5月12日,全球近 100 个国家的计算机同时遭到知乎有关比特币的文章了来自一款名为 wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。wana Decrypt0r 是什么?如何预防它?电脑感染以后又应该如何应对?这篇文章将给知乎有关比特币的文章你答案。
什么是 wana Decrypt0r 2.0?
wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序,在被不法分子改造之后变成了一款「勒索软件」。被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。
<img src="https://pic1.zhimg.com/v2-efe0b076d9925d8505533e0d74e8c61c_b.jpg" data-rawwidth="700" data-rawheight="420" class="origin_image zh-lightbox-thumb" width="700" data-original="https://pic1.zhimg.com/v2-efe0b076d9925d8505533e0d74e8c61c_r.jpg">
(Wana Decrypt0r 2.0 中招画面 来源:idropnews)
wana Decrypt0r 2.0 会影响哪些系统?
wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:
客户端操作系统:
Windows 2000、XP
Windows Vista
Windows 7
Windows 8 / 8.1
Windows 10(除Windows 10 Creators Update、build 15063)
服务器操作系统:
Windows Server 2008 / 2008 R2
Windows Server 2012 / 2012 R2
Windows Server 2016
目前 wana Decrypt0r 2.0 只会感染 Windows 桌面操作系统,如果你使用的是 Linux 或者 macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击 Linux 或者 macOS。
wana Decrypt0r 2.0 如何传播?
由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序,因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息,从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件,而这一过程无需用户的任何操作,这也是其可以快速在全球传播的原因。
对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口,但是国内高校的「教育网」并未封掉 445 端口,所以本次国内高校计算机成为了受感染的重灾区。
此外,国内许多企业内部局域网也没有封掉 445 端口,因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。
如何预防 wana Decryptor 2.0?
为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。
最简单的方式:开启 Windows 安全更新
本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。
早在今年三月份,微软就已经针对 Windows 设备推出了月度安全更新,其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此,如果你还没有下载这个更新,你可以在 Windwos 中检查并下载安装,防范勒索软件。
另外,你也可以单独下载安全修补程序 KB4012212 进行更新,并通过 MS17-010 了解更多相关安全问题。
<img src="https://pic4.zhimg.com/v2-8174455999d2b94d6ce7d33fa94be04f_b.png" data-rawwidth="700" data-rawheight="228" class="origin_image zh-lightbox-thumb" width="700" data-original="https://pic4.zhimg.com/v2-8174455999d2b94d6ce7d33fa94be04f_r.png">
(三月份月度安全更新下载)
临时解决方案一:禁用 SMBv1
如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:
对于客户端操作系统:
打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。
在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
对于服务器操作系统:
打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。
在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
<img src="https://pic3.zhimg.com/v2-cbd6e4cd17a35ae57fee14c9acb5ce56_b.png" data-rawwidth="1125" data-rawheight="592" class="origin_image zh-lightbox-thumb" width="1125" data-original="https://pic3.zhimg.com/v2-cbd6e4cd17a35ae57fee14c9acb5ce56_r.png">
临时解决方式二:使用系统防火墙封禁 445 端口
如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:
打开「控制面板」
在「控制面板」中选择「Windows 防火墙」
点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」
新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。
<img src="https://pic4.zhimg.com/v2-34574925e075c1d969a68d810d81e77f_b.png" data-rawwidth="714" data-rawheight="539" class="origin_image zh-lightbox-thumb" width="714" data-original="https://pic4.zhimg.com/v2-34574925e075c1d969a68d810d81e77f_r.png">
<img src="https://pic3.zhimg.com/v2-fe6943a57f9f37f965fc5adf5b1b35e6_b.png" data-rawwidth="714" data-rawheight="539" class="origin_image zh-lightbox-thumb" width="714" data-original="https://pic3.zhimg.com/v2-fe6943a57f9f37f965fc5adf5b1b35e6_r.png">
临时解决方案三:关闭 445 端口(适用于 Windows XP 等)
对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:
通过 Windows + R 打开「运行」
输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。
新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0
重启电脑
临时解决方案四:使用 360 的 NSA 武器库免疫工具
如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。
<img src="https://pic4.zhimg.com/v2-9ba3f5b37575647d313f4789792db3ab_b.jpg" data-rawwidth="700" data-rawheight="500" class="origin_image zh-lightbox-thumb" width="700" data-original="https://pic4.zhimg.com/v2-9ba3f5b37575647d313f4789792db3ab_r.jpg">
已经中招了应该如何应对?
如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。另外,根据勒索软件的描述,如果不支付赎金,一周后设备中的数据将会全部丢失。
如果数据并不是非常紧急,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。
想要避免今后被攻击,你还需要做这些:
对于重要文件请及时备份至移动设备、 NAS 或者其知乎有关比特币的文章他云存储中。
无论是什么样的网络环境,请及时对系统进行安全更新,尤其是微软每月的安全更新,往往可以让你避免数据丢失所造成的灾难性后果。
开启 Windows 防火墙避免类似的端口攻击。
更新
5 月 13 日 16 点:
由于影响过于广泛,微软针对此前已经结束支持的 Windows XP、Windows Server 2003 以及 Windows 8 发布了单独的安全更新,用来封堵本次勒索软件所利用的安全漏洞,使用以上三款操作系统的用户或系统管理员点击 这里 下载更新。更多详情请参考 TechNet Blogs。
5 月 13 日 19 点:
国内安全媒体 Freebuf 公布了目前可以尝试的两种勒索软件中招解决方案:
方法一,利用黑客在勒索赎金交易环节设计的疏忽,对其进行交易欺骗,具体操作步骤如下:
1. 打开自己的那个勒索软件界面,点击 copy,复制黑客的比特币地址
2. 把 copy 粘贴到 https://btc.com (区块链查询器)
3. 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值)
4. 把 txid 复制粘贴到勒索软件中,并点击 connect us。
5. 等黑客看到后,再点击勒索软件上的 check payment。
6. 再点击 decrypt 解密文件即可。
方法二:
使用开源的脚本(需要 Python 3 环境)来运行尝试恢复,本质与方法一相同。
脚本下载地址 | Python 3 下载地址
5 月 14 日 14 点(已失效):
国外安全专家已经找到了勒索软件的一个「隐藏后门」,勒索软件在入侵时会尝试访问一个网址,如果可以顺利访问(返回相关网络状态码)就不再加密被入侵电脑中的资料文件,而目前这个网址已经被安全人员进行了注册,从而阻断了该勒索软件的进一步传播。
但是目前该网址在国内访问不是很顺畅,我们可以通过修改系统 host 的方式,将其映射到国内一些网站的 IP 上,从而达到免疫的作用,具体修改操作为:
1. 在「我的电脑」中进入到 C:\Windows\System32\drivers\etc 目录中,找到 host 文件
2. 用「记事本」打开 host 文件
3. 添加以下文本:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.217
4. 保存退出
5. 如果遇到权限问题,可将 host 文件拷贝至桌面,在桌面修改完成后再覆盖回源地址。
5 月 14 日 15 点:
据国家网络与信息安全信息通报中心紧急通报:
监测发现,在全球范围内爆发的 WannaCry 勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了 Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
因此,采用修改 host 来访问「隐藏后门」的方式已经失效,不能保证免疫作用,请各位参考本文的其知乎有关比特币的文章他方法或及时更新安全补丁。
作者:少数派链接:https://www.zhihu.com/question/59760563/answer/168871936来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。