朋友圈的一些內容基本刪了,之所以刪了是覺得馬后炮價值不大,朋友圈的很多中招的圖不建議去傳播,因為確實無從考究畢竟現在PS大神太多,我這種三流的PS功底也一樣能PS出來一堆,有些人覺得鬧著玩,但是傳播出來對社會影響還是很不好的,我覺得我這篇文章寫出來容易被人罵,所以我在標題上索性加上“沒用的屁話”,希望罵我的能少一些。
關于Wannacry,我覺得有一些“姿勢”還是要說明一下。
1、漏洞產生
勒索軟件是通過445端口并利用SMB服務漏洞而進行的攻擊,基本確定是基于此前“Shadow Brokers”披露多款涉及Windows SMB服務漏洞而產生的勒索攻擊,對應微軟的漏洞公告是MS17-010;
2、漏洞命名
更正很多媒體和一些“安全圈”朋友的病毒命名,這個漏洞的名字是“Wannacry”,不建議叫他比特幣病毒,至于一些媒體提及的這是“首例”大規模的比特幣敲詐病毒,建議還是負責任一些,如果感興趣可以了解一下15年爆發的“CTB-Locker”,來自俄羅斯黑客;
3、應急處理
未中毒用戶
大部分的建議都是關閉445及關聯的135、137、138、139端口的外部網絡訪問權限;微軟其實對此在3月中旬就已經出了補丁,家用電腦打補丁即可(360和電腦管家都推出了先關的補丁),值得注意的是,打開電腦第一件事兒是先斷網,關閉端口后再恢復網絡打補丁;
已中毒用戶
目前基本沒看到哪個發出來特別靠譜的解決方案,建議暫時不要亂折騰,如果有重要數據那么就找個閑置存儲設備,備份一下被加密的文件,直接重新裝個系統,土豪用戶有重要數據,就直接換硬盤吧;
如果是使用WIN的云服務器,那么看看是否有快照,直接恢復快照然后打補丁最靠譜,避免因為遭受病毒攻擊,業務持續無法恢復,導致時間推移產生更多的損失;
4、受感染設備范圍
影響微軟全系列系統,Vista、XP、Win7、Win8.1、Win10、Server 2003、Server 2008、Server 2012、Server 2016幾乎無一幸免,由于很多早期的終端機其實內置的都是WIN7 或者XP系統,除了電腦主機、服務器被感染外,一些機場取票機、電影院取票機、銀行排號機、實驗室控制演示終端、機場/高速公路/商場廣告屏、醫院/教育民眾服務終端,這些都有可能因為使用了WIN7/XP系統導致躺槍或存在躺槍風險;
5、蘋果真的沒事兒嗎?
除了iCloud賬戶泄露,Mac / iPhone 被鎖死,其實蘋果在去年3月份也一樣遭遇過通過加密電腦文件,使用比特幣作為贖金的勒索攻擊,感興趣的可以看一下“KeRanger”
6、幾種病毒的區別?
CTB-Locker主要是通過郵件附件進行定向傳播,主要針對國內一些商務/白領進行定向攻擊,不小心觸發的話,結果和現在的Wannacry差不多,都是對電腦中的文件進行加密然后勒索,CTB-Locker的加密數量大概是114種文件,要求中毒者在96小時內支付8比特幣;
Wannacry利用的是主機的445端口,這個相比CTB-Locker要高級很多,算是可以理解為“指哪打哪”的一個病毒,被掃到445端口又沒打補丁基本沒跑,但是中毒后結果一樣,對電腦上所有的可執行文件進行加密,命名后綴為“WNCRY”,同樣要求用比特幣當贖金,有醫院被爆出要300比特幣;
KeRanger是針對于Mac OX進行攻擊的勒索軟件,其傳播途徑是通過感染下載工具Transmission,獲取其合法簽名然后再進行感染和加密的,勒索價格是1比特幣;
有媒體人也提及了熊貓燒香,可能由于這個漏洞當年也算名聲在外吧,雖然是蠕蟲病毒,但是熊貓燒香和上面的幾個病毒有著很大的不同:
熊貓燒香不是一個勒索軟件,只是一個惡意蠕蟲病毒;
熊貓燒香只會對EXE圖標進行替換,即便是變種也只是擴展了EXE以外的其它尾綴文件的感染,或者對gho文件進行刪除,并沒有對文件進行加密;
熊貓燒香可以感染一些HTML/ASP文件,上傳到網站上訪問的用戶會被感染,這與上面的個蠕蟲的傳播途徑有所區分;
7、交贖金靠譜嗎?
建議不要這樣干,尤其是那些不連外網卻又通過U盤感染蠕蟲躺槍的設備,解密是外網的,你給了也沒用,一堆人盯著勒索服務器,有關部門肯定不會讓其優雅的聯網。。。。
8、容易抓到作者嗎?
作者為了隱藏自己,所以支付贖金要在Tor中進行聯絡,由于Tor網絡是隨機匿名并且加密傳輸的,再加上比特幣也是完全匿名,所以對敲詐者起到了一定的保護作用,以前規模不大的時候確實不是特別容易定位到人,偵破是有很高的難度,但是這次影響巨大,動用的資源和人力不同,還真的不好說,不過應該不是短時間能解決的問題;
9、勒索軟件作者賺到錢了嗎?
從其提供的勒索地址,目測是沒有賺到多少錢,而這里的付費用戶肯定中國用戶是占極少數的,畢竟Tor是做了限制無法正常訪問的,比特幣也因為某種原因在嚴管,無論是買比特幣還是上Tor網絡都有門檻的;
總結一下
雖然作者精心的準備了N國語言,用于解釋自己的勒索的文案也屌的一逼,尤其是那句“對半年以上沒錢付款的窮人,會有活動免費恢復,能否輪到你,就要看您的運氣怎么樣了。”真是太流暢了。
但是很可惜,畢竟勒索的贖金方式還是太復雜了,還有要價太高,超出規模化生產應該讓利經營的理念,所以這是一次失敗的創業行為!
看到幾家媒體把病毒名寫做“比特幣病毒”,還有某些平臺把去年的“CTB-Locker”丟出來報,內心疙瘩疙瘩的。
至于一個樣本都沒拿到,分析都沒分析,倒是大肆應急響應的團隊??
反正我人長的丑、技術又差,你們怎么噴我,我都忍著啊。。。
出門好好吃頓飯,再喝點小酒,反正目前來看即便是努力了也沒結果,何必和自己過不去呢?
