我的小棉花2018-12-09 21:02:201、哪些使用者容易被感染,為什麼政府機關和大學是重災區?
我們發現,目前這個病毒透過共享埠傳播,除了攻擊內網IP以外,也會在公網進行攻擊。但是,只有直接暴露在公網且沒有安裝相應作業系統補丁的計算機才會受到影響,因此那些透過路由撥號的個人使用者,並不會直接透過公網被攻擊。如果企業網路也是透過總路由出口訪問公網的,那麼企業網路中的電腦也不會受到來自公網的直接攻擊,但並不排除病毒未來版本會出現更多傳播渠道。
很多校園網或其他網路存在一些直接連線公網的電腦,而內部網路又類似一個大區域網,因此一旦暴露在公網上的電腦被攻破,就會導致整個區域網存在被感染的風險。
根據“火絨威脅情報系統”的資料,網際網路個人使用者被感染的並不多。
2、已經被感染使用者,能否恢復被加密鎖死的檔案?
結論:這非常難,幾乎不可能,即使支付贖金,也未必能得到解密金鑰。
A、相比以往的勒索病毒,這次的WannaCry病毒存在一個致命缺陷——病毒作者無法明確認定哪些受害者支付了贖金,因此很難給出相應的解密金鑰(金鑰是對應每一臺電腦的,沒有通用金鑰)。
請不要輕易支付贖金(比特幣),如上所述,即使支付了贖金,病毒作者也無法區分到底誰支付贖金並給出相應金鑰。
B、網上流傳一些“解密方法”,甚至有人說病毒作者良心發現,已經公佈瞭解密金鑰,這些都是謠言。這個勒索病毒和以往的絕大多數勒索病毒一樣,是無法解密的,請不要相信任何可以解密的謊言,防止上當受騙。
C、某些安全公司也釋出瞭解密工具,其實是“檔案修復工具”,可以有限恢復一些被刪除的檔案,但是依然無法解密被鎖死的檔案。
3、這個勒索病毒會攻擊哪些系統?
答:這次病毒爆發影響確實非常大,為近年來所罕見。該病毒利用NSA“永恆之藍”這個嚴重漏洞傳播,幾乎所有的Windows系統如果沒有打補丁,都會被攻擊。
微軟在今年 3 月釋出了 MS17-010 安全更新,以下系統如果開啟了自動更新或安裝了對應的更新補丁,可以抵禦該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8。1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。
最安全的是Windows 10 的使用者,該系統是是預設開啟自動更新且無法關閉的,所以不會受該病毒影響。
另外:由於此次事件影響巨大,微軟破天荒的再次為已經不在維護期的Windows XP、Windows 8和 Windows Server 2003 提供了緊急安全補丁更新。
4、除了Windows系統的電腦外,手機、Pad、Mac等終端是否會被攻擊?
答:不會的,病毒只攻擊Windows系統的電腦,手機等終端不會被攻擊,包括Unix、Linux、Android等系統都不會受影響。
5、被這個勒索病毒感染後的症狀是什麼?
答:中毒後最明顯的症狀就是電腦桌面背景被修改,許多檔案被加密鎖死,病毒彈出提示。
被病毒加密鎖死的檔案包括以下字尾名:
。doc;。docx;。xls;。xlsx;。ppt;。pptx;。pst;。ost;。msg;。eml;。vsd;。vsdx;。txt;。csv;。rtf;。123;。wks;。wk1;。pdf;。dwg;。onetoc2;。snt;。jpeg;。jpg;。docb;。docm;。dot;。dotm;。dotx;。xlsm;。xlsb;。xlw;。xlt;。xlm;。xlc;。xltx;。xltm;。pptm;。pot;。pps;。ppsm;。ppsx;。ppam;。potx;。potm;。edb;。hwp;。602;。sxi;。sti;。sldx;。sldm;。sldm;。vdi;。vmdk;。vmx;。gpg;。aes;。ARC;。PAQ;。bz2;。tbk;。bak;。tar;。tgz;。gz;。7z;。rar;。zip;。backup;。iso;。vcd;。bmp;。png;。gif;。raw;。cgm;。tif;。tiff;。nef;。psd;。ai;。svg;。djvu;。m4u;。m3u;。mid;。wma;。flv;。3g2;。mkv;。3gp;。mp4;。mov;。avi;。asf;。mpeg;。vob;。mpg;。wmv;。fla;。swf;。wav;。mp3;。sh;。class;。jar;。java;。rb;。asp;。php;。jsp;。brd;。sch;。dch;。dip;。pl;。vb;。vbs;。ps1;。bat;。cmd;。js;。asm;。h;。pas;。cpp;。c;。cs;。suo;。sln;。ldf;。mdf;。ibd;。myi;。myd;。frm;。odb;。dbf;。db;。mdb;。accdb;。sql;。sqlitedb;。sqlite3;。asc;。lay6;。lay;。mml;。sxm;。otg;。odg;。uop;。std;。sxd;。otp;。odp;。wb2;。slk;。dif;。stc;。sxc;。ots;。ods;。3dm;。max;。3ds;。uot;。stw;。sxw;。ott;。odt;。pem;。p12;。csr;。crt;。key;。pfx;。der;
6、“永恆之藍”和“勒索病毒”是什麼關係?
答:“永恆之藍”是指NSA洩露的危險漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也透過“永恆之藍”這個漏洞傳播,因此給系統打補丁是必須的。
7、聽說一個英國小哥的意外之舉,阻止了近日席捲全球網路的比特幣勒索病毒攻擊事件的繼續蔓延,拯救了全世界,是不是真的?
答:勒索病毒WannaCry的病毒體中包含了一段程式碼,內容是病毒會自動聯網檢測“http://www。iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea。com”這個網址是否可以訪問,如果可以訪問,則不再繼續傳播。這就是該病毒的“神奇開關”。
國外安全研究人員(英國小哥)發現這段程式碼後立刻註冊了這個網址,的確是有效地阻止了該病毒的更大範圍的傳播。但是,這僅僅阻止了病毒的傳播,已經被感染的電腦依然被攻擊,檔案會被加密鎖死。
另外,病毒體中的這段程式碼沒有被加密處理,任何一個新的病毒製造者都可以修改、刪除這段程式碼,因此未來可能出現“神奇開關”被刪除了的新變種病毒。
8、如果使用正版作業系統,並開啟了自動更新,那還是否需要使用網上的免疫工具?
答:Vista以上系統如果開啟了自動更新,就不需要使用任何免疫工具,更不需要手工關閉相關埠。
Winxp、Win2003和Win8這3個系統如果打了微軟緊急提供的補丁,也無需再用免疫工具,以及手動關閉埠。
