您现在的位置: 天极网 > IT新闻

火绒安全:关于勒索病毒WannaCry的9个真相

Yesky天极新闻 2017-05-15 15:02 我要吐槽

  【天极网IT新闻频道】5月15日,随着国内各大企事业单位周一集中开机办公,专家预测周末爆发的WannaCry勒索病毒可能进一步蔓延。

  对于高校、银行、医院等高危易感用户而言,他们将面临是极大挑战。

  截至5月14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

  针对如何避免被WannaCry勒索病毒感染和如何更快捷地防御此类病毒,国内知名网络安全厂商火绒周一向公众发出了“关于勒索病毒WannaCry的9个真相”,深入向公众剖析了勒索病毒的各方面特征和防御技巧。

 

  原文如下:

  1、 小白用户如何防御这个勒索病毒?

  请广大用户无需过度担心,安装“火绒安全软件”即可防御这个勒索病毒,以及新出现的变种。同时,请给操作系统升级、安装补丁程序(详情见下文)。

  5月13日周六中午,“火绒安全软件”就已经完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。

  火绒团队正在日夜值守,持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。

  内网用户请通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。

  2、 哪些用户容易被感染,为什么政府机关和大学是重灾区?

  我们发现,目前这个病毒通过共享端口传播,除了攻击内网IP以外,也会在公网进行攻击。但是,只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击,但并不排除病毒未来版本会出现更多传播渠道。

  很多校园网或其他网络存在一些直接连接公网的电脑,而内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。

  根据“火绒威胁情报系统”的数据,互联网个人用户被感染的并不多。

  3、 已经被感染用户,能否恢复被加密锁死的文件

  结论:这非常难,几乎不可能,即使支付赎金,也未必能得到解密密钥。

  A、相比以往的勒索病毒,这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金,因此很难给出相应的解密密钥(密钥是对应每一台电脑的,没有通用密钥)。

  请不要轻易支付赎金(比特币),如上所述,即使支付了赎金,病毒作者也无法区分到底谁支付赎金并给出相应密钥。

  B、 网上流传一些“解密方法”,甚至有人说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。

  C、 某些安全公司也发布了解密工具,其实是“文件修复工具”,可以有限恢复一些被删除的文件,但是依然无法解密被锁死的文件。

  4、这个勒索病毒会攻击哪些系统?

  答:这次病毒爆发影响确实非常大,为近年来所罕见。该病毒利用NSA“永恒之蓝”这个严重漏洞传播,几乎所有的Windows系统如果没有打补丁,都会被攻击。

  微软在今年 3 月发布了 MS17-010 安全更新,以下系统如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。

  最安全的是Windows 10 的用户,该系统是是默认开启自动更新且无法关闭的,所以不会受该病毒影响。

  另外:由于此次事件影响巨大,微软破天荒的再次为已经不在维护期的Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。

  5、除了Windows系统的电脑外,手机PadMac等终端是否会被攻击?

  答:不会的,病毒只攻击Windows系统的电脑,手机等终端不会被攻击,包括UnixLinuxAndroid等系统都不会受影响。

  请大家不要惊慌,不要听信谣言。例如下图,明显是假的,是造谣者PS的。

说明: Wana Decrypt0r 2.0 
Ooops,your files have 
been encrypted 
IEåS2 
4 'ghi 
21 abc 
s -•jkl 
8 tuv 
o 
2 
'def 3 
mno 6 
wxyz 9

  6、被这个勒索病毒感染后的症状是什么?

  答:中毒后最明显的症状就是电脑桌面背景被修改,许多文件被加密锁死,病毒弹出提示。  

说明: 计算机生成了可选文字:
回 收 占 
5 № n 釁 
TaskData 
t.wnry 
taskdl.exe 
taskse.exe 
@訓宀 
@WanaDem 
@WanaDem 
Ooops , 
your important 上 主 工 es are 
encrypted . 
na 巴 [ ptar 2 . 0 
Payment will be raised on 
5 / 17 / 2017 23 : 21 : 11 
Time Left 
Your files will be lost on 
5 / 21 / 2017 23 : 21 : 11 
Time Left 
X 
000ps , your files have been encrypted! 一 
我 的 电 脑 出 了 什 么 问 题 ? 
您 的 一 些 重 要 文 件 被 我 加 保 存 了 。 
I a 
照 片 、 图 片 、 文 档 、 压 缩 包 、 音 频 、 视 频 文 件 、 exei#* , 几 乎 所 有 类 型 的 
文 件 都 被 加 了 , 因 此 不 能 正 常 打 开 。 
工 f you see this text 
then your antivirus 
it f 0 皿 your compute 
1607214g 一 
@WanaDem 
工 f you need your fill 
Decrypt0r

  被病毒加密锁死的文件包括以下后缀名:

  .doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

  7、“永恒之蓝”和“勒索病毒”是什么关系?

  答:“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。

  8、听说一个英国小哥的意外之举,阻止了近日席卷全球网络的比特币勒索病毒攻击事件的继续蔓延,拯救了全世界,是不是真的?

  答:勒索病毒WannaCry的病毒体中包含了一段代码,内容是病毒会自动联网检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问,如果可以访问,则不再继续传播。这就是该病毒的“神奇开关”。

  国外安全研究人员(英国小哥)发现这段代码后立刻注册了这个网址,的确是有效地阻止了该病毒的更大范围的传播。但是,这仅仅阻止了病毒的传播,已经被感染的电脑依然被攻击,文件会被加密锁死。

  另外,病毒体中的这段代码没有被加密处理,任何一个新的病毒制造者都可以修改、删除这段代码,因此未来可能出现“神奇开关”被删除了的新变种病毒。

  9、如果使用正版操作系统,并开启了自动更新,那还是否需要使用网上的免疫工具?

  答:Vista以上系统如果开启了自动更新,就不需要使用任何免疫工具,更不需要手工关闭相关端口。Winxp、Win2003和Win83个系统如果打了微软紧急提供的补丁,也无需再用免疫工具,以及手动关闭端口。

扫描二维码关注天极网公众平台,第一时间获取新鲜IT
资讯

作者:阿桶责任编辑:曾宪勇)
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
今日更新
1帆软陈炎:活下来的才是英雄!
帆软用户大会

帆软CEO陈炎认为,坚持做好产品,才是一家优秀公司所更应该关注的事情。

2IT极热:《荒野行动》PC版上线
IT极热1123

每日IT新闻集汇:网易宣布,旗下吃鸡手游《荒野行动》PC版今日正式上线…

3如何看待AI毕业生年薪可达50万
AI年薪50万

AI专业应届毕业生的薪酬已经高达30万元-50万元,工作三五年后,可能…

4谷歌承认正收集用户位置数据
谷歌收集数据

谷歌承认,他们确实在利用安卓用户收集位置数据,即使关闭了定位依旧可以追…

5IT极热:联发科前COO加盟小米
IT极热1121

天极网IT新闻汇:11月21日,雷军宣布联发科技原共同营运长朱尚祖正式…

热门文章
1每日IT极热:三星S9或将亮相MWC
IT极热1118

天极网IT新闻汇:外媒透露三星S9系列将在MWC 2018世界移动通信…

2IT极热:《荒野行动》PC版上线
IT极热1123

每日IT新闻集汇:网易宣布,旗下吃鸡手游《荒野行动》PC版今日正式上线…

3雷军:小米在俄一年升到第三位
雷军小米

雷军在微博上表示,小米进入俄罗斯市场仅仅一年,市场份额已经上升到第三位…

4微博改版惹众怒 大V威胁要卸载
微博改版

这周,微博的改版再次犯了众怒,这次被改得更难用的是消息提示功能。

5爆料:三星S9或将亮相MWC 2018
三星S9

最近消息,媒透露三星Galaxy S9系列将在MWC 2018世界移动…

6IT极热:联发科前COO加盟小米
IT极热1121

天极网IT新闻汇:11月21日,雷军宣布联发科技原共同营运长朱尚祖正式…

7Qlik助力企业洞察数据中的价值
Qlik

2017 11月16日,Qlik 2017可视化数据分析峰会在上海召开…

8虾米音乐'穷X'事件程序员致歉
虾米音乐

昨晚开始,一份虾米音乐代码曝光VIP的截图火了,网友表示:原来我领的是…

9京东11.11复盘:斐讯完"小目标"
斐讯

“耶,我抢到了心仪的产品,给你一个大大的么么哒。”还没等我醒过来,女朋…

10帆软陈炎:活下来的才是英雄!
帆软用户大会

帆软CEO陈炎认为,坚持做好产品,才是一家优秀公司所更应该关注的事情。