5月12日,全球多国爆发电脑勒索病毒,中国多所大学校园网被攻击。这种病毒到底是什么?如何预防?电脑感染以后又应该如何应对?这篇文章将给你答案。
这种勒索病毒名为WannaCry ,图中是安全研究人员在安全的计算机环境中进行演示。
全球爆发网络攻击
周五,一种锁死电脑的恶意软件正在世界各地迅速传播linux关闭端口,据安全软件制造商Avast表示,它已经在99个国家观察到超过57000个感染。据公开报道,受到感染的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等。
报告显示,该恶意软件的传播最早是从英国开始的。美联社报道称,英国各家医院的电脑系统周五开始遭遇大规模网络攻击而瘫痪,导致预约取消、电话断线、患者无法看病。
英国国民保健署(National Health Service, NHS)称,这些医院明显是受到了“勒索软件”的攻击,攻击者用一种名为“Wanna Decryptor”的恶意软件侵入医院电脑系统中,锁定电脑要求用户支付赎金。目前尚无证据表明病人的数据资料遭到泄露。
勒索300美元的比特币作为赎金
据社交媒体上用户贴出的照片显示,该勒索软件在锁定NHS的电脑后,索要价值300美元的比特币,并显示有“哎哟,你的文件被加密了!”(Ooops, your files have been encrypted!)字样等的对话框。
NHS电脑勒索软件遭遇攻击时的显示截图。来源:网络
病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除,对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器,右边则标有付款及检验付款生效的方法。
中国多所大学校园网被攻击
中国高校成为这次攻击的重灾区,这种病毒致使许多高校毕业生的毕业论文(设计)被锁,攻击者称需支付比特币解锁。
目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息。
病毒源头:美国网络武器库泄漏
据了解,这种勒索软件是不法分子利用了美国国家安全局网络武器库中泄漏出的黑客工具。
“勒索”软件利用的是微软操作系统的一个漏洞,而这个漏洞最早是美国国家安全局(NSA)发现的,美国国安局将其命名为“永恒之蓝”(EternalBlue)。
后来,一个名叫“影子经纪人”的黑客组织从美国国安局的黑客武器库那里窃取了密码,然后在网上公开售卖牟利。
这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
wana Decrypt0r 2.0 会影响哪些系统?
wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:
客户端操作系统:服务器操作系统:
目前 wanaDecrypt0r2.0 只会感染 Windows 桌面操作系统,如果你使用的是 Linux 或者 macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击 Linux 或者 macOS。
勒索病毒夜间高峰期每小时攻击约4000次
根据360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击linux关闭端口,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
如何预防 wana Decryptor 2.0?
“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。
为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wanaDecrypt0r2.0 勒索软件。
最简单的方式:开启 Windows 安全更新
微软今年3月已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁!(下载地址:)
另外,你也可以单独下载安全修补程序KB4012212进行更新,并通过MS17-010了解更多相关安全问题。
三月份月度安全更新下载
临时解决方案一:禁用 SMBv1
如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:
对于客户端操作系统:
打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。
在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
对于服务器操作系统:
打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。
在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
重启系统。
临时解决方式二:使用系统防火墙封禁 445 端口
如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:
打开「控制面板」
在「控制面板」中选择「Windows 防火墙」
点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」
新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。
临时解决方案三:关闭 445 端口(适用于 Windows XP 等)
对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:
通过 Windows + R 打开「运行」
输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters。
新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0
重启电脑
临时解决方案四:使用 360 的 NSA 武器库免疫工具
如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。
已经中招了应该如何应对?
如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。另外,根据勒索软件的描述,如果不支付赎金,一周后设备中的数据将会全部丢失。
如果数据并不是非常紧急,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。
想要避免今后被攻击,你还需要做这些:
一、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
三、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
四、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
五、不要打开来历不明或可疑的电子邮件和附件。
六、注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。
七、开启 Windows 防火墙避免类似的端口攻击。
admin