贵州大学首页 贵大研究生院官网
当前位置:首页 >> 《新声》杂志 >> 正文
先声 | 手把手教大家预防勒索病毒!
来源:贵研新闻社  作者:  编辑:管理员  日期:2017-05-15  点击率:94  [我要打印]  [关闭]
摘要:

引题:

关键字:

大家都知道最近的勒索病毒“Wanna Decrypt0r”(WannaCry/Wncry) 吧?一旦中病毒,赎金很高,通过暗网交易,难以追踪,并且交了之后未必能恢复。(有点心疼交了2900美元的那个人。。。)


现在这个病毒有两个版本:WannaCryWannaCry 2.0。2.0版本能取消机器上的Kill Switch 防盗系统,因此关闭几率更小,传播速度会更快。据知乎上感染了WannaCry 2.0 的网友的真实经历,一开始的时候,系统提醒他C:/Windows目录下有名为taskse.exe的病毒文件,在他没注意的时候,病毒一直在他的C盘创建文件,并一直蔓延到各种子文件夹。打开被篡改的文件会有如下勒索信:

 

 

(“忘了告诉你,对半年以上没付款的穷人,会有活动免费恢复,能否轮到你,就要看你运气怎样了”)

 

 很多人中病毒之前就是看见未知来源的软件但是没有当回事,或者是一不小心点开了不明链接。那么病毒又是怎么入侵他们电脑的呢?


     1. 垃圾邮件和被入侵的网站


 这类勒索病毒软件主要通过大量垃圾邮件被入侵的网站快速散播。受害者往往是在打开垃圾电邮的附件时,或使用被入侵的网站和网上广告载入漏洞攻击包而受到感染的。


目前已知的垃圾电邮标题包括:

·   ATTN: Invoice J-[RANDOM NUMBERS]

·   Your booking [RANDOM NUMBERS] is confirmed

·   Payment ACCEPTED [RANDOM NUMBERS]

·   FW: Invoice 2016-M#[RANDOM NUMBER]

 

 

 

    这些恶意电邮中的附件,可能是已启动“宏”的微软 Office 档案,亦可能是包含 javascript (.js) 的 zip 压缩档案,或其他格式的档案。这些带有恶意程式或代码的附件通常是可以避过反恶意软件侦测的下载器。此外部份受害者在访问被黑客入侵的网站时也会受到感染,这些网站主要是针对 Internet Explorer 的用户

    勒索软件通常会将用户系统上所有的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作。


 

 


      2. 电脑的服务器端口


 根据网络安全机构通报,本次病毒攻击是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”工具包发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

 从现在来看,中国和欧洲依然是感染最严重的。

 

 

由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网就是受攻击的重灾区

 


电子屏幕: 我只是一块显示通知的电子屏幕,我做错了什么TuT

 


中石油:喵喵喵?

 

因此下面我们手把手教大家预防病毒!大家赶快打开电脑和我们一起操作吧!

 

 

STEP1.>>备份重要文件!!!

 

 由于中了病毒文件一般是找不回来的,因此备份重要文件是最重要的。大家最近应当及时备份电脑中的重要文件资料到移动硬盘、U 盘,备份完后脱机保存该磁盘。

 如果有网盘的也应当及时备份,这种方式比较适合最近在编辑一些重要东西的同学,毕竟网盘是不受病毒干扰的。

 但是如果是备份特别重要的内容(如涉及隐私、知识产权等)还是不推荐备份到云盘,还是备份到硬盘上,防范泄露风险。


STEP2. >> 关闭Windows系统445端口:


 “打开控制面板--->网络和共享中心--->更改适配器设置--->右键点击正在使用的网卡然后点击属性--->取消勾选Microsoft网络文件和打印机共享--->确定--->重启系统。”


 也可以启用个人防火墙关闭445以及135、137、138、139等高风险端口。具体可以看这篇文章:

 

“windows 7系统如何关闭危险端口”

https://jingyan.baidu.com/article/eb9f7b6d88a0a7869364e885.html


 实在嫌操作复杂的亲们可以到下面这个微云下载 “针对 wannacry 的启用防火墙及端口关闭批命令.zip”。

 

https://share.weiyun.com/24b3a794aefa63fd9feb0a085e05dd3f

 


 

 但是关闭端口也会影响到一些程序的运行,如:

 

139端口是netbios,135是RPC,445是文件打印机

 

 但是由于是非常时期,建议大家暂时关闭或少用445端口。

 

STEP3.>> 安装修复“永恒之蓝”攻击的系统漏洞:


 

 为了修复漏洞防止电脑被感染,微软官网发布MS17-010补丁


🔹Windows7及以上操作版本系统:

https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

 

🔹Windows 2003和XP系统所需安装补丁(最新发布):

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

 如果补丁下载失败,也可以安装反勒索防护软件。例如:


360公司发布的“比特币勒索病毒”免疫工具下载地址:

http://dl.360safe.com/nsa/nsatool.exe360公司发




STEP4.>> 留意!再留意!

 

 由于一些校方称此次病毒是通过教育网传播,所以大家上校园网的时候一定提高警惕

 此外大家一定要留意后缀名为exe的文件,有些狡猾的病毒会伪装成常见文件的图标,因此大家看见自己不熟悉的文件不要好奇点开。

 

 在这最后一个步骤小编通过香港电脑保安事故协调中心(HKCERT)给出的建议,再来提醒一下大家如何留意:

 

 

 

 

1. 删除收到的可疑电邮,尤其是包含链接或附件的。
    2. 部份微软Office档案会要求用户启动“宏”以观看其内容,对此类电邮附件必须提高警觉。

3. 定期备份电脑上的档案。

4. 确保更新电脑上的入侵防护保安软件。

5. 保持更新操作系统及其他软件。

6. 一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。不建议支付赎金。

7. 下载软件使用手机、电脑的官方软件下载平台。


 

 


 

 想深入了解这个这个病毒是如何感染的可以上知乎:

 

 如何看待 5 月12 号爆发在各高校的电脑勒索比特币的病毒?

 https://www.zhihu.com/question/59765277/answer/168673682

 

 从中你能了解更多有关这次病毒的内容~

 

 


文字:汪莉雅

编辑:殷樱子



作者:
编辑:管理员
上一篇:研说新语|为什么《摔跤吧 爸爸》在中国能这么火?
下一篇:“研习”诵|与您分享习大大的“修齐治平”观
贵州大学研究生 贵研新声公众号
网站管理 加入收藏 旧版回顾
地址:贵州省贵阳市花溪区    邮编:550025    邮箱:gmo@gzu.edu.cn
@版权所有:贵州大学党委研究生工作部  网站维护:贵州大学贵研新闻社   技术支持:贵州佰仕佳信息工程有限公司