本文转载自:https://sspai.com/post/39218

昨天夜间,全球近 100 个国家的计算机同时遭到了来自一款名为 wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。wana Decrypt0r 是什么?如何预防它?电脑感染以后又应该如何应对?这篇文章将给你答案。

什么是 wana Decrypt0r 2.0?

wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序,在被不法分子改造之后变成了一款「勒索软件」。被攻击目标在感染它之后,系统中的图片、文档、视频、压缩包文件等会被加密,并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法,因此很难被破解或者绕过。

wana Decrypt0r 2.0 会影响哪些系统?

wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统,包括:

客户端操作系统:

  • Windows 2000、XP
  • Windows Vista
  • Windows 7
  • Windows 8 / 8.1
  • Windows 10(除Windows 10 Creators Update、build 15063)

服务器操作系统:

  • Windows Server 2008 / 2008 R2
  • Windows Server 2012 / 2012 R2
  • Windows Server 2016

目前 wana Decrypt0r 2.0 只会感染 Windows 桌面操作系统,如果你使用的是 Linux 或者 macOS 则暂时不会感染,但依然推荐你及时进行安全更新,因为并不知道勒索软件是否会更新从而支持攻击 Linux 或者 macOS。

wana Decrypt0r 2.0 如何传播?

由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序,因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息,从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件,而这一过程无需用户的任何操作,这也是其可以快速在全球传播的原因。

对于国内的普通家庭用户而言,由于此前国内曾被利用类似技术的蠕虫病毒攻击过,因此国内运营商在主干网上封掉了 445 端口,但是国内高校的「教育网」并未封掉 445 端口,所以本次国内高校计算机成为了受感染的重灾区。

此外,国内许多企业内部局域网也没有封掉 445 端口,因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。

如何预防 wana Decryptor 2.0?

为了防止中招带来的数据损失以及财产损失,以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。

最简单的方式:开启 Windows 安全更新

本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备,很大一部分的原因是这些设备并未及时安装系统更新。

早在今年三月份,微软就已经针对 Windows 设备推出了月度安全更新,其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此,如果你还没有下载这个更新,你可以在 Windwos 中检查并下载安装,防范勒索软件。

另外,你也可以单独下载安全修补程序 KB4012212 进行更新,并通过 MS17-010 了解更多相关安全问题。

临时解决方案一:禁用 SMBv1

如果你的设备处于特殊环境,暂时无法通过 Windows 安全更新进行预防,那么你也可以通过禁用 SMBv1 来预防,具体操作如下:

对于客户端操作系统:

  1. 打开「控制面板」,单击「程序」,然后单击「打开或关闭 Windows 功能」。
  2. 在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
  3. 重启系统。

对于服务器操作系统:

  1. 打开「服务器管理器」,单击「管理」菜单,然后选择「删除角色和功能」。
  2. 在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」复选框,然后单击「确定」以关闭此窗口。
  3. 重启系统。

临时解决方式二:使用系统防火墙封禁 445 端口

如果你使用系统自带的防火墙,那么你可以通过以下步骤封禁 445 端口:

  1. 打开「控制面板」
  2. 在「控制面板」中选择「Windows 防火墙」
  3. 点击左侧的「高级设置」,在弹出的「高级安全 Windows 防火墙」中选择「入站规则」
  4. 新建规则,点击「端口」,点下一步;选中「TCP 」端口中的特定的本地端口,填写 445 端口后,再点下一步;然后点击「阻止连接」再点击下一步后;将所有网络选中,然后输入规则名称点击完成即可。

临时解决方案三:关闭 445 端口(适用于 Windows XP 等)

对于 Windows 2000 / XP 用户而言,因为目前微软已经结束了对这两款操作系统的支持,因此可以通过修改注册表的方式关闭:

  1. 通过 Windows + R 打开「运行」
  2. 输入 regedit,点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。
  3. 新建名为「SMBDeviceEnabled」的 DWORD 值,并将其设置为 0
  4. 重启电脑

临时解决方案四:使用 360 的 NSA 武器库免疫工具

如果你觉得通过修改注册表的形式太麻烦,也可以使用 360 推出的 NSA 武器库免疫工具进行检测,并根据软件提出的方案进行操作,从而避免中招。

已经中招了应该如何应对?

  1. 如果你的设备已经不幸中招,并且里面的资料极为宝贵且非常紧急,很遗憾,目前可能你只有支付赎金才能解锁文档。另外,根据勒索软件的描述,如果不支付赎金,一周后设备中的数据将会全部丢失。
  2. 如果数据并不是非常紧急,你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁,从而避免损失。

想要避免今后被攻击,你还需要做这些:

  1. 对于重要文件请及时备份至移动设备、 NAS 或者其他云存储中。
  2. 无论是什么样的网络环境,请及时对系统进行安全更新,尤其是微软每月的安全更新,往往可以让你避免数据丢失所造成的灾难性后果。
  3. 开启 Windows 防火墙避免类似的端口攻击。