關于勒索病毒WannaCry的8個真相

發布日期:2017-05-19首頁 > 安全資(zī)訊

1、哪些用戶容易被感染,爲什麽政府機關和大(dà)學是重災區?

我(wǒ)們發現,目前這個病毒通過共享端口傳播,除了攻擊内網IP以外(wài),也會在公網進行攻擊。但是,隻有直接暴露在公網且沒有安裝相應操作系統補丁的計算機才會受到影響,因此那些通過路由撥号的個人用戶,并不會直接通過公網被攻擊。如果企業網絡也是通過總路由出口訪問公網的,那麽企業網絡中(zhōng)的電(diàn)腦也不會受到來自公網的直接攻擊,但并不排除病毒未來版本會出現更多傳播渠道。

很多校園網或其他網絡存在一(yī)些直接連接公網的電(diàn)腦,而内部網絡又(yòu)類似一(yī)個大(dà)局域網,因此一(yī)旦暴露在公網上的電(diàn)腦被攻破,就會導緻整個局域網存在被感染的風險。

根據“火(huǒ)絨威脅情報系統”的數據,互聯網個人用戶被感染的并不多。

 

2、已經被感染用戶,能否恢複被加密鎖死的文件?

結論:這非常難,幾乎不可能,即使支付贖金,也未必能得到解密密鑰。

A、相比以往的勒索病毒,這次的WannaCry病毒存在一(yī)個緻命缺陷——病毒作者無法明确認定哪些受害者支付了贖金,因此很難給出相應的解密密鑰(密鑰是對應每一(yī)台電(diàn)腦的,沒有通用密鑰)。

請不要輕易支付贖金(比特币),如上所述,即使支付了贖金,病毒作者也無法區分(fēn)到底誰支付贖金并給出相應密鑰。

B、網上流傳一(yī)些“解密方法”,甚至有人說病毒作者良心發現,已經公布了解密密鑰,這些都是謠言。這個勒索病毒和以往的絕大(dà)多數勒索病毒一(yī)樣,是無法解密的,請不要相信任何可以解密的謊言,防止上當受騙。

C、某些安全公司也發布了解密工(gōng)具,其實是“文件修複工(gōng)具”,可以有限恢複一(yī)些被删除的文件,但是依然無法解密被鎖死的文件。

 

3、這個勒索病毒會攻擊哪些系統?

答:這次病毒爆發影響确實非常大(dà),爲近年來所罕見。該病毒利用NSA“永恒之藍(lán)”這個嚴重漏洞傳播,幾乎所有的Windows系統如果沒有打補丁,都會被攻擊。

微軟在今年 3 月發布了 MS17-010 安全更新,以下(xià)系統如果開(kāi)啓了自動更新或安裝了對應的更新補丁,可以抵禦該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。

最安全的是Windows 10 的用戶,該系統是是默認開(kāi)啓自動更新且無法關閉的,所以不會受該病毒影響。

另外(wài):由于此次事件影響巨大(dà),微軟破天荒的再次爲已經不在維護期的Windows XP、Windows 8和 Windows Server 2003 提供了緊急安全補丁更新。

 

4、除了Windows系統的電(diàn)腦外(wài),手機、Pad、Mac等終端是否會被攻擊?

答:不會的,病毒隻攻擊Windows系統的電(diàn)腦,手機等終端不會被攻擊,包括Unix、Linux、Android等系統都不會受影響。

請大(dà)家不要驚慌,不要聽(tīng)信謠言。例如下(xià)圖,明顯是假的,是造謠者PS的。

1.jpg

 

5、被這個勒索病毒感染後的症狀是什麽?

答:中(zhōng)毒後最明顯的症狀就是電(diàn)腦桌面背景被修改,許多文件被加密鎖死,病毒彈出提示。

2.png

被病毒加密鎖死的文件包括以下(xià)後綴名:

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

 

6、“永恒之藍(lán)”和“勒索病毒”是什麽關系?

答:“永恒之藍(lán)”是指NSA洩露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過“永恒之藍(lán)”這個漏洞傳播,因此給系統打補丁是必須的。

 

7、聽(tīng)說一(yī)個英國小(xiǎo)哥的意外(wài)之舉,阻止了近日席卷全球網絡的比特币勒索病毒攻擊事件的繼續蔓延,拯救了全世界,是不是真的?

答:勒索病毒WannaCry的病毒體(tǐ)中(zhōng)包含了一(yī)段代碼,内容是病毒會自動聯網檢測“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”這個網址是否可以訪問,如果可以訪問,則不再繼續傳播。這就是該病毒的“神奇開(kāi)關”。

國外(wài)安全研究人員(yuán)(英國小(xiǎo)哥)發現這段代碼後立刻注冊了這個網址,的确是有效地阻止了該病毒的更大(dà)範圍的傳播。但是,這僅僅阻止了病毒的傳播,已經被感染的電(diàn)腦依然被攻擊,文件會被加密鎖死。

另外(wài),病毒體(tǐ)中(zhōng)的這段代碼沒有被加密處理,任何一(yī)個新的病毒制造者都可以修改、删除這段代碼,因此未來可能出現“神奇開(kāi)關”被删除了的新變種病毒。

 

8、如果使用正版操作系統,并開(kāi)啓了自動更新,那還是否需要使用網上的免疫工(gōng)具?

答:Vista以上系統如果開(kāi)啓了自動更新,就不需要使用任何免疫工(gōng)具,更不需要手工(gōng)關閉相關端口。

Winxp、Win2003和Win8這3個系統如果打了微軟緊急提供的補丁,也無需再用免疫工(gōng)具,以及手動關閉端口。