未采取必要措施的(未采取措施从速)
未采取必要措施的(未采取措施从速)简单归纳,就是这个病毒把你电脑里的大量文件加密锁起来了,你没法使用,按照黑客作者的说法,只有他们(注意中英文都是复数,而且鉴于这中文相当地道,不知同伙里是不是……)才能解密,如果你想要回那些文件的话,需要打钱给他们,而且他们只接受比特币。这个病毒自带28种语言,下面这个是中文版的(借科技美学的图)Windows XP SP2 64位:http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=a679cafc-d8da-4c2a-9709-17a6e6a93f4fWindows XP SP3 32位:
其实小磕注意到这个病毒肆虐已经有几天了。不过呢,因为不修电脑好多年(江湖上也没有我的传说了吧,沧海桑田……开玩笑),所以也没打算要写,今天原计划是接着前面的写写可能对股市的影响的。
不过上午远程指导我妈装补丁,才发现太多人还没有意识到威胁临近,在处理应对上也缺乏指导。想着能多一个人早一点了解,就能多避免一些损失,甚至能救命也未可知(有这么严重?后面你就知道了),所以写了这篇,希望能帮助尽可能多的人。
关于这个病毒的事很多,每个方面单独拿出来都能写篇文章,但是那就太晚了,小磕会尽可能简洁。事实上很多细节一般人也理解不了。
好了,first thing first,如果你电脑上运行的是Windows系统,且还没有采取过措施,请先按照下面的地址,到微软的官网去下载补丁安装(以下仅列出主流系统版本,如果你能安装非主流系统,相信找补丁不是问题):
Windows XP SP2 64位:
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=a679cafc-d8da-4c2a-9709-17a6e6a93f4f
Windows XP SP3 32位:
这个病毒自带28种语言,下面这个是中文版的(借科技美学的图)
简单归纳,就是这个病毒把你电脑里的大量文件加密锁起来了,你没法使用,按照黑客作者的说法,只有他们(注意中英文都是复数,而且鉴于这中文相当地道,不知同伙里是不是……)才能解密,如果你想要回那些文件的话,需要打钱给他们,而且他们只接受比特币。
这就是这个病毒被成为勒索病毒或比特币病毒的由来。当然其实跟比特币没什么关系,不是比特币的错(比特币:反正我背锅不是一次两次了)。黑客选择只接受比特币付款,应该是因为他们依然抱着比特币匿名性强,用比特币就追查不到他们的误解。这个误解小磕在之前区块链系列最后分析过了(这里,感觉自己好英明……),其实比特币并没有那么高的保密性,而且根据大牛分析,黑客应该是比特币小白,没有用匿名性更高的HD地址。虽然加上了TOR(久负盛名的加密模式和网络,不过牵涉某墙,不解释),依然可以找到实际的比特币钱包地址。截至目前,已经有多个比特币钱包地址被锁定,只是黑客暂时还没提款,一旦有提款可能全世界就能知道他们的身份了。
其实病毒的官方名字就是左上角那个Wana Crypt0r(用0替换字母o是很多黑客的爱好),不过这名字太长且抽象,于是渐渐地有人开始用WannaCry称呼它,一来简洁,二来形象(想哭,话说前段时间蓝瘦香菇很红),这个名字很快就被大多数人使用了。另外也有人用这个病毒的文件名WCry来称呼它。
##病毒有多大危害
对于现代人而言,相比电脑本身,往往会觉得电脑里的数据更重要,相信你也同意。电脑本身现在也就几千元(当然土豪您用surface studio或者外星人甚至更高的请自行略过),但里面的数据,很多丢失了就再也找不回了,坏过数次硬盘的小磕真是说多了都是泪……有些数据可能对你有不可替代的纪念价值,有些可能对你的当下有不可替代的实用价值,比如这两天很多人哀嚎论文数据都锁了……
不过每次病毒或木马肆虐,受损失最大的往往不是个人,而是机构。
据中青在线报道,截至5月14日,中国国内有29372家机构组织的数十万台机器感染,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。从行业分布来看,教育科研机构成为最大的重灾区,其次是生活服务类机构,以及商业中心、交通运输(后面我们会解释这个分布的原因)。
小磕看到微信里有爆料浦东机场中招,信息登记只能靠手写,还有加油站没法加油之类的事情,连取款机也没放过。不过这毕竟不是最糟糕的。
全球的情况跟国内差不多,第一天就有近百个国家的超过10万家企业和公共组织中招,包括英国医疗系统(NHS)、联邦快递FedEx、俄罗斯内政部、俄罗斯电信公司Megafon、西班牙电信(其实是世界上最大的固定线路和移动电信公司之一,O2的母公司)等。
你可以想像,快递寄不出,电话打不通,而最严重的当属NHS,据报道,英国多家医院因此瘫痪,手术取消,病人被迫转院——可想而知这会给患者带来多大的痛苦,甚至很多生命可能就被错过了。
这就是小磕一开始说,尽早让更多人做好预防,也许可以救命的原因。
##这么厉害的病毒是怎么来的
目前病毒作者还没确定,网上众说纷纭。其中,因为2015年5月1日曾出现过一种名为“CTB-Locker”的病毒,同样通过远程加密用户电脑文件,向用户勒索赎金,而且同样要求使用比特币(是的,WannaCry并不是第一款比特币病毒),CTB的作者据称是俄罗斯著名黑客波格契夫(FBI 现任全球十大黑客通缉犯排行第二。这人经历有兴趣的可以了解一下,策略运用远比警匪片精彩),所以很多人怀疑这次也是他。不过其实也可能是有人故意仿冒。
不管如何,可以确定的是,今年4月14日,一个名为“影子中间人”的黑客组织曾进入美国国家安全局(NSA)网络,曝光了该局一批档案文件,同时公开了该局旗下的“方程式黑客组织”使用的部分网络武器。据报道,有的漏洞利用工具可以远程攻破全球约70%Windows系统。这次这个病毒,正是利用了其中一个叫Eternal Blue(永恒之蓝)的工具漏洞,对电脑进行的攻击——所以也有人把这病毒叫做永恒之蓝病毒,其实张冠李戴。这些工具甚至不需要用户进行操作,只要联网就可以远程攻击,和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。
(一定会有人想到阴谋论,这里我们不讨论)
小磕依然记得好多年前电脑中了冲击波病毒,眼睁睁看着电脑被强制关机前的读秒却毫无办法的绝望。智能手机受宠以来,电脑已经渐渐淡出大家的视野,而这一天,人们重新想起了,被病毒支配的恐怖。
##既然漏洞4月就已经曝光,为什么还会造成这么大危害
相信有读者会问,既然之前就知道Windows有这样的漏洞,微软怎么不做点什么?事实上,微软早就采取了措施,如果你一直紧跟微软的步伐,这次应当毫发无伤。
早在3月,微软就发布过安全公告,其中就包含了这个漏洞,并且发布了相应补丁,如果你用的是win10,根据win10强制更新的策略,你的电脑上个月初就已经打上了这个补丁,漏洞已经堵住了。
对于更早的系统,微软对每版的Windows都有维护周期,也就是这个版本的维护只到这一年,后面如果没有重大问题的话就不出新补丁了(这次就是重大问题出了新补丁)——这也没办法,从DOS 1.0开始微软家那么多版系统要是一直都维护成本太恐怖了。在每个版本系统结束维护周期前,微软一定会反复公告,提醒大家升级新版系统,不然一定要经常注意安全公告等等。
这时候估计有人会说,那我要是没升级到win10呢(注意win10是免费升级的),还不是微软的锅吗?很可惜,并不是。从Vista开始,Windows里就内置了一个安全工具——XP时是多次推荐安装——叫windows defender,如果你没有把它关掉或者禁止它更新的话,那么这次它也可以抵御这个病毒。
所以问题来了,既然如此,怎么还有这么多电脑中招呢?
其实大家想想自己的生活经验就知道。自己家用的电脑,太老旧肯定受不了;如果公司的员工大量使用电脑,完成的任务也不是特别简单的话,只要公司财力允许也会定期升级;可对于那些虽然要用电脑,但功能和性能要求都不高,能用就行的单位,电脑的更新就很不乐观了,也没有人上心,甚至有些机构会以稳定和兼容性为名(其实是为了以前开发的过时软件还能继续跑,不用花钱开发新的),要求用旧版系统,于是……现在你可以理解,为什么中招的电脑里,大部分是教育机构,生活服务类机构了吧?
而且国内还有一个很糟糕的情况是,早年从XP开始,所谓修改版Windows(其实就是盗版)泛滥,修改者可能没有信心,往往默认关闭了系统自动更新功能,免得被发现是盗版。后来,以某数字公司的管家为代表的各种管家兴起,它们在安装后,往往第一时间就关闭系统的更新补丁机制,用自己的所谓补丁机制替代,以实现对机器的控制(并做点什么)。久而久之,很多人都以为windows的系统更新不重要,看到有更新也不放在心上,甚至网上还有大量教怎么关闭的。
(这些管家们到了手机上依然这种尿性,iOS限制严动不了大手脚,Android就遭殃了,搞得乌烟瘴气,各种卡顿掉电,所以小磕这些年对国产安全软件的不信任越来越累积。)
##目前对病毒有什么应对措施
最好的当然是预防,方法见开头,打好补丁就行。虽然很多地方也教说关闭455端口(就是永恒之蓝利用的那个端口),但是一来操作复杂,二来病毒完全有可能换攻击别的端口,不治本,三来这个端口是文件共享用的,可能会带来不便。
当然,国内很多网络安全公司也出了对应工具,如果你特别想试试的话也请便。
如果你已经中招,那么请保持冷静,don't panic,听我说。
如果你遇到的是直接加密你文件的病毒版本,那么现在还没有能解密的办法(甚至15年的CTB-Locker至今也未解密),请等待全球各安全机构的努力。同时前面说了,黑客的蛛丝马迹已经找到,目前以FBI为代表的白道和觉得他们违反了黑客底线的黑客们都在通缉他们(大片既视感),也许能抓到凶手。
如果你遇到的是病毒的变种,有的是删掉了你的文件,有的是先加密你的文件然后再删掉原文件,那么恭喜你,只要你之后没有对硬盘进行过写入,不少数据还有救。赶紧在你的U盘或移动硬盘上装一个数据恢复软件,final data什么的都行,扫描硬盘,把能恢复的数据恢复到移动硬盘上去。
此前国内某网络安全公司声称已经能破解该病毒,然而未得到证实,是不是其实说的是后面一种,我们拭目以待。
还有就是千万别心中一急就买了比特币汇过去,且不说病毒作者们的信用如何,到目前为止打钱的有几例,都没有被解锁。事实上,由于比特币地址是匿名的,他们客观上也不知道汇钱的是谁,别提解锁了——小磕之前写区块链的文章还是很有用的吧……
##有报道说病毒被终止了?
事情是这样的,据BBC报道,一位年仅22岁的英国网络安全人员在分析病毒时发现了如下代码
简单来说,病毒感染了一台机器后会尝试连接一个奇怪的网址:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果连上了,病毒就不再有新的动作,如果连不上,病毒继续感染新的电脑。
这么奇怪的域名本来当然是没有人注册过的,也就是连不上。于是这个年轻人花了8英镑把这个域名注册了,发现真的暂停了病毒的传播。并且他通过发来尝试链接请求的地址,画出了该病毒在全球的实时感染地图(本来小磕想截图给大家看的,但刷新太慢了)。
这也许就是作者藏的一个病毒关闭机制被发现了。英雄出少年啊。
但是大家都清楚,病毒完全可能出现变种,把这个开关去掉。事实上,这样的变种似乎已经出现了。
此外,根据报道,如果有其他原因阻止了病毒连上这个网址,那么病毒会继续运作。其他原因有些啥呢?呵呵,懂得自然懂……
###总结教训
写了这么多啦,其实总结教训很简单。很多很多年前,小磕第一次U盘故障数据丢失的时候就写过,新的科技产品给我们带来了便利,感觉它们无所不能,但其实,它们是脆弱的,功能越多、越高精尖的产品越脆弱,我们不能过度依赖科技。
如今,我们对科技产品的依赖比当年更重了很多,十年前几天不用电脑并不难,但现在几天不用手机估计很多人要疯。也因此,一旦它们出问题,对我们的影响也更大。
如果你必须依靠它们的话,那么平时就要多维护,该升级升级,该补丁补丁,以及,多做备份,减少意外事件造成的损失。另外,尽可能不要让你的设备暴露在风险中,良好的用机习惯是避免被病毒木马侵扰的最有效手段。
对人来说也是一样。
由“蒋博的多棱镜”原创,如需转载,请登录新榜网站版权频道( http://cc.newrank.cn )
或者维权骑士
http://rightknights.com/pub/pub_author?greatAuthor=BAFFJ&type=0
