电脑勒索病毒全球爆发,我们能做什么?

-回复 -浏览
楼主 2018-12-05 17:56:10
举报 只看此人 收藏本贴 楼主

如果确实是由于 NSA 的 eternalblue(永恒之蓝) 引起的,情况不会扩散太严重。但已感染的用户会很闹心。


1,个人宽带 / 家庭用户方面,运营商应该已经主动屏蔽了 445 端口;即使未屏蔽,一般家庭都在使用无线路由器,默认情况下不对公网开放 / 转发任何端口,也可以避免被攻击。


2,校园网方面,教育网虽然未主动屏蔽 445。但很多高校对师生个人计算机的 ip 地址的公网访问采用白名单方式,也可以避免。 2.1,学校历来是病毒的重灾区,主客观原因都有;想要解决起来问题也不少而且也不容易解决。

3,win10 用户被微软强制开启自动更新了,应该已经更新 ms17-010 补丁了;但是校园网中存在了大量关闭了自动更新的 win7(或其他低版本 windows)用户,可能会成为重灾区。


4,如果中招了,请做好丢失那些文件的准备。根据以往经验,交钱并不能消灾。文件应该是被 aes128 加密(后续版本有没有用 aes256 不知道),在当前技术条件下,全球绝大多数人并没有足够的计算能力来对其进行暴力破解。想通过暴力破解来救回文件的可以死心了。


5,现在判断该病毒仅通过主机主动扫描发动的攻击,对于很多不开放公网权限的学校及单位还相对威胁不大。如果进一步的变种具备了蠕虫特性,受感染的主机进一步扫描其局域网内设备并进行攻击,可能受灾面会进一步扩大。希望在这一天到来之前,大家都把补丁补齐了。


6,请(希望)所以看到这个回答的人尽快着手备份自己的重要文件,并养成异地多活备份的习惯。不要等数据丢了才意识到备份的重要性。


平时多备份,灾时少流泪

这个漏洞(后门)是先被人曝光出来了,并且微软已经及时发布了补丁而且在还有 win10 强制自动更新这种有益 buff 加成情况下,依然造成了严重危害。

如果有类似的后门在战时被精心策划使用,其破坏力可能可以相当于在敌国首都扔了一颗大伊万。虽然不一定能造成人员伤亡,但使该国的生活水平倒退到 20 世纪 90 年代不成问题。


Wcry 前世今生:Wcry Ransomware


关于被加密资料无法被解密的原因:

根据上文提及的Wcry Ransomeware 中的说法,病毒采用 AES-128{什么是 AES? 密码算法详解 --AEShttps://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86}

方式加密用户数据,主密钥长度为 128bit=16Byte,约为 0.016KB;病毒编写者理智的做法是在每台电脑上进行加密操作时,随机生成个 128bit 的密钥并对用户数据进行加密,同时或等加密完成后,将该密钥提交回自己的服务器并删除受感染用户计算机上的密钥。一切处理妥当,弹出勒索界面,用户终于知道了自己被感染了,然而已经晚了。


AES 的暴力破解是世界性难题,以 AES-128 为例,其密钥总个数为 2 的 128 次方个,约为 3.4×10 的 38 次方个,如果生成所有密钥并存储在一个文本文档中,忽略换行等其他开销,大概需要占用 4.95×10 的 27 次方 TB。


病毒体本身不保存密钥,无密钥情况下暴力破解又是不可能完成的任务,利用 windows 的高危漏洞进行传播,可以在用户不进行任何操作的情况下感染,这大概就是这个勒索病毒最令人感到绝望的地方了。


还好,国内运营商反应够快;还好,无线路由普及了(所以我要吐槽 IPv6 没有 NAT6 了,把所有设备暴露在公网上,一旦出现类似情况必死无疑);还好,微软被人骂惨了的强制开启 win10 的自动更新终于还是立大功了


在校园网又不想装第三方杀毒的人(今后)能做什么:开启自动更新;开启 Windows 自带的防火墙;联系学校把所有师生的 IP 地址禁用公网访问权限,仅开放白名单内的 IP(大误,我会被打死的);如果有可能,在电脑和校园网直接加一个路由器以避免个人电脑被直接暴露在公网上(我打赌,以后不会出现路由器和 Windows 操作系统同时爆出 0day,就算是同时爆 0day 了,现在路由器厂商 / 系统这么多,我赌它不会出现所有路由器都被 0day)。


涉密不上网,上网不涉密,这是保证安全的最好途径了

如果必须要联网,安全就只能是相对的安全了。


昨天的 WannaCry 勒索蠕虫席卷了全球,即使像我们这样游走在边界的人,也还是吓了一跳。

无数没打 MS-17010 补丁的 Win 电脑或服务器中招,尤其是不少学校、相关单位有各种大内网的,这一波就可能直接导致这些机构工作瘫痪...

全世界铺天盖地的,充斥着下面这个勒索病毒界面:

不用赘述这个过程,说一些这大半年来的一些观点吧:

  1. 黑客技能的分支领域确实很多很多

  2. 黑客攻击无时无刻不在发生,比你想象的可能还要激烈

  3. 除了大规模撒网攻击,你几乎没被黑的价值

  4. 安全的本质是信任,“紧内聚松耦合”是伟大的思想

  5. 黑客攻击里存在上帝视角,防御也一样

  6. 任何黑客攻击都不会让互联网毁灭

  7. 黑客可以只是一种身份,除此之外,黑客和正常人没什么区别

  8. 成本是任何人都需要考虑的重要因素,包括黑客

  9. ...

这次已经载入史册的 WannaCry 勒索蠕虫事件,应该更能引起大众的安全意识吧?虽然我相信,很快会淡忘。无论怎样,下面这几点观点或建议,来自我们这些长期游走在边界的安全人员,希望能触动到你。

1. 匿名之恶

匿名货币如比特币,几乎所有的勒索病毒,都只接收比特币,原因很简单,比特币可以做到匿名,这正是这些犯罪分子最好的挡箭牌。


虽然这并不能否定匿名货币的价值,但这残酷的“恶”事实,你我有目共睹。不说匿名货币,只要是匿名的,总会有一个角度淋漓尽致地暴露人性的丑恶。

我曾经开玩笑说:比特币这么凶猛,真应该感谢这些勒索病毒。


2. 勒索尾随大漏洞

一般一个大漏洞爆发后,由于匿名之恶及巨大的产业利益,随之而来的就是勒索病毒了。这个间隔时间目前来看,一周到一个月几个月的都有可能,而现在应该会越来越快。


从去年进入我们视野的 Redis、MongoDB、ElasticSearch 勒索病毒,到后来只要是个大漏洞(如上个月 Struts2 的 S2-045 漏洞)都来个勒索,这次方程式被泄露的 Eternalblue 漏洞,不到一个月就被尾随来了个震惊全球的 WannaCry...

这个现象应该给我们一个很透彻的教训,一旦一个漏洞爆发,为了不被黑,我们的应急黄金周期需要在 24 小时之内,甚至应该更短。无论业务大还是业务小,都应该不断优化自家的应急黄金周期及应急策略。而如果真的由于各种原因应急滞后一周,那就不得不面对至少可能被勒索蠕虫感染到的风险。


对于我们这些在甲方做安全防御的人来说,这真是内忧外患。外患是要么可能被黑偷走数据要么可能被勒索;内忧嘛,各家有各家的难处,有时候应急快慢得是一场有组织的战役,没有顺畅的内部沟通环境,难。


3. 蠕虫传播可以打破隔离“神话”

当下,国内还是无数单位靠着内网隔离来对抗攻击者,这种方式早被证明非常之脆弱。就比如这次的勒索蠕虫传播,怎么进入大内网的?可以这样:

1) 感染掉一台边界上的 Win 服务器,这台服务器可通内网,于是内网遭殃;
2) 在某个场景下感染了某个人的 Win 电脑,这人跑到其他大内网去上网,于是内网遭殃;

蠕虫嘛,就是这样肆无忌惮地传播,如果再来个感染 U 盘方式,那么传播途径就又多了一条。当年我在大学期间,身处校网络管理团队,并靠着写各种病毒专杀而入这行,后来自己也写了不少各类型的“良性”蠕虫,对蠕虫算是真的情有独钟。现在回头来看看,这么多年过去了,大学网络的脆弱性改善得太慢。


4. 成本考虑

其实这次 WannaCry 勒索蠕虫,截至发文,才收到不到 17 枚比特币,差不多人民币 17 万。这 17 万,对于这起“震惊全球”来看,确实太少,反而因为这样,导致这个勒索团队不得不优先考虑“跑路”问题,事情搞大了,绝对首当其冲被盯上,17 万够跑一次路。


对于我们来说,我给出一条最中肯的建议:无论电脑手机服务器还是其他任何机器中招了,尽量不要支付任何勒索需要的费用。让一个产业沉寂最好的方式使其亏损


5. 一些好习惯

除了上面提到的“应急黄金周期”,针对这个事件,还有个好习惯必须养成,那就是:勤备份。个人应该养成重要程度不同的文件的不同周期备份习惯,比如一天、一周的备份策略。


然后,警惕心一定要有。有个有趣现象,前年 iPhone 上的 XcodeGhost 事件,很多用户就喊了“还好我不用 iPhone”,现在这次 WannaCry 事件,又很多用户喊着“还好我不用 Win”。不要侥幸,无论你用什么不用什么,被黑与没被黑不完全由你意识决定,对绝大多数人来说,其实根本轮不到由个人意识来决定是否被黑。


要真黑你,你能躲哪去?:)

对于侥幸还没被黑,且没打补丁的 Win 用户,请参考微软的官方解决方案:

blogs.technet.microsoft.com


这个解决方案,微软破天荒地居然支持了古董 XP,可想而知这次蠕虫事件影响有多么的大。


如果 445 等端口对你来说没特别意义,建议关闭,Win 上自带的防火墙可以设置,自己查查怎么做吧,不再赘述。


在勒索病毒当道的时代,我们要么成为有能力与之对抗的安全人员,要么养成如上所述的好习惯。




“海鸥旅行队” 是什么?


“海鸥旅行队”是一个短途游俱乐部

是组建于2016年

我们的据点在天津·泰达MSD

我们的行游范围在几百公里大圈内

我们探寻美丽的山川河流

并和所有的你们分享



最重要的是

我们的每次旅行

都是一场你我他的相见恨晚

即使独自前来

也一定不会孤单

海鸥旅行队的队员

由素不相识到相识相知

由陌生人到互相帮助的伙伴

这样的旅伴之情

来的最自然,却念念不忘



行走在山涧,日光熹微,泉水淙淙

踏青在幽谷,与友偕行,欢声笑语


人生是一场场旅途,

我们不可避免会有许多独行。

可是至少,在这数天的旅途里,

海鸥旅行队,我们一起走过。



海鸥旅行队

与你共同发现更大的世界

微信公众号ID : helloskyedu



我要推荐
转发到

友情链接