這場全球爆發的網路病毒攻擊，你做好準備了嗎？

題圖來自網路

如何看待 5 月12 號爆發在各高校的電腦勒索比特幣的病毒？

機構帳號：阿里聚安全

一、事件概況

2017年5月12日20時左右，全球爆發大規模勒索軟體感染事件，英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊。我國大量行業企業內網大規模感染，教育網受損嚴重，攻擊造成了教學系統癱瘓，甚至包括校園一卡通系統。眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復，由於正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

二、WannaCry勒索軟體

此次勒索軟體的主角「WannaCry」（也被稱為「Wannadecrypt0r」、「wannacryptor」或「 wcry」），它會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

軟體利用美國國家安全局黑客武器庫泄露的「永恆之藍」發起病毒攻擊。事實上，微軟已經在三月份發布相關漏洞（MS17-010）修復補丁，但很多用戶都沒有及時修復更新，因而遭到此次攻擊。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務就受影響。一旦電腦感染了Wannacry病毒，受害者要高達300美元比特幣的勒索金才可解鎖。否則，電腦就無法使用，且文件會被一直封鎖。

勒索軟體將受感染電腦里的文件使用AES-128演算法加密，感染後的文件擴展名會變為.UIWIX，.WNCRY擴展名，需要解密秘鑰才可以還原文件。在文件被加密的同時，會彈出一個名為Wanna Decryptor 2.0的彈出窗口。說明了你已經遭到攻擊以及如何恢復文件。

建議中招的小夥伴們也不要急著支付贖金，思考下是否有備用數據/快照。即便支付贖金也不一定能解鎖，因為攻擊者也不一定知道是哪台電腦支付了贖金。

在你遭到勒索軟體時，此流程圖幫助你最終決定是否會支付贖金

三、應急處置方法：

1、防火牆屏蔽445埠

2、利用 Windows Update 進行系統更新

3、關閉 SMBv1 服務

3.1 適用於運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對於客戶端操作系統：

打開「控制面板」，單擊「程序」，然後單擊「打開或關閉 Windows 功能」。

在「Windows 功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」複選框，然後單擊「確定」以關閉此窗口。重啟系統。

對於伺服器操作系統：

打開「伺服器管理器」，單擊「管理」菜單，然後選擇「刪除角色和功能」。在「功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」複選框，然後單擊「確定」以關閉此窗口。重啟系統。

3.2 適用於運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改註冊表

註冊表路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建項︰ SMB1，值0（DWORD）

重新啟動計算機

最後提醒大家，重要的數據備份，備份，再備份。重要的事情說三遍！！

知友：shotgun

具體的情況大家都分析得很多了，也很專業，我從非技術角度說幾句：

一、近些年安全漏洞的利用已經從原先以興趣研究和國家利用為主，越來越多地轉向大規模的黑色產業鏈，因此對企業用戶和普通民眾來說，會從熱鬧的新聞變成真正的切膚之痛，而且這種趨勢也會越來越大，原因很簡單：信息資產越來越有價值，從以前只是拿來上上網、看看劇，到現在電腦和手機已經承載了越來越多對每個人都很重要的資產，這就是黑產會盯上的根本原因；

二、這次的事情可能始作俑者也沒想到鬧這麼大，按照我們目前了解的情況，受害者不僅有普通人、學校、企業、醫院，甚至一些政府的重要部門也被波及，所以可以想見的是，反彈也會很激烈，跨國、跨公司的合作都在進行中，最後結果會如何還不清楚，但勒索者現在的壓力肯定也很大，甚至這件事情會不會對比特幣這種匿名的電子貨幣造成不可逆轉的影響，現在都不好說；

三、因此如果中招了，也暫時不要絕望，前面說了，這次事件引起的業內關注也是空前的，不僅微軟破例為已經停止服務的XP和2003發布了補丁（剛才跟微軟的同學討論，這個成本可能還是不低的），而且國家、政府、各個信息安全公司和從業人員也都盯著這件事，這種情況下，受害者不一定是絕望的，歷史上出現過幾次最終勒索者伺服器被攻破，部分用戶的加密數據最終被解密的先例，那麼這次也有這個可能（或者說我們可以這麼希望）；

四、所以除了之前很多專家說的方案之外，在清空硬碟重裝系統之前，把被加密勒索的數據備份下來，等待進一步的結果也是一個必要的措施，這樣一旦勒索者被抓捕或者相關伺服器／加密演算法被破解，就有可能恢複數據；

五、大家都在考慮怎麼防禦這種勒索，升級、打補丁、安裝防護軟體等等，但是在我看來，做好備份才是最核心的，畢竟沒有千日防賊的道理，而且今天是勒索，也許明天是硬體損壞或者丟失，只有良好的備份習慣才是真正解決這種問題的辦法；

六、長期來看，沒有誰是安全的，無論是Windows10還是Mac OS、甚至iOS和Android，在威脅面前只有先後之分，沒有絕對的安全和不安全，再強調一遍，做好備份。

本文內容來自「知乎」

轉載請聯繫知乎原作者

未經作者授權同意，禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！