨風險關口。
知名防毒軟體俄羅斯卡巴斯基實驗室也表示,如果電腦已經中招,就隻有一種方法——重裝系統,但加密的檔案将會丢失。
面對這突如其來的病毒攻擊,作為普遍網民的我們該怎麼處置,保護個人财産安全?網易雲安全(易盾)實驗室就此整理了八大問題,分析了這個蠕蟲的前世今生,并提出了幾項有效的應對措施。
問題一:已經感染病毒的如何降低影響?
如果你的電腦被勒索病毒感染,或者你的朋友中招,向你求助,那我們該怎麼處理将影響降到最低呢?
首先,這是一款勒索蠕蟲,蠕蟲病毒的特點是會通過網絡進行自動複制和傳播,就像電影《釜山行》中,被僵屍噬咬過的人也會變成僵屍去傳染給更多的人。
是以第一步需要做的就是斷開網絡,防止自己的電腦去感染更多的電腦。
其次,建議中招使用者将硬碟進行格式化處理,徹底消除硬碟上蠕蟲病毒,就像一次徹底的細胞切除手術。
然後,再重新安裝系統,并安裝相應的系統更新檔。
最後,還需要安裝防毒軟體,并把防毒軟體的病毒庫更新到最新版本。
目前,許多人最常犯的錯誤就是心存僥幸,将受到感染的電腦繼續連接配接到網絡裡,做各種嘗試操作,亦或是認為支付贖金可以解密。其實該勒索蠕蟲會對電腦中的文檔進行rsa加密。這種加密方式的特點是,隻要加密密鑰足夠長,普通電腦需要數十萬年才能夠破解,等于說個人幾乎是不可能破解的。是以一旦電腦中毒,基本沒有挽回餘地。
問題二:未中毒者如何排除風險?
如果你是幸運兒,并未在此次攻擊中受影響,那麼也請别做一個普通的吃瓜群衆,隻要你使用的是windows系統,很久不曾更新更新檔,就仍有很大的中毒風險。建議通過“三步法”提前排除這個風險:
第一步:關網絡。該勒索蠕蟲需要通過網絡傳播,關閉網絡也就切斷了病毒的傳播途徑。針對普通的桌上型電腦,最直接的方式就是拔掉網線;如果家裡使用的是筆記本電腦,可以關閉本機的無線網卡;家中如果使用了無線路由器的,也可以關閉無線路由器;最後,還可以通過在已開機的pc中禁用網絡的方法進行關閉。個人可以根據自己的實際情況,選擇對應的方式來進行斷網操作。
第二步:關端口。該勒索蠕蟲是通過掃描電腦上的tcp 445端口(server messageblock/smb)進行攻擊的,是以關閉445端口也就關閉了勒索蠕蟲的攻擊大門。該動作分為以下幾步:
a. 打開控制台-系統與安全-windows防火牆,點選左側啟動或關閉windows防火牆
b. 選擇啟動防火牆,并點選确定
c. 點選進階設定
d. 點選入站規則,建立規則,以445端口為例
e. 選擇端口、下一步
f. 選擇特定本地端口,輸入445,下一步
g. 選擇阻止連接配接,下一步
h. 配置檔案,全選,下一步
i. 名稱,可以任意輸入,完成即可
第三步:打更新檔。前兩步屬于名額不治本的方式,隻是臨時阻止了勒索蠕蟲的攻擊,如果要治本還需要及時利用官方的系統更新檔堵上系統漏洞。早在今年3月份,微軟就提供了該漏洞的更新檔,建議使用者開啟系統自動更新,并檢測更新進行安裝。如果自動更新失敗,也可以手動從微軟的官方網站下載下傳更新檔進行安裝。更新檔下載下傳位址為:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 。
問題三:手機會不會中毒?
保證了電腦萬無一失,那麼我們使用頻率更高的手機會不會面臨風險呢?
手機不會受該勒索蠕蟲影響。該勒索蠕蟲利用的是windows系統漏洞,受影響的系統是從windows 2000到windows10,以及windows server 2000到windows server 2016的各個版本。而目前手機的作業系統則是ios、android、winphone等,并不屬于windows,是以不受該勒索蠕蟲的影響。
問題四:為什麼此次勒索病毒傳播如此迅速?
要了解這個原因,我們還得從勒索蠕蟲的原理說起。
首先,wannacry蠕蟲利用的漏洞非常普遍,絕大部分的個人pc機仍然使用微軟的windows作業系統,而windows系統預設打開了445端口,并且大量的windows使用者沒有定期更新更新檔的習慣,這給蠕蟲的傳播提供了大量宿主。其次,傳統的勒索軟體需要靠“騙”,也就是說需要哄騙受害者主動點選某個附件、某個網址等等。而此次蠕蟲病毒可以進行自我傳播和自動複制,也就是可以進行主動的探測和傳播。這個從“被動”到“主動”的轉化,造成了傳播速度上質的差異。
其次,wannacry勒索病毒傳播利用了一個特殊的漏洞工具,叫“永恒之藍”,聽起來像是某顆名貴鑽石的名字。這個漏洞工具來源于美國國家安全局(nsa)的網絡武器庫。今年4月14日,一個名為“影子中間人”的黑客組織曾經進入美國國家安全局網絡,曝光了該局一批檔案檔案,同時公開了該局旗下的“方程式黑客組織”使用的部分網絡武器。據報道,這批網絡武器中就包括可以遠端攻破全球約70% 視窗系統(windows)機器的漏洞利用工具(即“永恒之藍”)。經緊急驗證這些工具真實有效。當時,該事件引起了安全圈子的轟動。盡管微軟早就對該漏洞釋出了更新檔,但是并未給企業和機構敲響警鐘,大量的企業群組織并沒有安裝更新檔。
“永恒之藍”工具被公布後,立刻受到追捧,因為它能夠搭載任意病毒進行全網蠕蟲化自動傳播,其中最厲害的就是這次的wannacry病毒。
問題五:wannacry病毒勒索為何隻要比特币?
事實上,勒索病毒本身與比特币并無直接關系,而黑客之是以要求以比特币進行贖金支付,恰恰是看中了比特币在支付轉賬時的全球化、去中心化和匿名性等“優勢”。
首先,比特币有一定的匿名性,便于黑客隐藏身份;其次它不受地域限制,可以全球範圍收款、轉賬;再次比特币還有“去中心化”的特點,可以讓黑客通過程式自動處理受害者贖金。
衆所周知,正常的跨國彙款需要經過層層外彙管制機構審查,交易記錄會被包括銀行在内的多方記錄在案,甚至交易超過一定額度後,為防止洗錢等違規行為,還需向有關部門上報。但如果用比特币交易就簡單多了,隻要輸入數字位址,點幾下滑鼠,等待确認交易後,就可以完成交易(目前國内已經暫停提币)。
同時,相比于其他數字貨币,比特币目前占有最大的市場佔有率,具有最好的流動性。近期比特币價格大幅上漲,也是其被黑客看中的原因。
問題六:為什麼學校、醫院、政府等公共機構是重災區?
對于這個問題,或許一般的使用者也都有這樣的直覺感覺:學校、醫院等公共機構中的電腦裝置使用的系統往往是最落後的,甚至速度也是最慢的,加上缺乏專業技術人才,安全意識較低。這類機構的電腦不能做到及時更新更新檔,成為被攻擊的首要原因。
其次,目前大部分學校基本是一個大的内網互通的區域網路,不同的業務未劃分安全區域。例如:學生管理系統、教務系統等都可以通過任何一台連入的裝置通路。同時,實驗室、多媒體教室、機器ip配置設定多為公網ip,如果學校未做相關的權限限制,所有機器直接暴露在外面。各大高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網,此骨幹網出于學術目的,大多沒有對445端口做防範處理,這是導緻這次高校成為重災區的原因之一。
問題七:病毒得到遏制了麼?會不會出現新的變種?
從目前的資料分析,該勒索蠕蟲已經得到了遏制,新增的受感染系統正在下降。同時,有國外網絡安全公司捕獲到該病毒的2.0版本,是以不排除新一輪攻擊的擴大。“就像地震往往會有餘震一樣,我們需要警惕病毒的各種變種”,不過我們隻要做好防禦準備,打了最新的系統更新檔就不用擔心。
問題八:我們從這次勒索病毒事件中學到了什麼?
安全意識薄弱是很多人中招的最重要原因,這次事件之後,強烈建議網絡使用者至少做好以下四項預防工作:
1、重要檔案一定要随時備份,可以通過網盤、u盤等媒體進行備份。如果是企業,也可以搭建集中的檔案伺服器進行檔案的集中管理和備份。
2、系統一定保持最高安全等級,及時更新到最新版本,建議打開自動更新功能。同時,系統需要安裝防毒軟體,更新病毒庫。
3、不要輕易打開陌生檔案,尤其是陌生郵件和im通信軟體中的檔案。
4、安裝正版作業系統、office軟體,盡量不用來曆不明的盜版軟體。
本文轉自d1net(轉載)