返回目录:win7问题
图示:大连海事大学网络遭受“勒索病毒”攻击;
总结:关于近期勒索病毒肆虐的原因与防护(513最新更新)计算机病毒就在你周围,警惕。
图示:被攻击的电脑页面;
昨晚夜间,大连海事大学一则微博,引爆了朋友圈;好奇之下,打开网络,手机有关NSA的各种信息,才发现,其实受攻击的不止是海事大学一家那么简单。
图示:网络上最新消息显示;
昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。
最近周围同学出现这个情况有点多,所以自己查阅资料并总结,写个文章分析一下这个情况,希望引起大家的警惕,数据无价,还是小心点好。
据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
图示:网络上盛传的比特币;
安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。
好了,说说影响范围:Windows XP、2003等已经失去微软支持的版本无法修复漏洞,相当于处于“裸奔”状态。此外,由于漏洞影响全系列Windows版本,没有及时安装补丁的Win7、Win8甚至Win10用户也处于危险之中。就勒索软件来看,它的影响文件范围涵盖了我们学习工作中的所有类型,最主要的是受到加密后,目前(20170512)除了支付赎金没有办法。
图示:被攻击的电脑页面;
这么恶心的病毒,就没办法了吗?嗯…是的。解决方法:中毒后是没办法了,如果数据很宝贵,只能支付赎金了。如果不是很重要的数据,就杀毒格盘重装系统吧。
我们可以做一些举措来避免计算机中病毒: 首先,对于win7、8、8.1、10等微软尚在维护的系统,先关闭关闭445 135 137 138 139 端口,
方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
后联网 直接更新系统安全补丁就行,可以直接在电脑检测更新,也可以在这个链接选择自己的系统版本进行更新,也就是在3月的MS17-010的更新里面修复了漏洞。
https://technet.microsoft.com/zh-cn/library/security/MS17-010
。其次,虽然我是个数字全家桶的拒绝者,但是360这次有两个措施还是很给力的,第一个:安全卫士最新版提供反勒索保护,即使被勒索他帮忙提供赎金(但是限制条件相当多,感觉不靠谱)。第二个:针对这几个漏洞,它提供一个漏洞检测与修复工具,可以检测并修复计算机的上述漏洞(其实吧,还是下载安全补丁)不过这个工具也可以关闭xp等低版本的系统的服务,可以避免攻击,一键操作比较方便。
工具链接在这:
http://dl.360safe.com/nsa/nsatool.exe
吐槽一下:不得不说,这波推广打得好。。。。我百度NSA后,最多的链接就是这个工具。
图示:“勒索病毒”经常攻击的主要对象;
另外,几个目前已知的特征与规律:
1,中招的目前都是win7,而win10创意者更新最新版(1703要打补丁)已经封堵了,所以你是win10的话,打个补丁开着defender就ok。这个病毒好杀除,就在于加密你的文件,太恶心了简直。
2,网上有安全报告说这次主要感染用户是教育网的,也就是高校,但外网漏洞也有,还是不要侥幸。
3,漏洞就是那个漏洞,肯定还有各种改造的病毒,目前已经有汉化版的索要赎金了(很人性化有木有!),感染后像word,excel,ppt,txt,mp3,mp4等等各种常见格式都会变成像onion这种奇怪的后缀。
4,中病毒后最好别买比特币,因为你买完可能并不会给你解密…,还有这个加密采用的算法极其难,不要相信某宝上的商家,除了得到密码肯定解不开的。
图示:某高校的提示信息;
5,不要开启无密码的网络共享,不要点击陌生邮件,不要安装打开未知程序。
6,目前大部分的都是在电脑联网情况下而人不在旁边,被远程植入的,所以在不用电脑的时候,拔掉网线是最靠谱的了。
7,管理员密码的问题,也就是你的开机密码,我不太确定,但设置10位以上大小写字符数字应该有用,我们实验室中毒的是没有密码或者密码特别简单的电脑。
8,赶紧备份!