LITTLEFOX

一个科研搬砖狗的WordPress尝试

关于WannaCry比特币病毒的信息汇总

汇总一下近期关于WannaCry比特币病毒的信息,供小伙伴参考:

  • 什么是WannaCry
  • 只要目标符合条件(连接网络,暴露445端口,未打补丁)都会感染,什么都不做也会感染,感染后断网也没有用
  • 存在漏洞的系统从Win2000到Win10 1607,Win Server 2003到2016,也就是说只要你用Windows且没有更新到Creator Update(1703),都有可能是危险的
  • 5.27 update:Linux系统上的Eternal Blue漏洞(WannaCry利用的漏洞)已经被报告(不用惊讶,漏洞存在于Samba,一个用来沟通Windows和Linux的协议,所以自然会存在于Linux中,只是暂时还没有对应版本的病毒开发出来而已,但是传说开发难度很低),可能威胁Linux服务器、NAS网络存储产品、路由器以及各种物联网设备,如果有条件请升级Samba或升级设备固件
  • 因为445端口前科比较多,国内主要宽带运营商已经在主干网络屏蔽445端口,所以基本安全,单位、企业内网和校园网是重灾区,但是网络环境复杂,不是你以为安全就安全的
  • 屏蔽端口可以,360也可以,但都治标不治本,可以打补丁的,不要考虑其他方法,如果临时采用其他方法,在有条件时也要打补丁,并且保持自动更新常开
  • 目测有一些安全软件(如国产某数字,只是听说,未实测)为了接管系统更新渠道(准确说是为了推送广告和全家桶),会建议或强制关闭Windows系统自动更新,强烈建议禁止该类软件的接管行为,最好是完全卸载
  • 非Win10 1703版本的,请先检查是否已经通过自动更新安装了补丁,位置在控制面板-程序-程序和功能-已安装更新(Win10 1703,其他版本可能有差别),只要自动更新正常运行应该是已经安装的,各个版本补丁的编号见这里,系统版本下面的括号里即是补丁编号,点击系统版本名称可以下载补丁(msu格式)
  • 可以自动更新的,不要手动打补丁,自动更新有问题的,优先解决自动更新问题
  • 所在的学校或单位网络已经感染的,请不要开机或不要联网,寻找一个安全的网络环境安装更新
  • 没有条件的,请先断网开机,采取措施,如屏蔽端口,然后再连接网络安装更新,目前病毒的唯一传播途径是网络,所以可以使用U盘等介质拷贝工具,但以后不排除出现其他途径传播的版本。提醒一句,部分版本的Windows并不支持组策略(例如Win7 Home Basic),一次不成就不用试了,可以考虑用防火墙
  • WannaCry昨天(5.14)下午被一个英国哥们非常意外地干掉了,但仅仅是停止传播,已经感染的电脑仍然无法恢复,且在不能连接外网的电脑上,病毒依然会传播
  • 即使你身在被感染的网络中却没有被感染,也不要掉以轻心,因为你同伴感染的可能是已经失效的版本,而WannaCry的变种很快就上线了,可能还不止一个版本
  • 5.22 update:病毒的自杀开关是一个域名,而这个域名正在遭受DDoS攻击,如果它被D挂了,那么老版本的病毒也会继续传播
  • 重要的事情说三遍:打补丁,打补丁,打补丁
  • 真正被感染了,解决路子只有两个:①交钱;②全盘格式化,重装系统;③尝试下面的方法
  • 不管怎么说,定期备份重要文件是好习惯
  • 免费的解密工具存在,但仅仅是“有可能恢复一定比例文件”(360),并且考虑到AES加密的可靠性,我个人倾向于认为是炒作,至于宣称完全解密所有文件的,不是炒作就是钓鱼
  • 5.20 update:已经有解密工具开发出来,但并非100%有效,原理是从内存中提取加密所用的key。使用该工具,应至少保证以下几个条件:①感染后未重启;②文件未永久加密(感染7天内);③内存未被覆写(这个要看运气,但是越早希望越大);④系统:Windows XP/2003/7 32位(作者说Vista和2008也支持,其他系统未测试)
  • 5.22 update:插播一条八卦,虽然病毒波及了全世界几十万台电脑,但是一个多星期以来作者不过收到了300多笔赎金,加起来几万刀,作者眼下要考虑的问题可能是这些钱够不够跑路……
  • 5.27 update:再一条八卦,有一些证据显示WannayCry的作者跟朝鲜有着千丝万缕的联系,不禁想起之前看到的感染地图上朝鲜境内一篇空白……不过,朝鲜搞这个是为了什么呢,一个国家资助的黑客团队,缺钱了?
点赞

发表评论(评论内容可能需要审核,无需重复发表)