Sueri's Blog | 酥耳狸的博客
喜欢和你在一起 和你喜欢的一切在一起

狸博窝深入剖析袭击全网的“ONION勒索病毒”

2017年05月12日起,全国有很多大学生反应计算机电脑被“勒索”了。具体表现为很多文件后戳被改为“.onion”和“.wncry”两种后戳,随后电脑还弹出了提示窗口称需要交纳XXX美元的比特币方能解锁文件。然而,这一病毒并不只在中国流行,勒索病毒其实早已在全球肆虐,波及范围达全球99国。除了中国大批高校外,西班牙电信全体员工电脑瘫痪,英国病人已预约心脏手术被迫取消,这些电脑只有支付赎金才能恢复。而13日,更多资料则显示在我国,除了高校外,公安网、石油、图书馆等系统也已经遭到入侵。

【究竟什么是“勒索病毒”?】

今年4月,NSA(美国国家安全局)的黑客武器库被泄漏公开,其中包括一个专门远程攻击Windows文件共享端口(445端口)的“永恒之蓝”黑客武器。此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。

勒索病毒可以称之为是史上最邪恶的。经历过“熊猫烧香”时代的朋友可能会知道,当年的熊猫烧香会将电脑可执行文件全部感染,并且将图标锁定为一只拿了三根香的熊猫。与熊猫烧香病毒类似,勒索病毒也会导致电脑资料损坏,但其更加具有针对性:勒索病毒会把磁盘里的图片、文档、视频、压缩包等各类资料强行加密,导致文件无法正常打开。一般来说,图片、文档、视频等资料都是重要数据,一旦丢失无法找回,就会导致用户严重损失。

然而,感染还不算完,勒索病毒包括ONION和WNCRY两种,正如其名,勒索病毒还会“挟持”你的电脑“勒索”你。他们分别会把磁盘文件篡改为.onion和.wncry后缀并且加密,然后弹窗告诉你这是病毒敲诈,你需要缴纳高达5万多元的“赎金”后方能恢复文件。

 

【为何个人用户感染少而中国高校却大规模感染?】

中国的网络运营商在宽带路由设置上就禁封了445端口,所以在个人网络上的感染风险是非常小的。而由于教育网没有封禁445端口,一旦电脑通过教育网联网就会成为暴露机器。而中国大学生群体大,这存在大量暴露漏洞的机器,成为勒索病毒重灾区。另外,一些没有及时打微软补丁的机构、企业和交通、能源等行业基础设施内网也遭到感染。

通俗的说,如果系统或网络存在NSA武器攻击的漏洞,只要开机联网,不需要你做任何操作,勒索病毒就能自动感染系统。

 

【“可防不可治” 电脑文件基本“没救了”】

电脑感染了还有没有“救”?那得要看救谁。如果是指数据文件,那么很抱歉,可能没有救了。截至目前国内外的安全软件仅仅只能做到“防御”,而不能“解决”。同时根据目前的加密算法来看,破解勒索病毒的加密可能需要十几年的时间,而就算是支付所谓的“赎金”,也并不一定能够保证黑客会按照约定将你的数据恢复。而最后很有可能鸡飞蛋打。

而如果是救电脑的话就轻松多了,直接重装就好了。反正数据没救了。

 

【事后补救不如事前防范 打入补丁是关键】

面对大规模的感染,其实微软官方早在今年3月份就推送了一款MS17-010补丁来修复问题。可问题是,大多数用户听信某些“专家”谣言称“补丁越打越卡”,使用的安全软件将该补丁列为“系统不支持”并屏蔽(该补丁不支持XP系统),还有一些网友压根就不知道有这一补丁。昨日,360独家拦截该病毒,大量安装了360安全卫士的用户得以幸免被“勒索”;截至今日,腾讯电脑管家、金山毒霸、火绒安全等网络安全厂商也纷纷进行跟进升级了自身软件。目前国内各类安全厂商均可以对该病毒进行拦截。可是,最简单的还是安装微软官方推送的补丁。

好在今日,微软官方宣布对XP等已不再更新维护的系统“特事特办”,将发布新补丁防止病毒蔓延。

 

【安全防护操作不可少 “勒索病毒”不可怕】

面对这一席卷全球的病毒,我们该如何预防才能保证不被盯上?其实很简单,只需要以下几步:

 

第一步:

使用XP和2003版本系统的用户请关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。

1)开启系统防火墙保护。控制面板 —> 安全中心 —> Windows防火墙 —> 启用。

2)关闭系统445端口。
a)WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。

b)如上图假如445端口开启,依次输入以下命令进行关闭: net stop rdr / net stop srv / net stop netbt
成功后的效果如下:

如果是Win7/8系统用户,请根据视频直接进行操作即可。

 

 

第二步:

及时更新升级系统,微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,建议用户尽快升级安装。
此次利用漏洞影响以下版本的操作系统:
Windows XP/Windows 2000/Windows 2003 (微软已经不再提供安全补丁升级服务,建议关闭445端口)
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
补丁下载地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010(建议根据系统版本下载安装对应的补丁升级包)

 

第三步:

安装适合自己电脑的安全软件,如360安全卫士、腾讯电脑管家、火绒安全软件等,如有可能,请优先选择360安全卫士,因为360安全是此次勒索病毒最早发现和防御厂商。

列表如下:360安全卫士 | 360NSA勒索病毒漏洞防御软件 | 360文档卫士 | 腾讯电脑管家 | 金山毒霸

 

第四步:

养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。

 

狸博窝 / 澄光自媒体 / 文

360官网 / 金山毒霸官网 / 新浪微博 / 资料来源

码字很辛苦·转载请注明:狸博窝 » 狸博窝深入剖析袭击全网的“ONION勒索病毒”

分享到:更多 ()