关于勒索病毒WannaCry的8个真相

标签: 系统安全 | 发表时间:2017-05-15 14:57 | 作者:火绒安全
出处:http://www.freebuf.com

1、哪些用户容易被感染,为什么政府机关和大学是重灾区?

我们发现,目前这个病毒通过共享端口传播,除了攻击内网IP以外,也会在公网进行攻击。但是,只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击,但并不排除病毒未来版本会出现更多传播渠道。

很多校园网或其他网络存在一些直接连接公网的电脑,而内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。

根据“火绒威胁情报系统”的数据,互联网个人用户被感染的并不多。

2、已经被感染用户,能否恢复被加密锁死的文件?

结论:这非常难,几乎不可能,即使支付赎金,也未必能得到解密密钥。

A、相比以往的勒索病毒,这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金,因此很难给出相应的解密密钥(密钥是对应每一台电脑的,没有通用密钥)。

请不要轻易支付赎金(比特币),如上所述,即使支付了赎金,病毒作者也无法区分到底谁支付赎金并给出相应密钥。

B、网上流传一些“解密方法”,甚至有人说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。

C、某些安全公司也发布了解密工具,其实是“文件修复工具”,可以有限恢复一些被删除的文件,但是依然无法解密被锁死的文件。

3、这个勒索病毒会攻击哪些系统?

答:这次病毒爆发影响确实非常大,为近年来所罕见。该病毒利用NSA“永恒之蓝”这个严重漏洞传播,几乎所有的Windows系统如果没有打补丁,都会被攻击。

微软在今年 3 月发布了 MS17-010 安全更新,以下系统如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。

最安全的是Windows 10 的用户,该系统是是默认开启自动更新且无法关闭的,所以不会受该病毒影响。

另外:由于此次事件影响巨大,微软破天荒的再次为已经不在维护期的Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。

4、除了Windows系统的电脑外,手机、Pad、Mac等终端是否会被攻击?

答:不会的,病毒只攻击Windows系统的电脑,手机等终端不会被攻击,包括Unix、Linux、Android等系统都不会受影响。

请大家不要惊慌,不要听信谣言。例如下图,明显是假的,是造谣者PS的。

1.jpg

5、被这个勒索病毒感染后的症状是什么?

答:中毒后最明显的症状就是电脑桌面背景被修改,许多文件被加密锁死,病毒弹出提示。

2.png

被病毒加密锁死的文件包括以下后缀名:

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

6、“永恒之蓝”和“勒索病毒”是什么关系?

答:“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。

7、听说一个英国小哥的意外之举,阻止了近日席卷全球网络的比特币勒索病毒攻击事件的继续蔓延,拯救了全世界,是不是真的?

答:勒索病毒WannaCry的病毒体中包含了一段代码,内容是病毒会自动联网检测“ http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问,如果可以访问,则不再继续传播。这就是该病毒的“神奇开关”。

国外安全研究人员(英国小哥)发现这段代码后立刻注册了这个网址,的确是有效地阻止了该病毒的更大范围的传播。但是,这仅仅阻止了病毒的传播,已经被感染的电脑依然被攻击,文件会被加密锁死。

另外,病毒体中的这段代码没有被加密处理,任何一个新的病毒制造者都可以修改、删除这段代码,因此未来可能出现“神奇开关”被删除了的新变种病毒。

8、如果使用正版操作系统,并开启了自动更新,那还是否需要使用网上的免疫工具?

答:Vista以上系统如果开启了自动更新,就不需要使用任何免疫工具,更不需要手工关闭相关端口。

Winxp、Win2003和Win8这3个系统如果打了微软紧急提供的补丁,也无需再用免疫工具,以及手动关闭端口。

*本文作者:火绒安全(企业账号),转载请注明来自FreeBuf.COM

相关 [勒索病毒 wannacry 真相] 推荐:

关于勒索病毒WannaCry的8个真相

- - FreeBuf.COM | 关注黑客与极客
1、哪些用户容易被感染,为什么政府机关和大学是重灾区. 我们发现,目前这个病毒通过共享端口传播,除了攻击内网IP以外,也会在公网进行攻击. 但是,只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击. 如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击,但并不排除病毒未来版本会出现更多传播渠道.

色情勒索病毒和信息窃取木马的新套路

- - FreeBuf互联网安全新媒体平台
对于网络犯罪分子来说,色情邮件诈骗已经成为了一种搜刮钱财的绝佳途径,而近期的一个新型色情邮件诈骗活动又将此类攻击提升到了一个新的高度. 在此活动中,攻击者会欺骗目标用户去安装Azorult信息窃取木马,而这个木马接下来会在目标主机中下载并安装GandCrab勒索软件. 在 这个攻击活动中,目标用户会收到一封声称“该计算机已被黑客入侵,而且在你浏览色情网站的时候录下了你的视频.

胸的真相!

- yanbook - 果壳网 guokr.com - 果壳网

真相永不来

- Elrond - 不做历史的看客
  在中国,流行的热点实在太多,但每天无数的海量信息蜂拥出来,所要表达的意思却又无比苍白,仅用两个字就完全能够概括:真相. 只是可惜,若你要把这简单的两个字扒开,却又是难上之难,赖昌星怎么出去的、又是怎么回来的. 郭美美是如何发家的、又是如何说谎的. 官员是怎么淫乱的、又是如何失足的. 一切看似了然,这些真相不需要发射嫦娥去月亮上寻找,也不需要放出蛟龙到海底去捞,甚至不需要冒默多克窃听的风险,更不需要福尔摩斯的智慧,一个二流的派出所户籍警都能为你交代事情真相的来龙去脉.

白熊揭示的真相

- iceman.yu - 比特客栈的文艺复兴

关于英语的真相

- yasy - 中国人的英语成功之路
    英语就是力量,英语就是品位,英语就是格调. 英语的普及程度成为衡量一个不发达国家是否愿意融入世界主流体系的尺度,同时是这些国家中产阶级和体力阶层的划分.     随着全球化进程的加快,英语已经成为世界上最强势的语言. 英语在45个国家是官方语言,世界三分之一的人口讲英语,75%的电视节目是英语,四分之 三的邮件是用英语书写,电脑键盘是英语键盘,任何一个会议敢号称是国际会议,其会议工作语言一定要用英语.

“供港蔬菜”真相

- crazy wave - 南方周末-热点新闻
目前内地超市的“供港蔬菜”实际上是供港剩余的部分和品相较差的部分,只能叫做‘来自供港蔬菜基地的蔬菜”.

爆笑的三国真相

- War - 河蟹娱乐
    曹操潼关战马超,割须弃袍大败而归,因此在大帐中不停地叹气.     张辽:“丞相,你叹什么气啊. ”曹操:“我在想,如果关羽还在我手下就好了. ”张辽点点头,说道:“若有云长在此,定能斩马超于马下. ”曹操捋了捋只剩下半截的胡子,道:“今天马超喊‘长胡须的是曹操,抓长胡须的曹操’,要是关羽在的话……他的胡子比我长多了,我还用得着这么惨吗.

坑的真相不坑爹

- 月七 - 牛博国际
全球那些著名的大坑,你究竟知道多少. 自然界的鬼斧神工,天外来客的亲吻,人类的各种活动,都能让这个星球,变得坑坑洼洼. 在挖坑的各种手段中,自然界的岩溶作用当属主力军. 当石灰岩、白云岩、石膏这样的可溶性岩石,遭遇上溶解二氧化碳的水流的溶蚀和冲刷,往往把持不住,逐渐发育成裂缝或空洞. 而日积月累,地表水顺着地面的裂缝向地下溶蚀,或是地下水对地下溶洞不断地改造,地面便可能因溶蚀或塌陷形成坑洞.