最近,一种名为 WannaCry(想哭)的勒索蠕虫软件席卷全球,截止我发表这篇文章前,据 NHK 援引华德豪斯(又译白宫)高官的话说,这类蠕虫已经席卷全球,超过 150 多个国家的 30 万台电脑感染了这类蠕虫。此前,我认为“永恒之蓝”并不能造成严重问题,结果却匪夷所思地发生了差不多跟核爆一样严重的灾害,这让我得到了一些启示。
从技术角度来看,WannaCry 利用了微软操作系统的 SMB 远程代码执行漏洞来植入到主机系统当中,由于 SMB 运行于本地系统(LocalSystem)权限,因此,当 SMB 被 WannaCry 攻陷后,WannaCry 就可获得等同于 SMB 的 LocalSystem 权限,这样,WannaCry 即可为所欲为。由于 SMB 属于系统默认启动的基本服务,因此,一旦被攻击,后果会极其严重。
这次蠕虫攻击事件,最让我匪夷所思的问题是,大多数受感染的电脑都运行 Windows 7 操作系统,而 Windows XP 却比较少见,在今年三月火曜补丁日时,微软就已经发布了编号为 MS17-010 的安全公告,以及配套的安全更新程序,我认为,大多数使用者都如我一样安装了该更新。导致用户不安装更新的最大可能原因是,用户们使用的都是盗版操作系统,由于听信一些误导性宣传,关闭了自动更新。不过,企业及政府部门中的感染现象就难以理解了。
就这次攻击事件而言,给我的启示有以下这些:
1. 软件都是由人开发的,像是操作系统这样的大型软件,其中存在各种各样的漏洞也在所难免,而为了节约成本,像是 Windows 这样的大型软件会重用很多年前编写的代码,这些代码很可能是有漏洞的,由于它们被长时间重用,跨越的 Windows 版本有时候也很多,所以一旦漏洞被骇客利用,后果会非常严重,就像这次的 WannaCry 一样。所以,请不要听信那些要求关闭自动更新的说法,应该让 Windows Update 服务始终处于开启状态,也不要使用第三方的补丁管理程序,有一些补丁管理程序会因为某些原因跳过一些重要的更新程序。
2. 蠕虫都是通过网络进行传播,强烈不建议关闭 Windows 防火墙。并且,如果使用无线网,请记得在弹出的“网络位置”对话框点选“公用网络”,或者在“网络发现”对话框,点击“否”。
3. 电脑里应该具有一款杀毒软件,例如 Windows 10 和 Windows Server 2016 系统里的 Windows Defender。
4. 请不要关闭主机系统的安全开机(Secure Boot)功能,它有助于防止引导文件被篡改,一些 Rootkit 类病毒经常利用篡改引导文件的方法达成载入底层驱动隐藏自身的目的,开启 Secure Boot 功能后,就不能随便更改开机选项,例如自动进入调试模式,在此模式下,系统可以加载未经微软签名的驱动程序。不幸的是,Secure Boot 仅支持 Windows 8 以上的 64 位操作系统,并且只有新生产的,支持 UEFI 的电脑才有这样的功能。
5. 请记得将您的重要文件备份到离线的存储设备,当遭受攻击时,不至于蒙受巨大的损失。
6. 对于已经染毒的朋友,我认为,缴纳赎金赎回文件,在中国是不可行的,因为中国无法正常连接 Tor,因此,很难与攻击者联系来缴纳赎金。相对可行的方法是创建受攻击磁盘分区的镜像,应该使用基于扇区备份的方法来创建镜像,然后,恢复到没有问题的硬盘,通过数据恢复软件或许可以找到一些数据,但是随着时间推移,这样做的成功率并不会太高。此外,有报道指,该勒索软件有免费解密某些文件的功能,您或许可以尝试。
7. 对于那些在校学生,和其他受影响的朋友,请不要立即删除被加密的文件,因为这些文件有被成功解密的希望。
将来,此类勒索的现象会越来越猖獗,越来越智能,也越来越难以预防,因为实施勒索的成本相对于收获的“回报”而言比较低,而且找出真凶较有难度,因为攻击者躲在暗网,并且使用比特币进行交易,有了这些保护伞以后,被抓的概率会非常低。