我看WannaCry病毒在CERNET爆发
5月12日真是一个悲伤的日子,9年前的今天发生了一场震惊全国的地震,而今天的5月12日教育网的一场攻击也将这天给记录下来。
其实这款病毒的原理非常简单,将设备上文件通过特定的加密方式(暂时未知)进行加密,然后弹出比特币勒索界面要求支付比特币后解锁。通过扫描本地局域网中机器,对开放445端口的设备利用Windows的漏洞直接攻击。
具体的应对方案网上早已铺天盖地,更新修复Windows漏洞、关闭smbv1服务或通过防火墙策略关闭445端口,卡巴斯基实验室等也在加紧研究其加密方式和解密方式。
先提一句——千万不要打款,即使你有钱!比特币的交易是一种完全匿名的方式,其交易信息不可追溯,黑客以此隐藏身份,同样也无法获知你是你,身份的验证是一件十分困难的事情。其次,你的资金被用来进行病毒的下一步发展,所以你可能就是下一代病毒的出资人,虽然你并不情愿。还有,据知友反应,有受害者表示即使支付了比特币也没有恢复资料。
还有一点,我认为学校里不建议甚至不允许SOHO路由器的存在完全是助长了病毒的传播。SOHO路由器本质就是一个NAT设备,经历了NAT从公网到私有网络的映射,你的设备处于一种相对安全的地步,如果不是你主动获取(或许你并不知情,指的是被钓鱼的情况),你的内网不会受到学校局域网的影响,同样你的内网内一旦有病毒也不会影响到整个学校的局域网。
侧面也反映出了一个问题,中国的CERNET在网设备究竟是多么不安全!有多少设备仍旧在运行着旧版的Windows系统,里面又有多少操作系统是微软停止支持的,有多少即使微软支持但是仍旧放弃Windows Update。毕竟CERNET和运营商网络的还是有一定差异的,自然对CERNET用户更加信任自然会有更少的策略,但是,这种信任,终究成了一种悲伤的存在。
再者说,WannaCry开了一个很糟糕的头,接下来NSA泄露的漏洞又会有多少被利用开发出新的病毒,很难想象接下来会发生什么,恐怖!
看看感染追踪图(https://intel.malwaretech.com/botnet/wcrypt),满目悲伤。
附。清华大学信息化技术中心4月15号的通知,这大概就是所谓的未雨绸缪,也不愧于中国工科类排名第一的高校的名声。
其实这款病毒的原理非常简单,将设备上文件通过特定的加密方式(暂时未知)进行加密,然后弹出比特币勒索界面要求支付比特币后解锁。通过扫描本地局域网中机器,对开放445端口的设备利用Windows的漏洞直接攻击。
具体的应对方案网上早已铺天盖地,更新修复Windows漏洞、关闭smbv1服务或通过防火墙策略关闭445端口,卡巴斯基实验室等也在加紧研究其加密方式和解密方式。
先提一句——千万不要打款,即使你有钱!比特币的交易是一种完全匿名的方式,其交易信息不可追溯,黑客以此隐藏身份,同样也无法获知你是你,身份的验证是一件十分困难的事情。其次,你的资金被用来进行病毒的下一步发展,所以你可能就是下一代病毒的出资人,虽然你并不情愿。还有,据知友反应,有受害者表示即使支付了比特币也没有恢复资料。
还有一点,我认为学校里不建议甚至不允许SOHO路由器的存在完全是助长了病毒的传播。SOHO路由器本质就是一个NAT设备,经历了NAT从公网到私有网络的映射,你的设备处于一种相对安全的地步,如果不是你主动获取(或许你并不知情,指的是被钓鱼的情况),你的内网不会受到学校局域网的影响,同样你的内网内一旦有病毒也不会影响到整个学校的局域网。
5.14更新:其实如果校园无线网开启AP隔离也能一定程度上避免这类悲剧。侧面也反映出了一个问题,中国的CERNET在网设备究竟是多么不安全!有多少设备仍旧在运行着旧版的Windows系统,里面又有多少操作系统是微软停止支持的,有多少即使微软支持但是仍旧放弃Windows Update。毕竟CERNET和运营商网络的还是有一定差异的,自然对CERNET用户更加信任自然会有更少的策略,但是,这种信任,终究成了一种悲伤的存在。
再者说,WannaCry开了一个很糟糕的头,接下来NSA泄露的漏洞又会有多少被利用开发出新的病毒,很难想象接下来会发生什么,恐怖!
看看感染追踪图(https://intel.malwaretech.com/botnet/wcrypt),满目悲伤。
附。清华大学信息化技术中心4月15号的通知,这大概就是所谓的未雨绸缪,也不愧于中国工科类排名第一的高校的名声。
没有评论:
感谢每一条善意的建言和理性的讨论!
特殊时期开启审核制度敬请谅解。
挑衅和引战会被删除并永久拉黑。