来说说“勒索病毒”到底咋回事

前天,我在我的QQ空间里贴了一段关于勒索病毒的说说(本文有一部分涉及到计算机漏洞知识,如果你只关心以后怎么办,看我的说说的引用段落的最后一段句子也可以,或者文章最后):

看到最近的“#勒索病毒#”在朋友圈、空间等各种中招或者吐槽。我先在这里大概说下几个问题吧,没时间写博文:1、这个漏洞发现是在3月份之前,到微软发布补丁的时候,没有漏洞泄露的情况。2、据传这漏洞开始被传开会被利用应该是在5月初(5/1假期吧),这个病毒是在12号扔出来的,影响范围来看,老毛子那里先爆发的。3、被影响的电脑或者服务器(Windows系统)都是常年不打补丁的和网络防火墙不用或使用不恰当的。4、某些媒体传的和NSA有关系的话,这是臆测,更符合情况的应该是:根据微软的补丁反编译对照出现的结果(微软在相应的漏洞说明里已表示“极有可能被利用)(3月15到5月1号,1个半月时间,这漏洞成为这样的病毒的速度来说,其实已经算慢了)。那么,作为N年前微软的技术精英团的成员的老树,我只想说:别裸奔,至少要打补丁(Linux 其实也一样,只不过国内玩Linux的不多,多了也一样),防火墙别关闭(至少不会第一批倒下),杀毒软件只是求安慰,抗不了第一波次的攻击的,第二波次才有效。

这几天,专业的病毒代码解析在老牌的杀毒软件厂商的网站也有发布,有兴趣的可以上瑞星官网看看,瑞星的解析说明文章还是可以的。

不过,我还是想说说我的说说。

首先,有一部分内容有记差了,比如老毛子那边先爆发之类的。其他的时间点问题不大。

先给 NSA——美国的国家安全局洗下白,因为这个事情,不是说只有他能做到,而是电脑反编译高手就能完成比对,完成漏洞攻击代码,并且可以出售这个漏洞信息的。因为 NSA 不是唯一的嫌疑人,所以不能有个所谓的报导指向 NSA 就是他的罪。

那么,这个病毒本身确实还是挺可怕的,但是应该不是第一个利用微软 MS17-010 安全公告所修复的安全漏洞的人。阿里云在4月15日就在其开发者论坛上提示有黑客组织发出了包含有 MS17-010 此安全漏洞在内的 Windows 漏洞利用工具。那么,这个漏洞的被利用被发现的最早的时间节点就定格在了 4 月 15 日。不过当时对这类小范围的提示警告,引起注意的人不多(当然不仅仅是在阿里云这个圈子,有其他的一些)。到5月12日,“永恒之蓝”开始大规模发作(注意我的用词),已经过了1个月的时间。而此时距离 MS17-010 微软发布3月份的安全公告(同时发布安全补丁)以来,已经过去了2个月——60天左右。我写到这里就想想可笑啊,就在北美时间的9日发布 5 月份的安全公告,都已经过了。

3个月的安全补丁都没打的裸奔服务器系统,个人操作系统。说明什么问题?服务器维护上多大的运维安全麻痹心理,个人的计算机防护又是多大的无所谓状态。顺便就这么一条消息,已经说明漏洞代码是通过黑客组织搞的,与 NSA 没半毛钱关系。

别以为黑客攻击只是为了偷你计算机上的文件或者账号、密码,让你当肉鸡。永恒之蓝告诉大家:我破坏你们的数据——但告诉你还可以恢复,给钱吗?

那好,回到 MS17-010 的安全公告来,当天发布安全公告的时候,没有被披露也没有被利用。

QQ%E6%88%AA%E5%9B%BE20170516003148_thumb

微软的安全公告截图。

QQ%E6%88%AA%E5%9B%BE20170516003318_thumb

关于 MS17-010 安全漏洞是否会被利用(主要指黑客攻击)的微软安全公告摘要的截图。

从漏洞信息来看,这样的安全漏洞,并不需要伪造什么文件,让被攻击者触发,而只需要弄好代码,放上网络,便可以进行攻击。而会被中招的只有没有打上安全补丁的那些 Windows 系统(说明,Windows 95/98/Me 不受此系统影响,Windows NT/2000/XP/Vista/7/8/8.1/10包括服务器版都是受到此漏洞影响的)。微软在安全公告中也列出了还在支持服务期内的操作系统的变通方式——你也不会中招,但如果你要用功能可能不方便或者就无效了。具体自己参阅安全公告吧。

那么杀毒软件呢?只有极少一部分的杀毒软件能在更新病毒库之前,查杀掉病毒。一部分新闻文章供参阅:实测5款国产杀毒软件XP专版对抗勒索病毒 结果全军覆没19款主流杀软实战勒索病毒

为啥会这样?原因很简单:杀毒软件的工作方式有关系,他需要去读取文件,然后去比对病毒库或者通过引擎判断行为库(都是比对),发现在病毒库中,然后启动杀进程、删文件之类的动作,这个时候有可能会无法在保护圈内完成整个工作——因为病毒可能独立运行了。而大多数的杀毒软件的有效查杀还是在于病毒库的完备性。

那么为什么打补丁就是免疫呢?我们可以看到很多专杀工具有个免疫的功能——其实就是专门给你打这个漏洞的补丁。补丁打上之后,原本受病毒(准确说是漏洞)影响的系统组件就不会对这些数据有反应——不看你,不理你,那么就不会被病毒得逞。就是这么一个简单的道理。

想到 XP 刚推出不久之后,就出现了什么震荡波、冲击波什么的,那个时候的漏洞被利用时间很长了,但蓝屏的这一实际上的编程错误导致的意外影响,给大多数早期用过 XP 的人有着和现在一样的感觉。我在早时候和论坛的朋友和写过一篇文章介绍过怎么防这些攻击的文章,其实同样适用于这一次:计算机网络安全知识详解(面向初、中级)(老文)

那么家里电脑怎么办?怎么防?

第一步,启用你的计算机系统中的 Windows 防火墙,别关闭。有不是你主动启动的程序提示需要在 Windows 防火墙中允许通过的,请点“阻止”。这一步基本能防御大多数的网络为入口的病毒攻击——这一次的“蓝色永恒(或者勒索病毒)”,包括什么波的都是这一类,这对于家庭环境下没有啥问题的。

第二步,安装一款杀毒软件——只要一款。早期的老牌杀毒:瑞星、金山、江民,国外的卡巴斯基、Bit Defender。国内的“新一代”杀毒工具(真得叫工具……带了杀毒引擎,但不见得真能防,小病毒没啥问题):电脑管家(腾讯)、360安全卫士+360杀毒(这两个必须成套——否则比不过电脑管家?),但这两个都比不过国外得卡巴斯基和 Bit Defender。如果你是 Windows 10,那么系统自带的 Windows Defender 安全中心就已经满足你的要求了。不过杀毒软件的弱点——能查杀比病毒出现慢,总是要有人先发现才能准确查杀。

第三步,及时更新你的软件到最新版本——不仅仅是安装 Windows、Office、Adobe Flash Player 的安全补丁,有些软件的修补安全漏洞的方式是升级更新——比如 Flash Player 的补丁就是版本升级。现在大部分的病毒都是利用漏洞而不是使用者的无知,因此这一步最最最最重要,请不要关闭或者禁用 Windows Update 功能!这个功能对盗版的 Windows 一样开放——发布安全补丁给到你,但不会给你其他功能性的升级而已。虽然有时候会给你一个大黑屏——你是盗版软件的受害者。(小广告?一枚:一个 Windows 10 家庭版的许可正版售价真不贵!很多时候你没必要用专业版的)