科普貼：關(guān)于勒索病毒，這9個(gè)問(wèn)題你應(yīng)該知道

這次多年未遇的全球性惡性病毒事件，暴露了我們的IT安全防護(hù)非常之脆弱，而安全行業(yè)更是只知道借勢(shì)營(yíng)銷，而不檢討自己的失責(zé)和無(wú)能。在一些最基本的事實(shí)上，他們夸大危險(xiǎn)制造恐慌，有些連可靠的解決方案都不能提供的安全廠商，也把輿論宣傳搞得熱熱鬧鬧。

我通過(guò)火絨提供的資料，看到了許多重要信息。譬如，一旦被該病毒感染，即使交了贖金也難以獲得解密密鑰，因?yàn)檫@個(gè)病毒有一個(gè)天生的大BUG——作者沒(méi)法區(qū)分哪臺(tái)電腦交了贖金，自然也沒(méi)法提供一對(duì)一的密鑰。

另外，除了政府機(jī)關(guān)和大學(xué)這些重災(zāi)區(qū)外，使用路由撥號(hào)上網(wǎng)的個(gè)人用戶，以及通過(guò)總路由出口的企業(yè)用戶，都不會(huì)被病毒感染。因此大家無(wú)需驚慌，該打補(bǔ)丁打補(bǔ)丁，該裝殺軟裝殺軟，不用拔網(wǎng)線，更不要擔(dān)心什么2.0新變種再次狂掃世界。

以下是關(guān)于勒索病毒，你應(yīng)該知道的這9個(gè)問(wèn)題：

▏1、這個(gè)勒索病毒會(huì)攻擊哪些系統(tǒng)？

答：這次病毒爆發(fā)影響確實(shí)非常大，為近年來(lái)所罕見(jiàn)。該病毒利用NSA“永恒之藍(lán)”這個(gè)嚴(yán)重漏洞傳播，幾乎所有的Windows系統(tǒng)如果沒(méi)有打補(bǔ)丁，都會(huì)被攻擊。

微軟在今年 3 月發(fā)布了 MS17-010 安全更新，以下系統(tǒng)如果開(kāi)啟了自動(dòng)更新或安裝了對(duì)應(yīng)的更新補(bǔ)丁，可以抵御該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016。

最安全的是Windows 10 的用戶，該系統(tǒng)是是默認(rèn)開(kāi)啟自動(dòng)更新且無(wú)法關(guān)閉的，所以不會(huì)受該病毒影響。

另外：由于此次事件影響巨大，微軟破天荒的再次為已經(jīng)不在維護(hù)期的Windows XP、Windows 8和 Windows Server 2003 提供了緊急安全補(bǔ)丁更新。

▏2、除了Windows系統(tǒng)的電腦外，手機(jī)、Pad、Mac等終端是否會(huì)被攻擊？

答：不會(huì)的，病毒只攻擊Windows系統(tǒng)的電腦，手機(jī)等終端不會(huì)被攻擊，包括Unix、Linux、Android等系統(tǒng)都不會(huì)受影響。

請(qǐng)大家不要驚慌，不要聽(tīng)信謠言。例如下圖，明顯是假的，是造謠者PS的。

▏3、被這個(gè)勒索病毒感染后的癥狀是什么？

答：中毒后最明顯的癥狀就是電腦桌面背景被修改，許多文件被加密鎖死，病毒彈出提示。

被病毒加密鎖死的文件包括以下后綴名：

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

▏4、小白用戶如何防御這個(gè)勒索病毒？

廣大用戶無(wú)需過(guò)度擔(dān)心，安裝“火絨安全軟件”即可防御這個(gè)勒索病毒，以及新出現(xiàn)的變種。同時(shí)，請(qǐng)給操作系統(tǒng)升級(jí)、安裝補(bǔ)丁程序。

▏5、哪些用戶容易被感染，為什么政府機(jī)關(guān)和大學(xué)是重災(zāi)區(qū)？

目前這個(gè)病毒通過(guò)共享端口傳播，除了攻擊內(nèi)網(wǎng)IP以外，也會(huì)在公網(wǎng)進(jìn)行攻擊。但是，只有直接暴露在公網(wǎng)且沒(méi)有安裝相應(yīng)操作系統(tǒng)補(bǔ)丁的計(jì)算機(jī)才會(huì)受到影響，因此那些通過(guò)路由撥號(hào)的個(gè)人用戶，并不會(huì)直接通過(guò)公網(wǎng)被攻擊。如果企業(yè)網(wǎng)絡(luò)也是通過(guò)總路由出口訪問(wèn)公網(wǎng)的，那么企業(yè)網(wǎng)絡(luò)中的電腦也不會(huì)受到來(lái)自公網(wǎng)的直接攻擊，但并不排除病毒未來(lái)版本會(huì)出現(xiàn)更多傳播渠道。

很多校園網(wǎng)或其他網(wǎng)絡(luò)存在一些直接連接公網(wǎng)的電腦，而內(nèi)部網(wǎng)絡(luò)又類似一個(gè)大局域網(wǎng)，因此一旦暴露在公網(wǎng)上的電腦被攻破，就會(huì)導(dǎo)致整個(gè)局域網(wǎng)存在被感染的風(fēng)險(xiǎn)。

根據(jù)“火絨威脅情報(bào)系統(tǒng)”的數(shù)據(jù)，互聯(lián)網(wǎng)個(gè)人用戶被感染的并不多。

▏6、已經(jīng)被感染用戶，能否恢復(fù)被加密鎖死的文件？

結(jié)論：這非常難，幾乎不可能，即使支付贖金，也未必能得到解密密鑰。

相比以往的勒索病毒，這次的WannaCry病毒存在一個(gè)致命缺陷——病毒作者無(wú)法明確認(rèn)定哪些受害者支付了贖金，因此很難給出相應(yīng)的解密密鑰（密鑰是對(duì)應(yīng)每一臺(tái)電腦的，沒(méi)有通用密鑰）。

請(qǐng)不要輕易支付贖金（比特幣），如上所述，即使支付了贖金，病毒作者也無(wú)法區(qū)分到底誰(shuí)支付贖金并給出相應(yīng)密鑰。

網(wǎng)上流傳一些“解密方法”，甚至有人說(shuō)病毒作者良心發(fā)現(xiàn)，已經(jīng)公布了解密密鑰，這些都是謠言。這個(gè)勒索病毒和以往的絕大多數(shù)勒索病毒一樣，是無(wú)法解密的，請(qǐng)不要相信任何可以解密的謊言，防止上當(dāng)受騙。

某些安全公司也發(fā)布了解密工具，其實(shí)是“文件修復(fù)工具”，可以有限恢復(fù)一些被刪除的文件，但是依然無(wú)法解密被鎖死的文件。

▏7、“永恒之藍(lán)”和“勒索病毒”是什么關(guān)系？

答：“永恒之藍(lán)”是指NSA泄露的危險(xiǎn)漏洞“EternalBlue”，此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過(guò)“永恒之藍(lán)”這個(gè)漏洞傳播，因此給系統(tǒng)打補(bǔ)丁是必須的。

▏8、聽(tīng)說(shuō)一個(gè)英國(guó)小哥的意外之舉，阻止了近日席卷全球網(wǎng)絡(luò)的比特幣勒索病毒攻擊事件的繼續(xù)蔓延，拯救了全世界，是不是真的？

答：勒索病毒W(wǎng)annaCry的病毒體中包含了一段代碼，內(nèi)容是病毒會(huì)自動(dòng)聯(lián)網(wǎng)檢測(cè)“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”這個(gè)網(wǎng)址是否可以訪問(wèn)，如果可以訪問(wèn)，則不再繼續(xù)傳播。這就是該病毒的“神奇開(kāi)關(guān)”。

國(guó)外安全研究人員（英國(guó)小哥）發(fā)現(xiàn)這段代碼后立刻注冊(cè)了這個(gè)網(wǎng)址，的確是有效地阻止了該病毒的更大范圍的傳播。但是，這僅僅阻止了病毒的傳播，已經(jīng)被感染的電腦依然被攻擊，文件會(huì)被加密鎖死。

另外，病毒體中的這段代碼沒(méi)有被加密處理，任何一個(gè)新的病毒制造者都可以修改、刪除這段代碼，因此未來(lái)可能出現(xiàn)“神奇開(kāi)關(guān)”被刪除了的新變種病毒。

▏9、如果使用正版操作系統(tǒng)，并開(kāi)啟了自動(dòng)更新，那還是否需要使用網(wǎng)上的免疫工具？

答：Vista以上系統(tǒng)如果開(kāi)啟了自動(dòng)更新，就不需要使用任何免疫工具，更不需要手工關(guān)閉相關(guān)端口。Winxp、Win2003和Win8這3個(gè)系統(tǒng)如果打了微軟緊急提供的補(bǔ)丁，也無(wú)需再用免疫工具，以及手動(dòng)關(guān)閉端口。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。