本文內(nèi)容來自「知乎」
觀點(diǎn)歸原作者所有
事件描述
2017 年 5 月 12 日全球多個國家和地區(qū)爆發(fā)的一次黑客利用先前泄露的 NSA 攻擊工具「永恒之藍(lán)」(Eternal Blue)進(jìn)行的大規(guī)模攻擊勒索,該攻擊導(dǎo)致大量用戶文檔和圖片無法打開,并被要求支付贖金。
網(wǎng)友分析
根據(jù)部分公開報(bào)道來看,已經(jīng)有一些公共服務(wù)/民生設(shè)施收到影響,石油,電信,銀行,甚至公安網(wǎng)都有受波及。答主此時的內(nèi)心是絕望的...作為半個軟粉,看到因?yàn)槲④浀南到y(tǒng)捅家用打粉機(jī)器了這么大簍子,心里不太好受
但是仍然有可以樂觀的理由:這些國計(jì)民生的關(guān)鍵服務(wù)的核心系統(tǒng)大多是unix/solaris或者其他“不常見”的系統(tǒng),并不會收到感染;受感染的僅是終端設(shè)備,數(shù)據(jù)應(yīng)該是安全的。因?yàn)椴簧婕皵?shù)據(jù),修復(fù)起來相對比較容易。向所有被叫回去加班的各部門、公司技術(shù)/運(yùn)維人員表示感謝。
1,個人寬帶/家庭用戶方面,運(yùn)營商應(yīng)該已經(jīng)主動屏蔽了445端口;即使未屏蔽,一般家庭都在使用無線路由器,默認(rèn)情況下不對公網(wǎng)開放/轉(zhuǎn)發(fā)任何端口,也可以避免被攻擊。
2,校園網(wǎng)方面,教育網(wǎng)雖然未主動屏蔽445。但很多高校對師生個人計(jì)算機(jī)的IP地址的公網(wǎng)訪問采用白名單方式,也可以避免。
2.1,學(xué)校歷來是病毒的重災(zāi)區(qū),主客觀原因都有;想要解決起來問題也不少而且也不容易解決。
3,Win10用戶被微軟強(qiáng)制開啟自動更新了,應(yīng)該已經(jīng)更新ms17-010補(bǔ)丁了;但是校園網(wǎng)中存在了大量關(guān)閉了自動更新的Win7(或其他低版本W(wǎng)indows)用戶,可能會成為重災(zāi)區(qū)。
4,如果中招了,請做好丟失那些文件的準(zhǔn)備。根據(jù)以往經(jīng)驗(yàn),交錢并不能消災(zāi)。文件應(yīng)該是被aes128加密(后續(xù)版本有沒有用aes256不知道),在當(dāng)前技術(shù)條件下,全球絕大多數(shù)人并沒有足夠的計(jì)算能力來對其進(jìn)行暴力破解。想通過暴力破解來救回文件的可以死心了。
5,現(xiàn)在判斷該病毒僅通過主機(jī)主動掃描發(fā)動的攻擊,對于很多不開放公網(wǎng)權(quán)限的學(xué)校及單位還相對威脅不大。如果進(jìn)一步的變種具備了蠕蟲特性,受感染的主機(jī)進(jìn)一步掃描其局域網(wǎng)內(nèi)設(shè)備并進(jìn)行攻擊,可能受災(zāi)面會進(jìn)一步擴(kuò)大。希望在這一天到來之前,大家都把補(bǔ)丁補(bǔ)齊了。
6,請(希望)所以看到這個回答的人盡快著手備份自己的重要文件,并養(yǎng)成異地多活備份的習(xí)慣。不要等數(shù)據(jù)丟了才意識到備份的重要性。
平時多備份,災(zāi)時少流淚
–––––腦洞分割線–––––
這個漏洞(后門)是先被人曝光出來了,并且微軟已經(jīng)及時發(fā)布了補(bǔ)丁而且在還有Win10強(qiáng)制自動更新這種有益Buff加成情況下,依然造成了嚴(yán)重危害。
如果有類似的后門在戰(zhàn)時被精心策劃使用,其破壞力可能可以相當(dāng)于在敵國首都扔了一顆大伊萬。雖然不一定能造成人員傷亡,但使該國的生活水平倒退到20世紀(jì)90年代不成問題。
————補(bǔ)充————
殺毒方案:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c
360解決方案:https://dl.360safe.com/nsa/nsatool.exe
微軟官方解決方案(不是殺毒):Microsoft 安全公告 MS17-010 - 嚴(yán)重
其他預(yù)防方案:如果自己并不需要使用smb共享文件,可以考慮直接使用windows自帶防火墻主動屏蔽445端口來達(dá)到“臨時解決”的目的
不過其實(shí)對于已經(jīng)中毒的用戶并沒有什么實(shí)質(zhì)性作用,毒可以清除了,數(shù)據(jù)還是回不來
Wcry前世今生:Wcry Ransomware
關(guān)于被加密資料無法被解密的原因:
根據(jù)上文提及的Wcry Ransomeware 中的說法,病毒采用AES-128{什么是AES家用打粉機(jī)器?
密碼算法詳解--AEShttps://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86}
方式加密用戶數(shù)據(jù),主密鑰長度為128bit=16Byte,約為0.016KB;病毒編寫者理智的做法是在每臺電腦上進(jìn)行加密操作時,隨機(jī)生成個128bit的密鑰并對用戶數(shù)據(jù)進(jìn)行加密,同時或等加密完成后,將該密鑰提交回自己的服務(wù)器并刪除受感染用戶計(jì)算機(jī)上的密鑰。一切處理妥當(dāng),彈出勒索界面,用戶終于知道了自己被感染了,然而已經(jīng)晚了。
AES的暴力破解是世界性難題,以AES-128為例,其密鑰總個數(shù)為2的128次方個,約為3.4×10的38次方個,如果生成所有密鑰并存儲在一個文本文檔中,忽略換行等其他開銷,大概需要占用4.95×10的27次方TB。
病毒體本身不保存密鑰,無密鑰情況下暴力破解又是不可能完成的任務(wù),利用Windows的高危漏洞進(jìn)行傳播,可以在用戶不進(jìn)行任何操作的情況下感染,這大概就是這個勒索病毒最令人感到絕望的地方了。
還好,國內(nèi)運(yùn)營商反應(yīng)夠快;還好,無線路由普及了(所以我要吐槽IPv6沒有NAT6了,把所有設(shè)備暴露在公網(wǎng)上,一旦出現(xiàn)類似情況必死無疑);還好,微軟被人罵慘了的強(qiáng)制開啟Win10的自動更新終于還是立大功了
在校園網(wǎng)又不想裝第三方殺毒的人(今后)能做什么:開啟自動更新;開啟Windows自帶的防火墻;聯(lián)系學(xué)校把所有師生的IP地址禁用公網(wǎng)訪問權(quán)限,僅開放白名單內(nèi)的IP(大誤,我會被打死的);如果有可能,在電腦和校園網(wǎng)直接加一個路由器以避免個人電腦被直接暴露在公網(wǎng)上(我打賭,以后不會出現(xiàn)路由器和Windows操作系統(tǒng)同時爆出0day,就算是同時爆0day了,現(xiàn)在路由器廠商/系統(tǒng)這么多,我賭它不會出現(xiàn)所有路由器都被0day)。
ps:經(jīng)評論區(qū)提醒,現(xiàn)在的家用路由也一堆0day沒(法)修復(fù)
涉密不上網(wǎng),上網(wǎng)不涉密,這是保證安全的最好途徑了
如果必須要聯(lián)網(wǎng),安全就只能是相對的安全了。
如果懶得根據(jù)教程手動添加防火墻規(guī)則,或者不放心自己設(shè)置是否正確,可以使用如下方案:
以管理員模式運(yùn)行cmd或powershell,并依次執(zhí)行以下兩條命令(Windows7及以上,vista沒測試,應(yīng)該也行)
netsh advfirewall set allprofile state on netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445
WindowsXP直接在cmd窗口中運(yùn)行(不保證一定有效):
netsh firewall set opmode enable netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445 net stop rdr net stop srv net stop netbt
第一條命令為開啟防火墻(無論防火墻是否開啟都可以執(zhí)行)
第二條命令為添加一條inbound記錄,名字為band445,內(nèi)容為拒絕445端口的tcp連接
雖然病毒危害很大,但我們?nèi)孕枰3只镜睦碇?/p>
1、雖然用路由可以避免遭受攻擊,但是校園網(wǎng)不讓用路由,一人一號一IP這些規(guī)定不應(yīng)該為這件事背鍋。這件事的鍋只能甩到NSA頭上。
答主上學(xué)的學(xué)校采用的白名單制,雖然用著公網(wǎng)ip,但只要不在白名單里,所有入口請求都會被學(xué)校給攔截掉。說實(shí)話即使現(xiàn)在依然羨慕你們這些有手里能拿的IP有公網(wǎng)權(quán)限的學(xué)校/人。
2、我仍然不建議把445甚至是135,137,138,139端口一關(guān)了事,正統(tǒng)的解決方案是打補(bǔ)丁,因噎廢食就不好了。smb服務(wù)提供了很方便的局域網(wǎng)共享服務(wù),可以很簡單的共享文件及打印機(jī)。在建議別人關(guān)掉端口的時候,同時也要告知,一旦端口關(guān)了,通過“網(wǎng)絡(luò)”或者“網(wǎng)上鄰居”共享文件/打印機(jī)就不能用了;所以雖然我在上面給出了如果在防火墻里設(shè)置攔截目標(biāo)端口為445的tcp請求的方法,但這這只是一種臨時措施,用來避免在打補(bǔ)丁的同時被感染。在補(bǔ)丁打完后,如果有共享文件的需要請把deny445的規(guī)則刪除;即使暫時沒有相關(guān)需求,也希望用戶知道自己在防火墻里設(shè)置了什么。
Smb是一個好東西,即使答主現(xiàn)在使用Osx或者Linux,都會安裝/開啟這個服務(wù)(用來替代Nfs來進(jìn)行局域網(wǎng)文件共享)。
3、這次爆發(fā)的Wcry Ransomware目前并沒有看到有殺毒軟件廠商更新病毒庫,不知道其是不是蠕蟲。
如果不是蠕蟲,其攻擊特點(diǎn)是需要有人來操控,受感染的計(jì)算機(jī)不具備互相傳染的能力。但同時,受感染的計(jì)算機(jī)中也不會存在完整的病毒體;用來進(jìn)行加密操作的主體很可能在加密操作完成后就被刪除了,只留下一個能彈窗讓用戶付錢的小程序即可。
如果是蠕蟲,特點(diǎn)是一臺機(jī)器感染,蠕蟲會嘗試傳染到它能訪問到的其他機(jī)器。如果是這種情況,則可以在受感染的計(jì)算機(jī)中找到完整的病毒(雖然找到了也沒啥用)。并可以分析其是否有“將主密鑰回傳的操作”。不過,我個人懷疑不可能有,因?yàn)檫@一操作太脆弱了。無論是向目標(biāo)服務(wù)器的ip還是域名發(fā)請求,在病毒主體被截獲后,這個ip/域名很容易就被屏蔽了,而且這么招搖留個ip在那兒并不會增加攻擊者的“預(yù)期收益”。嗯,這段話的意思是,想著花錢消災(zāi)的人大概可以放棄這個想法了。
根據(jù)cnbeta報(bào)道,若報(bào)道屬實(shí),期待wcry“疫情”能盡快得到控制。
評論列表
還沒有評論,快來說點(diǎn)什么吧~