5月12日 WannaCry (想哭)比特币勒索病毒在全球范围大爆发,在短短24小时内,以迅雷不及掩耳的速度席卷全球超过150个国家,感染了超过30万台电脑。其中包括各类重要机构、院校、医院、加油站甚至是航班信息终端等基于 Windows 系统的设备纷纷沦陷,重要文件均被黑客加密并勒索钱财,损失极其惨重……。其中英国国家医疗系统NHS受到灾难性冲击,超过61家医院系统被黑,陷入严重瘫痪,导致大量病人无法就医。
据一情报中心统计,从12日爆发起至今,全球已有超过10万家组织和机构被攻陷,其中包括1600家美国组织,11200家俄罗斯组织,在中国则有29000多个IP被感染。
那么?WannaCry (想哭)比特币勒索病毒软件到底是何方神圣?
Wana Decrypt0r 2.0 (也称 WannaCry、WCry、WanaCrypt0r、WannaCrpt) 以及 Onion 家族的勒索病毒均是通过一个名为「永恒之蓝」(Eternal Blue) 的微软 Windows 系统漏洞进行大范围的攻击和传播,没有安装过补丁的电脑只要联网并开放了 445 端口,即使用户什么都没做也会被感染。
这也是为什么勒索病毒可以在一夜之间迅速对全球网络造成如此恶劣的影响的原因。被感染的电脑系统中所有图片、文档、视频、压缩包等文件都会被黑客加密起来,后缀变为.onion。病毒会向用户勒索 300 或 600 美元等值的「比特币」作为赎金才会将文件解密还原。
由于病毒使用了极强的 AES 加密算法,在不交赎金的情况下基本没有破解或恢复的可能,除非你有异地的备份。而且,由于比特币的交易有着无法被追踪和定位的特性,幕后黑客们借助它在全球实施着完美犯罪,因此 wana Decrypt0r、Onion 勒索软件也被不少人戏称为「比特币病毒」。
永恒之蓝 (Eternal Blue) 又是什么鬼?
“永恒之蓝” 是这次勒索病毒所利用的系统漏洞的通俗名称,原为美国国家安全局(NSA)设计的间谍软件,主要用于对付圣战恐怖组织“伊斯兰国”(IS)、阻断其国际金流(咳咳……官方话而已,天知道他们会拿来干什么……)。不料却遭黑客团体“影子掮客”(Shadow Brokers)窃取、并在近8个月期间持续改版为现在的 wana Decrypt0r 2.0,因此这个漏洞也被称为永恒之蓝。
360公布的永恒之蓝受灾情况
那些电脑会感染比特币勒索病毒?
Wana Decrypt0r 2.0 勒索病毒目前仅会影响 Windows 操作系统,如果你使用 macOS 或者 Linux 系统则不必担心 (但安装双系统或使用 Parallels Desktop、VMWare、VirtualBox 等虚拟机或 BootCamp 安装 Win 系统的朋友依然会有受感染的风险)。其中,存在「永恒之蓝」漏洞的 Windows 操作系统包括:
Windows 2000、XP
Windows Vista
Windows 7
Windows 8 / 8.1
Windows 10(除 Windows 10 Creators Update build 15063 外)
Windows Server 2008 / 2008 R2
Windows Server 2012 / 2012 R2
Windows Server 2016
除了最新版的 Windows 10 创意者更新之外,几乎全系列的 Windows 系统均沦陷。不过幸运的是,由于以前国内曾被类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上默认都屏蔽了 445 端口(瞬间感觉我大天朝的高大……),因此该病毒没有在公网上大规模爆发,但这也并不代表你的电脑就绝对的安全。而「教育网」的用户就没那么幸运了。目前国内受灾最严重的就是各类院校的电脑,很多大学生辛辛苦苦撰写的论文、收集的资料、照片以及收藏的动作片等等一夜之间就被锁了。另外,一些公司、企业内部的局域网也没有封禁 445 端口,风险依然很高。
已经感染病毒的文件怎样解密?
首先,请不要太过相信病毒制造者,因为即便你支付了高昂的赎金,你的文件也不一定会被还原,就算真的给你解密了,你的文件也有可能被留下后门或木马,日后或许还会再次给你带来更大的损失。除非文件价值极高,否则强烈不建议尝试支付赎金。
更重要的是,更不要相信任何声称可以有偿帮你修复的人!因为勒索病毒所采用的 AES 加密算法是密码学中最热门最安全也是最广泛用于军方和商业等重要领域的算法之一,没有任何已知的有效降低复杂度的破解方式,而使用穷尽法暴力破解需要花上几十亿年的时间,仅存在理论上的可能性。因此除非有病毒制造者手上对应的密钥,或拥有世界上最强大的超级计算机,否则普通人根本不存在任何哪怕是一丁点破解的可能性!!
中招后的电脑只能全部格式化硬盘!全部格式化硬盘!……重装系统!重装系统!重装系统!
针对此病毒微软官方发布了 MS17-010 安全补丁!
针对这次大规模的黑客勒索攻击,微软已经正式发布了相关的官方安全补丁「MS17-010」(KB4012212) 用以修复被 “永恒之蓝” 攻击的系统漏洞,而且由于事态严重,微软还破例为已经停止更新多年的 Windows XP、Windows Server 2003 等系统也发布了安全补丁。
注意:安装微软官方发布的 MS17-010 安全补丁并升级系统是目前最彻底最有效最安全最稳妥的,也是最为简单的应对和预防勒索病毒感染的办法,没有之一!其他网上宣传的任何教程,比如说使用防火墙软件禁用屏蔽 445 端口、禁用 SMBv1、安装杀毒软件、安装第三方的免疫工具等等都只是临时处理手段,并不能让你的系统高枕无忧,普通用户也不必花时间去研究或进行操作。
对于 Windows 7、Windows 8.1、Windows 10 等尚在微软技术支持周期内的操作系统,只需通过系统的 Windows Update 更新到最新版本即可。而对于 Windows XP、Win8、Win Server 2003 等老系统的用户,可以在本文结尾处下载微软发布的官方安全补丁进行安装。
当然,打开微软自带的 MSE / Windows Defender 与防火土·啬(或第三方杀毒安全软件),并做好重要文件的定时备份(最好是异地备份),也会降低你的资料被侵害的风险。
写在最后:
发起全球性WannaCry比特币勒索病毒攻击事件的黑客组织“影子掮客”(Shadow Brokers),周二(16日)在网上发表声明,指出6月起会出售可用以入侵大部分电脑的程式码,甚至是俄罗斯、伊朗及朝鲜的核武及导弹计划资料。
所以说实在的此次病毒也许只是个开始,接下来会发生什么还真不好说,所以还是建议大家务必强化网络安全意识,及时安装系统补丁,打开主机防火墙,关闭不使用的服务和端口,升级病毒库,以及:
陌生链接不点击!陌生文件不要下载!陌生邮件不要打开!
平时多注意重要资料的定期备份,比如借助于 NAS、网盘、云存储服务、移动硬盘或者是服务器,防患于未然。
相关文件下载地址:
官方网站:访问
软件性质:免费
下载微软官方 MS17-010 永恒之蓝安全补丁(简体中文版):
Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows XP Embedded SP3 x86
Windows 8 x86
Windows 8 x64
Windows XP SP2 x64
Windows XP SP3 x86
Win7 / Win10 系统单独的 MS17-010 补丁下载:
Windows 7 x64 | Windows 7 x86 | Windows 10 x64 | Windows 10 x86
