比特幣勒索軟件全球爆發,簡單技巧幫你避免中招!

2017/05/14
985 Views
2 Comments

一夜之間,全球近 100 個國家的電腦同時遭到了來自一款名為 wana Decrypt0r 2.0 的勒索軟件的攻擊。幾乎同時,國內各大高校中教育網中計算機也遭到了攻擊,有不少學生朋友已經中招。 wana Decrypt0r 是什麼?如何預防它?電腦感染以後又應該如何應對?這篇文章將給你答案。

什麼是 wana Decrypt0r 2.0?
wana Decrypt0r 2.0 的前身是之前洩露的 NSA 黑客武器庫中的「永恆之藍」攻擊程序,在被不法分子改造之後變成了一款「勒索軟件」。被攻擊目標在感染它之後,系統中的圖片、文檔、視頻、壓縮包文件等會被加密,並只有向勒索者支付 5 比特幣或 300 美元的「贖金」才能將文件解鎖。由於它採用了安全性極強的 AES 加密算法,因此很難被破解或者繞過。

wana Decrypt0r 2.0 目前會影響幾乎所有的基於 Windows NT 內核的客戶端/服務器操作系統,包括:

客戶端操作系統:

Windows 2000、XP
Windows Vista
Windows 7
Windows 8 / 8.1
Windows 10(除Windows 10 Creators Update、build 15063)
服務器操作系統:

Windows Server 2008 / 2008 R2
Windows Server 2012 / 2012 R2
Windows Server 2016

目前wana Decrypt0r 2.0 只會感染Windows 桌面操作系統,如果你使用的是Linux 或者macOS 則暫時不會感染,但依然推薦你及時進行安全更新,因為並不知道勒索軟件是否會更新從而支持攻擊Linux 或者macOS 。

wana Decrypt0r 2.0 如何傳播?
由於 wana Decrypt0r 2.0 基於之前的 NSA 黑客武器「永恆之藍」攻擊程序,因此其攻擊方式均為通過向 Windows SMBv1 服務器發送特殊設計的消息,從而允許執行遠程的攻擊代碼。黑客會在公網掃描開放 445 端口的 Windows 設備並植入勒索軟件,而這一過程無需用戶的任何操作,這也是其可以快速在全球傳播的原因。

對於國內的普通家庭用戶而言,由於此前國內曾被利用類似技術的蠕蟲病毒攻擊過,因此國內運營商在主幹網上封掉了445 端口,但是國內高校的「教育網」並未封掉445 端口,所以本次國內高校計算機成為​​了受感染的重災區。

此外,國內許多企業內部局域網也沒有封掉 445 端口,因此企業內網中的 Windows 桌面設備感染 wana Decrypt0r 2.0 可能性也相當高。

如何預防 wana Decryptor 2.0?
為了防止中招帶來的數據損失以及財產損失,以下的方式可以幫助你預防 wana Decrypt0r 2.0 勒索軟件。

最簡單的方式:開啟 Windows 安全更新

本次遭到攻擊的設備絕大部分都是教育網以及企業內網中的 Windows 設備,很大一部分的原因是這些設備並未及時安裝系統更新。

早在今年三月份,微軟就已經針對 Windows 設備推出了月度安全更新,其中就已經包括了本次勒索軟件 wana Decrypt0r 2.0 所利用漏洞的安全修補程序。因此,如果你還沒有下載這個更新,你可以在 Windwos 中檢查並下載安裝,防範勒索軟件。

另外,你也可以單獨下載安全修補程序 KB4012212 進行更新,並通過 MS17-010 了解更多相關安全問題。

臨時解決方案一:禁用 SMBv1

如果你的設備處於特殊環境,暫時無法通過 Windows 安全更新進行預防,那麼你也可以通過禁用 SMBv1 來預防,具體操作如下:

對於客戶端操作系統:

  1. 打開「控制面板」,單擊「程序」,然後單擊「打開或關閉 Windows 功能」。
  2. 在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。
  3. 重啟系統。

對於服務器操作系統:

  1. 打開「服務器管理器」,單擊「管理」菜單,然後選擇「刪除角色和功能」。
  2. 在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。
  3. 重啟系統。

臨時解決方式二:使用系統防火牆封禁 445 端口

如果你使用系統自帶的防火牆,那麼你可以通過以下步驟封禁 445 端口:

  1. 打開「控制面板」
  2. 在「控制面板」中選擇「Windows 防火牆」
  3. 點擊左側的「高級設置」,在彈出的「高級安全 Windows 防火牆」中選擇「入站規則」
  4. 新建規則,點擊「端口」,點下一步;選中「TCP 」端口中的特定的本地端口,填寫445 端口後,再點下一步;然後點擊「阻止連接」再點擊下一步後;將所有網絡選中,然後輸入規則名稱點擊完成即可。

臨時解決方案三:關閉 445 端口(適用於 Windows XP 等)

對於 Windows 2000 / XP 用戶而言,因為目前微軟已經結束了對這兩款操作系統的支持,因此可以通過修改註冊表的方式關閉:

  1. 通過 Windows + R 打開「運行」
  2. 輸入 regedit,點擊確定後定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。
  3. 新建名為「SMBDeviceEnabled」的 DWORD 值,並將其設置為 0
  4. 重啟電腦

臨時解決方案四:使用 360 的 NSA 武器庫免疫工具

如果你覺得通過修改註冊表的形式太麻煩,也可以使用 360 推出的 NSA 武器庫免疫工具進行檢測,並根據軟件提出的方案進行操作,從而避免中招。

已經中招了應該如何應對?

  1. 如果你的設備已經不幸中招,並且裡面的資料極為寶貴且非常緊急,很遺憾,目前可能你只有支付贖金才能解鎖文檔。另外,根據勒索軟件的描述,如果不支付贖金,一周後設備中的數據將會全部丟失。
  2. 如果數據並不是非常緊急,你可以等待近期國內外安全公司給出的解決方案。也許在接下來的一段時間可以實現無損解鎖,從而避免損失。

想要避免今後被攻擊,你還需要做這些:

  1. 對於重要文件請及時備份至移動設備、 NAS 或者其他雲存儲中。
  2. 無論是什麼樣的網絡環境,請及時對系統進行安全更新,尤其是微軟每月的安全更新,往往可以讓你避免數據丟失所造成的災難性後果。
  3. 開啟 Windows 防火牆避免類似的端口攻擊。

Mac用戶表示:前世做錯事,今世用Windows

來源

HisTrend.HK 限時褔利品:USB Type-C 轉接頭 HK$30 四枚

http://www.histrend.hk/products/usb-type-c-adapter


Arlo Pro 家居保安鏡頭 - 防水防塵、內置鋰電池,無需拉線
詳情請點擊:http://netgear.anlander.com


2 Responses

Leave a Comment

Your email address will not be published.