面对这场波及全球的网络病毒攻击,我该怎么做?
───
发布时间:2017-05-19 17:57     作者:冯丹丹     浏览次数:
 

一、事件概况


2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击。我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。众多师生的电脑文件被病毒加密,只有支付赎金才能恢复,由于正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。


二、WannaCry勒索软件


此次勒索软件的主角“WannaCry”(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”),它会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。


软件利用美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。一旦电脑感染了Wannacry病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。


勒索软件将受感染电脑里的文件使用AES-128算法加密,感染后的文件扩展名会变为.UIWIX,.WNCRY扩展名,需要解密秘钥才可以还原文件。在文件被加密的同时,会弹出一个名为Wanna Decryptor 2.0的弹出窗口。说明了你已经遭到攻击以及如何恢复文件。


 

建议中招的小伙伴们也不要急着支付赎金,思考下是否有备用数据/快照。即便支付赎金也不一定能解锁,因为攻击者也不一定知道是哪台电脑支付了赎金。


 

在你遭到勒索软件时,此流程图帮助你最终决定是否会支付赎金


三、应急处置方法:


1、防火墙屏蔽445端口


2、利用 Windows Update 进行系统更新


3、关闭 SMBv1 服务


3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户


对于客户端操作系统:


打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。


对于服务器操作系统:


打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。


3.2 适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表


注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters


新建项︰ SMB1,值0(DWORD)


重新启动计算机


最后提醒大家,重要的数据备份,备份,再备份。重要的事情说三遍!

 


具体的情况大家都分析得很多了,也很专业,我从非技术角度说几句:


一、近些年安全漏洞的利用已经从原先以兴趣研究和国家利用为主,越来越多地转向大规模的黑色产业链,因此对企业用户和普通民众来说,会从热闹的新闻变成真正的切肤之痛,而且这种趋势也会越来越大,原因很简单:信息资产越来越有价值,从以前只是拿来上上网、看看剧,到现在电脑和手机已经承载了越来越多对每个人都很重要的资产,这就是黑产会盯上的根本原因;


二、这次的事情可能始作俑者也没想到闹这么大,按照我们目前了解的情况,受害者不仅有普通人、学校、企业、医院,甚至一些政府的重要部门也被波及,所以可以想见的是,反弹也会很激烈,跨国、跨公司的合作都在进行中,最后结果会如何还不清楚,但勒索者现在的压力肯定也很大,甚至这件事情会不会对比特币这种匿名的电子货币造成不可逆转的影响,现在都不好说;


三、因此如果中招了,也暂时不要绝望,前面说了,这次事件引起的业内关注也是空前的,不仅微软破例为已经停止服务的XP和2003发布了补丁(刚才跟微软的同学讨论,这个成本可能还是不低的),而且国家、政府、各个信息安全公司和从业人员也都盯着这件事,这种情况下,受害者不一定是绝望的,历史上出现过几次最终勒索者服务器被攻破,部分用户的加密数据最终被解密的先例,那么这次也有这个可能(或者说我们可以这么希望);


四、所以除了之前很多专家说的方案之外,在清空硬盘重装系统之前,把被加密勒索的数据备份下来,等待进一步的结果也是一个必要的措施,这样一旦勒索者被抓捕或者相关服务器/加密算法被破解,就有可能恢复数据;


五、大家都在考虑怎么防御这种勒索,升级、打补丁、安装防护软件等等,但是在我看来,做好备份才是最核心的,毕竟没有千日防贼的道理,而且今天是勒索,也许明天是硬件损坏或者丢失,只有良好的备份习惯才是真正解决这种问题的办法;


六、长期来看,没有谁是安全的,无论是Windows10还是Mac OS、甚至iOS和Android,在威胁面前只有先后之分,没有绝对的安全和不安全,再强调一遍,做好备份。


打印〗〖关闭
主办单位:内蒙古汇联科技有限公司
地址:呼和浩特市赛罕区东二环和学宛东街十字路口东南角 绿地领海C座1211
(百度地图搜索‘内蒙古汇联科技有限公司’) 
电话:0471-3284826 0471-3284827 邮编:010010
备案号:蒙ICP备17003883号