5月12日,Wannacry永恒之蓝勒索蠕虫病毒爆发,国内高校成为重灾区,360安全监测与响应中心对此事的风险评级为“危急”。
360卫士安全反病毒小组工程师王亮告诉北京时间“此刻”勒索木马来源于美国NAS机构,但木马传播者仍未有定论。他表示,交付赎金未必能成功解密文件,建议未安装永恒之蓝补丁的用户,赶紧进行安装。
为了更好的维护自身的网络安全,王亮建议,用户养成良好的上网习惯,及时备份、安装补丁,并安装靠谱的杀毒软件,常体检、常杀木马。
(网传中毒页面)
有人打开电脑就中毒
此刻:勒索木马从什么时候开始在国内蔓延?
王亮:在4月底的时候开始出现,叫做ONION。他与永恒之蓝是两个家族,但是使用的攻击手法是一样的,都是做敲诈者木马的,都是使用永恒之蓝的漏洞进行攻击的,只是它的影响范围没有像这次这么大,永恒之蓝在5月12日下午开始爆发。
此刻:此次中毒集中出现在高校?
王亮:量比较大的、比较集中的是在高校。他俩(ONION和永恒之蓝)同样使用445端口漏洞,高校存在这个漏洞的情况比较多,外网容易攻击进去,所以对于这两个勒索木马来说,高校都是重灾区。攻击的时候全网都在进行攻击,但是高校里面容易中招。
此刻:哪些高校中招最多?有什么表现?
王亮:桂林科技大学出现的情况比较多。当你某一天,高高兴兴的把电脑打开的时候,感觉都正常,但是用着用着电脑突然就卡了,再过几秒钟,桌面背景就变了,弹出一个提示框来,说你的文件都被加密了,让你交钱。然后你再看你的文件,真的都被加密了。这个学校陆陆续续,好多机器都出现了这样的问题。还有一种情况是,有的同学什么都没有做,只是打开电脑一直在那放着,过了一段时间,就中毒了。
端口漏洞被黑客盗取、公开
此刻:445端口主要有哪些作用?
王亮:微软在提供文件共享服务时,默认445端口提供此服务,用户会打开这个端口跟局域网里其他的机器进行一些文件共享操作,比如你的网上邻居可以看到其他机器共享的一些文件夹,你可以在里面进行一些操作。但是,这个东西存在一个漏洞。
此刻:这是什么漏洞?
王亮:美国的NAS搞到了这个漏洞,通过这个漏洞,它做了远程攻击的工具,通过这个工具,只要能打开455端口,我就完全可以控制你这台电脑,让你执行我的指令。
此刻:NAS是美国军用机构?
王亮:对,他所使用的工具其实2010年已经出现了,他们相对于偷偷在使用这些方法达到目的,可能他们需要攻击某些机构或者个人。但是这个工具在被黑客组织偷走了,偷走之后代理人就拿这个工具在网上兜售,但没人买。
在4月中旬,他就把这个工具公开了,大家都能拿到这个工具。拿到这个工具,只要(对方)没打补丁,想攻击谁就攻击谁。
此刻:攻击人确定了吗?
王亮:至于攻击人是谁、谁发起的,现在还没有定论,我们也不太清楚具体是谁干的。
交赎金未必能恢复文件
此刻:赎金价格是多少?
王亮:现在是价值300美元的比特币,但是如果超过三天时限的话,可能会涨到600美元。他在页面上会告诉你要买多少比特币,打到哪个地址,上面有一个比特币收款地址。
此刻:比特币怎么购买?
王亮:(中毒页面)上面有一些引导的页面,但是不一定能够打开。另外就是在淘宝等地,会有一些收费解密的商家,他们做中间人,赚一些差价,帮忙做这些操作。
此刻:淘宝等这些商家靠谱吗?
王亮:里面还是有纠纷的。但我们之前看到报道中提到过一个数据,在淘宝上支付的成功率,是比个人去支付的成功率要高一点的。
此刻:交付赎金,文件就能恢复吗?
王亮:有一部分网友反馈,支付赎金后文件没能恢复,还有一部分,支付赎金后恢复成功了。通过支付赎金来恢复文件这一条路不一定会成功。
此刻:如果不支付赎金,有可能恢复文件吗?
王亮:现阶段是没有的。我们也在搜取木马样本,在找一些方法进行解决,如果有方法的话,我们会及时跟公众公开信息。如果文件等实在是非常重要而且很紧急的话,可以尝试交赎金,但不一定能解决。如果不是很紧急的话,还是建议把被加密的文件留着,看能不能出一些工具,最后把这些文件解了。
工程师建议尽快打补丁
此刻:哪些系统受到影响?
王亮:目前只有Windows系统,其他系统不受影响。从WindowsXP到Windows10都受漏洞的影响,但在实际情况中,Windows7的用户被攻击的多一些,一方面是用户基数大,另一方面可能Windows7有一些用户还是没养成打补丁的习惯。在Windows10上面都是系统自动打补丁的,相对还好一点。
此刻:360卫士已经有应对技术了吗?
王亮:微软在三月份已经提供相关的补丁,我们当时也积极的提供了这个补丁给用户打上了,安装360卫士正常使用的用户,在三月中旬已经把这些漏洞都补上了,在这次攻击中其实是没有问题的。
另外,我们还提供了一个NAS武器库的检查工具,通过这个工具可以检查是否存在漏洞,如果存在漏洞的话,我们还可以帮助把这个漏洞补上。如果是WindowsXP系统,没有补丁功能,我们可以将端口给关上,来屏蔽这个问题。
不管有没有被攻击,赶快检查一下微软最近的安装补丁有没有打上,特别是永恒之蓝这个补丁,如果没有打上,赶快把补丁打上。
此刻:在使用网络、计算机时,用户怎样做才能保障自己的安全?
王亮:关于应对敲诈木马,大家还是应该把重要的文件做备份,除此之外,其他计算机风险也可能会带来文件损坏、丢失等。勤做备份,把重要的地方在不同的地方多做几份备份,万一有情况,还可以找地方去恢复。
另外一方面,还是要把漏洞补丁都打上,大家不要偷这个懒,漏洞补丁是用来修复系统存在的一些问题的。
最后,就是安装一款靠谱一点的杀毒软件,来保护自己的安全。养成一个良好的上网习惯,陌生人发过来的文件不要随意的点开,经常体检一下,杀杀木马。
文/隋雯雯
北京时间“此刻”聚焦突发事件、社会热点,如果你有新闻线索,欢迎爆料。