▲点击图片了解活动详情
据AFP、CNN、Financial Times等多方报道,黑客盗取NSA(美国国家安全局)的工具对99个国家实施了超过75,000次攻击。这款被称作“WannaCry”(想哭)、“EternalBlue”(“永恒之蓝”)的勒索病毒是一种特洛伊加密软件(Onion Ransomware),它利用Windows在445端口上的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开。
这次WannaCry的攻击,被感染的机器有六个小时的时间缴付大约300美元的赎金,随后每隔几小时赎金上涨一次。英国NHS(National Health Service)系统中超过1/3的机构目前已受到攻击,这些机构已经取消了所有的门诊预约并劝告可能的情况下尽量避免急诊。受到攻击的还包括西班牙的电讯公司Telefónica、俄国内政部、FedEx等等。中国高校也大面积遭受了攻击,据有关机构统计,目前国内每天有5000多台机器遭到“永恒之蓝”的攻击,教育网是受攻击的重灾区,被黑的大四学生的毕业论文全部被加密无法打开并被勒索赎金。多位网络安全专家表示这一轮病毒攻击有可能成为多年来最大的网络安全事件。
黑客组织Shadow Brokers去年就在网络上发布过从NSA盗取的工具并试图售卖,今年4月14号他们重新发布了15款被破解的工具,其中至少包括4种针对Windows的软件。微软声明在之前的补丁中已经补上了这些安全漏洞,Windows用户应确定他们的系统保持更新,并升级到Windows 7或者更新的Windows系统。
Windows系统应升级三月份发布的补丁以防止病毒感染。如果机器已经被感染“想哭”或者“永恒之蓝”,升级补丁没有什么意义。具体办法(来自@黑客凯文):
1. 交赎金不一定解决问题
2. 迅速多次备份文件。已中毒的,把硬盘低级格式化并重装系统
3. 安装反勒索防护工具,不访问可疑网站、不打开可疑邮件和文件
4. 关闭TCP和UDP协议的139端口和445端口,操作方法:
http://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
5. 微软严重安全公告MS17-010及补丁:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
6. 360 “NSA武器库免疫工具”:
http://dl.360safe.com/nsa/nsatool.exe
背景知识:NetBIOS、SMB及139、445端口
网络基本输入输出系统NetBIOS(Network Basic Input/Output System)是一种软件协议,使局域网上不同的电脑互相连接并共享数据,使用NetBIOS的不同机器上的两个软件通过139端口交换信息。在公网上使用NetBIOS有极大的安全风险,你的域名、工作组以及帐号等各种信息都可以通过NetBIOS被他人获得。139端口通常被用来共享文件和打印机,但同时也是互联网上最危险的端口,因为它让你的硬盘暴露给黑客。一旦某个黑客扫描到开放的139端口,他就能用NBSTAT等工具通过TCP/IP协议扫描你的NetBIOS、获得各种信息并最终控制你的硬盘,在你不知情的情况下,上传任何软件。
139端口技术上被称为“NBT over IP”,445端口则被称为“SMB over IP”。SMB(Server Message Block, 服务器消息区块)是由微软开发的应用层网络传输协议,也叫网络文件共享系统,主要功能是是网络上的机器能够共享文件、打印机、串行端口和通讯等资源,主要用在Microsoft Windows Network上的 Microsoft Wondows机器上。经过Unix/Linux厂商重新开发后,可以用于连接Unix/Linux服务器和Windows客户机,实现打印和文件共享。SMB使用445端口,黑客使用NetBIOS worms(NetBIOS 蠕虫)在网络上扫描开放的445端口,一旦找到则通过诸如PsExec的工具把蠕虫自身移植过去,并通过些新的被感染的机器成级数地扫描网络上的系统,成为网络上的机器人大军。
来源: 知社学术圈
