美文网首页
简单高效应对勒索病毒WannaCry及其变种

简单高效应对勒索病毒WannaCry及其变种

作者: 一叶知秋Goldeal | 来源:发表于2017-05-16 01:02 被阅读45次
    图源网络

    WannaCry(又名Wanna Decryptor)及其变种病毒(WannaCry2.0)可以说是目前为止最为凶险的计算机病毒。病毒制作者在去年被盗的美国国家安全局(NSA)设计的Windows系统黑客工具Eternal Blue(永恒之蓝)的基础上进行修改开发,制造了一个一旦被感染导致文件被加密,便无法硬解的勒索工具。

    WannaCry会扫描电脑上的TCP445端口(Server Message Block/SMB),一旦发现该端口开放,便以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件。然后显示病毒控制者的勒索要求:以比特币的形式支付赎金,方可解锁文件,否则将销毁全部数据。目前勒索的金额为300至600美元不等,但只能使用比特币支付,所以又称为比特币勒索病毒。

    尽管微软在今年3月份曾发出过紧急修复补丁,但WannaCry及其变种还是在近期在全球范围内疯狂肆虐、迅速蔓延,截止目前已经入侵150多个国家的数十万台电脑,已勒索赎金超过7万美元。中国在数量上成为重灾区,超过60所高校受到危害,部分实验数据、论文等被加密。(5月16日中国教育和科研计算机网发布声明指出,部分安全厂商“出于自己的商业目的,连续发表不实言论和所谓技术报告,或无中生有,捏造事实,或恶意放大该病毒的影响,主要包括“中国此次遭受攻击的主要是教育网用户”,原因是“教育网节点之间对445端口访问控制不够严格,造成病毒在校园网和教育科研网中大量传播,呈现爆发的态势””等言论不实,并公布了受感染的高校情况)。据malwaretech.com发布的实时监测数据,目前被感染的计算机数量超过16万台(实时在线跟踪网址:https://intel.malwaretech.com/botnet/wcrypt)。

    中国之所以在数量上成为重灾区,主要原因有:(1)国人使用Windows系统,尤其是“盗 版”Windows系统用户占比很高,而这些系统往往没有自动升级功能或没有开启该功能;(2)国人的防范意识不高,特别是对重要文件没有高效、合理的备份、保护方案(比如很多人不知道使用网盘);(3)国人过于依赖于一些所谓“安全卫士”等工具,造成了信息安全的慵懒心态,以为只要安装了某大品牌的卫士、或者装多几个卫士,电脑便坚不可摧。

    令人振奋(沮丧)的是,这个病毒刚在国内蔓延,某个最不要脸的安全公司便立即发出了安全警告、不失时机地推出了“免疫工具”,却一如既往地捆绑了其流氓特性万分鲜明的安全卫士。这本来也不算什么,公司推销自己的产品见缝插针也属正常,但是该公司倡导的解决方案和推出的免疫工具却几乎成了XX安全中心、应急指挥中心、信息管理部门、包括电信运营商发布的官方推荐解决方案,这就有些堂而皇之,令人匪夷所思了:难道花1亿元,不但能买下大裤衩的广告位,还能买断这些技术部门的官方支持?

    WannaCry及其变种其实仅仅是利用了Windows系统的一个漏洞(有可能变种出多个)、准确地说是利用了Windows本来不应该开放的一个端口(TCP 445)来传播、攻击的(也就是说,如果你用的是Apple Mac、Linux系统,则完全不用担心这个病毒,事实上,针对Linux和Mac的病毒真的很少),预防的方案非常简单,而且高效、实用

    如果你的电脑已经被感染了(如下图),那么没有别的办法,乖乖交赎金让黑客帮你解锁吧。如果你的文件不值钱,或者没有那么多钱交,或者咽不下这口恶气不愿花钱,那么只能格式化硬盘重新安装系统。(听说今天有人成功向黑客讨价还价还成功了,估计那么走运的人不会多,别抱希望了。)

    图源网络

    如果你的电脑还没有被感染,那么很简单,先把网络断开(拔掉网线或关掉WiFi),并执行以下操作即可。

    (1)在桌面上找到“网络”并在该图标上点击鼠标右键,选择弹出的“属性”。如果你的电脑桌面上没有找到“网络”图标,则在右下角任务栏里找找“连接”然后找到“网络设置”,或者从开始菜单打开“控制面板”找到-->控制面板\网络和 Internet\网络和共享中心。

    步骤1  

    (2)在“网络和共享中心”窗口左侧找到“Windows防火墙”,并打开。

    步骤2

    (3)先确认防火墙是开启状态(如图片中的“启用”)【如果没有开启,通知点击左侧的“启用或关闭Windows防火墙”来开启】,然后点击左侧的“高级设置”。

    步骤3

    (4)在“高级安全Windows防火墙”窗口,点击左侧的“入站规则”,然后在右侧点击“新建规则”,在弹出的对话框里,点击“端口”单选框,并点击“下一步”。

    步骤4

    (5)选择TCP,并在第二选项里选择“特定本地端口”,并在后面的文本框里输入445,然后点击“下一步”。

    步骤5

    (6)选中“阻止连接”单选项,并点击“下一步”。

    步骤6

    (7)保持默认选中的“域”、“专用”和“公用”三个复选框,并点击“下一步”。

    步骤7

    (8)为这个新规则取个名字,例如“445TCP”,描述可以不写,然后点击“完成”。

    步骤8

    (9)为了防止变种利用其它可能使用的端口,重复上面的4-8步骤,把123、137、138、139商品均阻止连接。

    步骤9

    (10)最后,也是最重要的一步,回到“高级Windows防火墙”窗口,左侧点击“入站规则”,在中间部分通过点击“本地端口”,找到端口为445的项目,除了刚才新建那个项,其它的全部选中,然后删除。

    步骤10

    做最后一步,主要是为了把以前可能设置为允许使用445端口连接的规则去掉,保证该端口不被使用。在目前没有更新变种的情况下,使用以上方法就足以应付WannaCry了,完全没有必要下载安装某卫士的免疫工具,更没有必要安装多个卫士,那只能让你的电脑更慢、更乱、更不安全。

    这次攻击,其实是云盘提供商的一个绝佳营销机会:如果我们习惯地把重要文件实时备份到云盘,那么根本就不用担心这个病毒了,云服务的安全性是有足够保障的。过去两年了,国内曾经疯狂一时的云盘、网盘纷纷停止服务或者压缩空间,但免费的云盘还是有的,快快用起来吧,别再拿个U盘插来插去了,真没意思。

    文章同步发布在“微信公众号”,扫码加关注

    微信公众号二维码

    相关文章

      网友评论

          本文标题:简单高效应对勒索病毒WannaCry及其变种

          本文链接:https://www.haomeiwen.com/subject/khmkxxtx.html