Dream梦想博客

一个热爱网络的90后的博客

全球爆发勒索病毒

鉴于此次勒索病毒事件,小编在此提醒大家,今后,在电脑操作使用的过程中,要牢记以下几点:
一、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
三、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
四、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
五、不要打开来历不明或可疑的电子邮件和附件。
六、注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。
关于应对勒索蠕虫出现变种的九点提示
一、请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁。对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
三、一旦发现中毒机器,立即断网。
四、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。
五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
六、尽快备份自己电脑中的重要文件资料到存储设备上。
七、及时更新操作系统和应用程序到最新的版本。
八、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。
九、安装正版操作系统、Office软件等。
5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
勒索病毒传播或可暂时中止,但随时可能卷土重来
据MT分析介绍,病毒在感染一台计算机时,会尝试连接该域名。如果解析失败,则继续感染;如果解析成功(该域名被人注册了),则会退出程序、停止感染。这正是控制勒索病毒的开关!
目前,人们并不清楚设置该开关的目的何在。有人认为,开关的设置可能是防止出现无法控制的局面。MT则认为,其最初目的或许是阻止研究人员对勒索病毒进行分析,只是最终适得其反,成为研究者远程终止病毒传播的工具。
值得注意的是,MT的发现只是基本暂停了这一轮勒索病毒的传播,但勒索病毒的威胁依然存在。

网络安全人员发现了一个特定的网址
目前,根据网络消息,一位化名Malware Tech(简称MT)的网络安全人员在分析这类病毒时注意到,病毒在感染每一台新电脑时,都会尝试连接到一个特定的网址。然而,这个由一长串字母组成、仿佛是随手按键盘打出来的网址,竟然没有被注册过。于是,MT花了10美元注册了该域名。这时他就可以查看连接该网址的电脑的所在区域——这也是这次病毒传播所波及的范围。
如若不幸中招,暂时还没有特别有效的解决办法

病毒使用的加密方式目前没有逆向破解的方法,病毒并不在电脑本地保存密匙,在你知道中毒的一瞬间,那个随机生成的密匙已经在你的电脑上销毁了,备份也随即被传到黑客的服务器。因此,暂时还没有特别有效的解决办法。
临时解决方案四:使用 360 的 NSA 武器库免疫工具
如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。
《全球爆发勒索病毒》
临时解决方案三:关闭 445 端口(适用于 Windows XP 等)
对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:
通过 Windows + R 打开「运行」
输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。
新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0
重启电脑
临时解决方式二:使用系统防火墙封禁 445 端口
如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:
打开「控制面板」
在「控制面板」中选择「Windows 防火墙」
点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」
新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。
临时解决方案一:禁用 SMBv1
如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:
对于客户端操作系统:
打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。
在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
对于服务器操作系统:
打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。
在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
目前面对“Wanna Cry”,最简单的方式就是开启 Windows 安全更新
本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。
WNCRY勒索病毒夜间高峰期每小时攻击约4000次
根据360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为
中国国家互联网应急中心表示,目前,安全业界暂未能有效破除该勒索软件的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
“Wana cry”都会影响哪些系统?
目前这个病毒会影响到几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:
客户端操作系统:
Windows 2000、XP
Windows Vista
Windows 7
Windows 8 / 8.1
Windows 10(除Windows 10 Creators Update、build 15063)
服务器操作系统:
Windows Server 2008 / 2008 R2
Windows Server 2012 / 2012 R2
Windows Server 2016
从文件变废纸,病毒传播套路有哪些?
前病毒传播的主要途径包括 陌生的Word文档,下载exe、src等可执行文件,网站挂马等等。
普通家庭用户遭遇勒索病毒的几率比高校、企业要低一些
前对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口。
局域网游戏也是此次事件在中国高校内大肆传播的另一诱因
如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。
高校为何成勒索病毒重灾区?
各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
3天后赎金翻倍,超过7天数据清零
被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。
《全球爆发勒索病毒》
什么是勒索病毒?
勒索病毒的前身是之前泄露的 NSA 黑客武器库中的“永恒之蓝”攻击程序,在被不法分子改造之后变成了一款“勒索软件”。被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的“赎金”才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。
勒索病毒肆虐全球 中招用户直呼“想哭”
全球近百个国家都有电脑系统遭受一个名为WannaCry(意译为“想哭”)的病毒攻击。一名网络安全研究员声称他找到方法能停止这个病毒扩散,但警告这只是暂时性质的。
《全球爆发勒索病毒》

打赏

点赞