1. 聚能聊>
  2. 话题详情

NSA “永恒之蓝” 勒索蠕虫全球爆发,已波及 99 个国家,程序猿你怎么防范?

警告!NSA “永恒之蓝” 勒索蠕虫全球爆发,已波及 99 个国家

5916677c81057

5 月 12 日下午,有一高校学生的电脑中了勒索病毒,且勒索内容特别搞笑:要求尽快支付勒索赎金,否则将删除文件,甚至提出半年后如果还没支付的穷人可以参加免费解压的活动。原来以为这只是个小范围的恶作剧式的勒索软件,没想到昨晚该勒索软件大面积爆发,许多高校学生中招,愈演愈烈。

e57c3e370a23be7a6cee5d9ad853bed6df65951f_meitu_1

·杭州都市快报消息,5月12日晚 11时,下沙高教园区校园网被黑。学生电脑上的资料文档被锁,需要付费才能解锁。目前发现浙传,计量,理工大学……好多校区校园网都被黑了。
·网上媒体报道,全国多地部分中国石油旗下加油站在今日0点左右也突然出现断网,只能使用现金支付,加油站加油业务正常运行。
·据CNN报道,英国25家医院周五也因“大规模”的黑客攻击而瘫痪。手术被取消,救护车被迫转向其他医院。

原来,5 月 12 日起,全球范围内爆发基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的 NSA 黑客武器库中 “永恒之蓝” 攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

最可怕的是,这是不法分子利用 NSA 黑客武器库泄漏的 “永恒之蓝” 发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。雷锋网建议大家提前做好数据备份。

据 BBC 等媒体报道,全球多国爆发电脑勒索病毒,受害者电脑会被黑客锁定,提示支付价值相当于 300 美元(约合人民币 2069 元)的比特币才可解锁。目前已经波及 99 个国家。

阿里云已默认为ECS用户关闭445端口,且默认安装Windows官方补丁,具体毒病介绍与防范请点击查看>>

如此危机,程序猿们,我们该如何应对?一起来聊聊吧~

·你和你身边的人有没有中招?

·病毒的泛滥对你有什么影响?

·我们应如何防范,给中招的朋友支支招吧!

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    阿里云代金券 x 1

  • 奖品二

    聆听专属T恤衫 x 2

  • 奖品三

    虾米VIP月卡 x 1

189个回答

3

小龙猪 已获得聆听专属T恤衫 复制链接去分享

这个话题很应景,没想到刚参与元芳先生的关于程序猿的话题,现在又抛出网络安全的课题,作为网络安全工程师,总算可以借此宝地执笔长谈了。

首先身边的朋友和同事暂时没有发现中招的现象,毕竟在网络安全公司任职,大家第一时间都针对个人pc以及服务器做了安全处理,关闭了135,139及445端口。我们的客户也在漏洞发出的第一时间收到邮件通知对服务器及内网机器做了安全处理,暂时没有遇到受此勒索软件影响的客户。倒是之前应急过程中遇到过勒索软件,最后也只有恢复镜像了事。

今天在朋友圈广泛流传的几张图片,出入境部门及公安系统遭受影响不知真假,一张公安内部人员面对屏幕这一病毒窗口捂面哭笑不得的图片让人思绪万千。我们确实没有办法去应对0day漏洞给网络安全带来的风险,只是我们都错过了第一时间,错过了和病毒说“对不起”的机会。

这次披露的只是方程式漏洞集的一部分,我们在遇到问题的时候去懊恼和悔过,真不如好好想想如何应对去做到防患于未然。针对这次的病毒,网上已有众多修复方案,打补丁当然是上上签的选择,毕竟关闭端口也多少影响到很多企业的正常业务。那么我们想过没有?我们不知道的漏洞又有多少。就像很多人都说服务器是linux不受影响,那么下次放出ssh远程溢出的时候,你的服务器被攻击或者遭受病毒,你又能说什么?不是没有血淋淋的教训,只是大家都没有去总结和防范。是的,赶紧去修改ssh的默认端口或者选择其他的远程管理方案吧。

现在的0day漏洞非常多,有些人用来违法盈利,而漏洞本身往往用作一些apt攻击而不被公布,所以在扩散之前的第一时间进行防范是非常重要的。现有勒索软件主要针对电脑,那么以后出现针对手机的勒索软件,是不是危害性更大?想必大家的个人电脑或者服务器和笔者一样,重要应用和资料都会进行备份,所以勒索软件不会有太大作为。可是手机如果中招,大家都会纷纷交钱来赎回那么宝贵的照片和资料吧,如何防范?还是尽量多做备份。没有唯利是图者想不到的做不到,这些我们也要预料到。

0day漏洞本身是无法防范的,我们还是需要多多积累一些针对各种协议的应对方案,保证非必要端口尽量不对外开放,对内采用规则或者防火墙去屏蔽。阿里云的T恤不错,穿上据说可以防范0day?

元芳 回复

阿里云的T恤穿上能不能防范0day可能得你自己试试了~ 试过后记得给我回复~

巴洛克上校 回复
回复@元芳:

我也想试试!!!

tausyaoming 回复

無錫公安已經暫停辦理出入境業務了

元芳 回复

把你的压轴评论送过来~

键盘侠联盟 回复

呵呵,你牛什么牛?

巴洛克上校 回复
回复@元芳:

阁下边了啊!!

fang@jun 回复

是啊

评论
2

巴洛克上校 已获得阿里云代金券 复制链接去分享

1.公司电脑暂时没人中招!明天就不清楚了!
2.对我自己的电脑没影响,因为用的Mac系统!而且公司我办公的电脑前一段时间闲的没事,刚刚更新了系统(之前电脑自从做完系统在就没更新),想想我是多么的有远见,就知道要出问题哈哈😄;
3.中招了没救了加密的文件除非知道加密算法密钥不然没法解锁;除非付钱!前提是付钱也不能保证100%恢复,而且他竟然支持27种语言,可见其野心,所以坚决不能给他打钱,这样只会助长他们的嚣张气焰!过一段又弄个变种!那就只有格式化全盘,然后重新分区做系统了!或者等警察抓到黑客公布破解工具!所以说平时及时更新系统补丁,安装杀毒软件并且把重要的东西备份是多么的重要!!!再有吧电脑断网或着使用linux系统!

dfef8b1bac1e47ed825c9d0983e34977_1_1494681765.888468.jpg

元芳 回复

我也支持不给他付钱助长他们的嚣张气焰

巴洛克上校 回复
回复@元芳:

支持就送我件阿里云的T恤吧!我也穿上看看能不能防范0day,哈哈!!

元芳 回复

好呀~持续关注话题,我还有两件T恤可以打赏~

阿兰德永 回复

我把445端口给封了,顺便把360也升级到最新!

巴洛克上校 回复
回复@元芳:

那是必须关注的啊!持续关注病毒后续发展,然后来这里讨论!!我急需T恤防御,元芳请赐予我力量吧!!!😂

巴洛克上校 回复

打上补丁了吗 ? https://technet.microsoft.com/zh-cn/library/security/MS17-010

360应该帮忙打上补丁了!!

评论
2

鬼才神兵 复制链接去分享

程序员有钱呀,都用的MAC嘛!windows少量,中了也就中了吧!
这款WannaCry的勒索病毒也是使用了微软的Oday漏洞,Windows10用户在前段时间就收到的针对这个漏洞的更新!倒霉的只是那些不愿意放弃Windows7的和老掉牙的XP的用户。
还有一个非常不好的习惯就是没有做备份的习惯!当然,那种分很多区,从D盘转移到E盘的并不能叫做备份了!
而且程序员基本时间不长就重装系统了
那总结下来,程序员中这个病毒的机率太低了!
而且已有替代解密办法,就是欺骗黑客你已付款
https://github.com/QuantumLiu/antiBTCHack

看看其中一个账户的交易笔数
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

聚小编 回复

敢用题主用的是MAC还是Windows?

鬼才神兵 回复

题主如果感染了还能发这个话题嘛?亲

kayuun 回复

2333333333

浮生递归 回复

可以用手机发

元芳 回复

我可是用的windows系统呢。
不过我的系统时时刻刻都是保持最新状态,我基本不担心这个问题~

元芳 回复

我很好奇这个欺骗黑客你已付款的招数有没有效~

鬼才神兵 回复
回复@元芳:

测试无效

评论
2

liuhuaspeed 已获得聆听专属T恤衫 复制链接去分享

勒索病毒风靡全球,本以为对我不会有什么影响。
但是过去的两个工作日确实是我最最悲催的日子。
周一上班,平时一向不注重IT的老板突然过来问我们的防御情况。
并且要我们确保公司电脑万无一失,不能有任何一台电脑中招。
想想我们公司那100多台电脑,清一色的XP系统,清一色的裸奔,我瞬间奔溃了。
在过去的两天里,我跑遍了每个部门,给每一台电脑打补丁、搞免疫、安装杀毒软件。
终于在今天完成了所有工作,也庆幸所有的电脑都没有中招。

在这里提醒下做运维的朋友们,平时一定要勤更新病毒库、勤打补丁,不然真正遇到事情的时候往往会措手不及。

哎,不说了,我还得去给老板写这次事件的总结报告!

元芳 回复

想想都替你感到忧伤啊

评论
3

大财主 复制链接去分享

·你和你身边的人有没有中招?
有,还不只一个。毕业大学生不好好学习查资料写论文,天天上网也只看电影电视剧,结果中招了。另外,可见找个程序猿对象的可靠性,陪你看电影,电脑不被黑。

·病毒的泛滥对你有什么影响?
需要打补丁,挺烦人的。
一系列的防范措施,防止数据等被黑,无形加重了劳动量。
不过又多了闲扯的话题。

·我们应如何防范,给中招的朋友支支招吧!
及时打补丁。
重要数据做安全备份。
安装靠谱杀毒软件,不推荐了,以免打广告。
找个程序猿当对象。

来个t恤或代金券哈

元芳 回复

你这是为了要T恤而回复吗~能不能走点心?

大财主 回复
回复@元芳:

难得来了个热门话题,顺手点评,t恤啥的随意就好。话说当我发现不能破解时,有股淡淡的忧伤,不知大家有没有这种感觉

非帅锅 回复

升级操作系统

评论
1

小妖七七 已获得虾米VIP月卡 复制链接去分享

作为0day漏洞,除了打补丁就只有屏蔽端口啦,这里给出一段批处理代码

@echo off
net start MpsSvc
sc config MpsSvc start=auto
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="135" protocol=UDP dir=in localport=135 action=block
netsh advfirewall firewall add rule name="135" protocol=TCP dir=in localport=135 action=block
netsh advfirewall firewall add rule name="137" protocol=UDP dir=in localport=137 action=block
netsh advfirewall firewall add rule name="137" protocol=TCP dir=in localport=137 action=block
netsh advfirewall firewall add rule name="139" protocol=UDP dir=in localport=139 action=block
netsh advfirewall firewall add rule name="139" protocol=TCP dir=in localport=139 action=block
netsh advfirewall firewall add rule name="445" protocol=UDP dir=in localport=445 action=block
netsh advfirewall firewall add rule name="445" protocol=TCP dir=in localport=445 action=block
pause

保存为refusecry.bat并以管理员权限执行,可屏蔽以上端口。

身边暂时还没有中招的朋友,作为家庭用户尽量避免映射端口以及关闭主机的DMZ,防止其他计算机接入家庭路由器;作为企业用户应该先禁用网卡,并修复漏洞,已经感染的计算机或者服务器应该在第一时间进行断网处理,并尽快清除病毒。至于受勒索软件影响的主机,存在敏感资料的,尽快等专家给出解密方案。

对于防范0day漏洞,并无捷径,平时多多关注一些安全漏洞的播报,屏蔽不是业务需求的端口,尽量做到随时关注。毕竟0day漏洞从出现到衍生为恶意工具是有周期的,直接拿0day漏洞作为病毒感染的几率是很小的,一定要掌握最新的安全咨询。我只想要一件T恤,谢啦。

0

寒川 复制链接去分享

如何让公司电脑中个wannacry呢?这样致少一天就可以不用上班了!!!

tausyaoming 回复

不止一天

水如镜 回复

一个星期都有了

元芳 回复

老板让你一年都不用来了

虎啸云飘舞 回复

我也期待呢,可惜并没有!

评论
1

巴洛克上校 复制链接去分享

看来有商量余地啊!!
5cfb04390a3b44bdbeff2b3650af62e2_1_1494851592.283014.jpg

聚小编 回复

黑客还挺有人情味儿的

巴洛克上校 回复

是啊,看来还没那么的坏!

元芳 回复

那后来这个人的电脑解锁了吗?

巴洛克上校 回复
回复@元芳:

解锁了文件都恢复正常了!

评论
0

wuyouseo 复制链接去分享

说实在的,今天同事的一台ECS服务器已经中招,不是亲眼看见我都不有点相信。
使用的是WIN2008服务器,同事已经把网站服务器重新更换了。

做为阿里云的忠实粉丝,不太相信安全做的如此好的阿里云怎么会有这种问题发生呢?
QQ_20170513141938

建议做好以下准备:
1,把网站数据进行备份打包;
2,安装360安全产品;毕竟这块360做的不错。
3,最好使用LINUX服务器搭建网站,安全的多。
4,定期给服务器做镜像备份

大家有遇到这个问题吗?

浮生递归 回复

请小编来解释下,阿里云ECS是怎么中招的

正禾 回复

阿里云提供ECS产品,运维管理和安全管理由用户负责,阿里云不拥有服务器的管理权限,这里面有管理责任边界。也非常感谢您对阿里云的支持!

元芳 回复

不是每个人买了服务器都会坚持更新补丁、修复漏洞的。
有些人手动关闭了自动更新,你没法强制的、

wuyouseo 回复

就是不清楚怎么挂上去的,里面只有一个网站而已,并没什么异样。

评论
1

无敌小超人 复制链接去分享

大神们能把我电脑黑了 然后在帮我弄好吗 我看看被黑的感觉是啥样的

无敌小超人 回复

这个要求不过分把..........

元芳 回复

确实不过分。你这么嚣张勒索团队知道吗?

评论
1

roak 复制链接去分享

作为一位软件工程师,对于病毒,我们比普通电脑使用者更敏感,也会知道一些防范的方法,比如:
1.安装正规的杀毒软件,并对电脑进行漏洞扫描
2.及时更新升级操作系统
3.使用“NSA武器库免疫工具”进行修复
4.不要安装不明安装包以及外挂程序,以免遭遇病毒植入式风险
5.少浏览对电脑不健康的网站😌
虽然我们自己知道,这还远远不够,我们在这个圈子,信息得知的更快,所以,当病毒出现时,即时通知身边的人及时交给他们方法做好防范,遵守安全守则才是最好的解决之道。
对于服务器来说,我个人和公司一直用的都是阿里云,对于病毒,我还用担心?

元芳 回复

看来,阿里云是你的坚强后盾嘛~

评论
0

云篆 复制链接去分享

刚刚更新了windows98个update,其中97个重启后成功了,还有一个手动更新才成功。然后IT同学给了工具做检测,看是否这90多个包含最需要的那两个。哈哈。

聚小编 回复

97次重启...霸道~

元芳 回复

97次,我的天!
我重启5次就不想用这个电脑了。

评论
1

1061517881012203 复制链接去分享

对于说360的,我想说,能否先去查询后再来这种怀疑论? 4月,微软官方称,NSA武器库中的黑客工具,能够远程攻破全球约70%的Windows系统,无需用户任何操作,只要联网就可以入侵电脑。目前,Windows系统漏洞已在近期补丁中完成修复。同时,360预见,并针对不同版本Windows用户推出相关工具,360“NSA武器库免疫工具”可以扫描系统环境,精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。

元芳 回复

我也认为某卫士还行。

评论
0

lyndonyi 复制链接去分享

针对的是win10的吧。linux会吗??

翟城 回复

不会吧😄 Linux那么安全

元芳 回复

linux和mac相对安全些。

评论
0

键盘侠联盟 复制链接去分享

作为一个小白可不可以说句话,顺藤摸瓜能不能把这个装13的黑客爪到,都看黑客打的字,这是外国人写的吗

pepper_p 回复

小朋友,你太年轻

狼浪 回复

小朋友还需要学习

评论
1

欲望都市 复制链接去分享

我身边还没有中这个病毒的呢!很想要知道,这个病毒的特点,勒索病毒,那把钱打过去,看看都进那个账户不就知道具体的病毒谁在制造了吗?

1

巴洛克上校 复制链接去分享

有情义的黑客!!!
c9b931d7572a40f48bb26d32d75e508d_1_1495080872.929371.jpg

巴洛克上校 回复

👏🏻

评论
1

璀璨阑珊 复制链接去分享

“红色窗口”爆发后,阿里云和其他云都忙着打补丁,关端口。吓得我赶紧去控制台看了下我的ECS,然而很令人失望——Linux呀!我的伙伴们还都无一例外的继续开黑,竟然没一个中毒。5月12号,我在更新Windows创意者1703 ,还没听说什么个WannaCry.
然后,就听说勇斗黑客的故事: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(……妈妈说计算你注册的域名再长××都能搜索出来😃)
以及 https://github.com/misterch0c/shadowbroker/blob/master/file-listing(唉~看不懂呀😓)
END (&&别忘了——时刻备份重要文件*)

1

季雨林 复制链接去分享

话说有多少学计算机的居然不懂防火墙配置,从上学时候就被误导先关掉防火墙

0

为了爱1号 复制链接去分享

为了我的用户,昨天上午,我就封了不用的端口,一台提供http的只开通80,20,21,3306;一台提供API服务https的只开通443,3389。

为了爱1号 回复

其实3389的这台是不想开放的,但是我现在在新疆,新疆网关对内地限制太多,有时候需要使用这台电脑访问GitHub。

浮生递归 回复

改端口号

评论
9