勒索蠕蟲病毒WannaCry出現新變種，傳播無法停止，應該如何防禦？

Xtecher【錯別字基金】溫馨提示：如果您在閱讀過程中發現錯別字，請在文章底部留下說明＋聯繫方式，我們會立刻發給您5-88元隨機紅包一個。

英國網友發現的神秘網址的確是有效地阻止了該病毒的更大範圍的傳播。但是，這僅僅阻止了病毒的傳播，已經被感染的電腦依然被攻擊，文件會被加密鎖死。Xtecher建議還沒有被感染的用戶趕緊用文中的方式打補丁。

作者｜趙心源

編輯｜陳光

微信公眾號ID｜Xtecher

5月14日，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出，有關部門監測發現，WannaCry勒索蠕蟲出現了變種，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

據Xtecher了解，WannaCry目前已經出現了幾十種變種，截止到昨日，海外的移動安全公司Trustlook已經收集到了51個樣本。

病毒是如何傳播的，應該如何修復？

而在最新的變種中，一個變種中，能讓病毒停止傳播的異常域名已經被改變；另外一個樣本中，停止傳播的功能已經被去掉。綠盟科技的安全專家向媒體表示，這兩個變種應該是基於原有病毒樣本修改而成的，不是基於源代碼編譯的。不排除有人同樣利用這種方式生成其他變種，以造成更大破壞。

無論是變種，都是基於「永恆之藍」這個漏洞傳播的，「永恆之藍」是指NSA泄露的危險漏洞「EternalBlue」。此前Xtecher曾發布過相關報道，在2016年8月，「Shadow Brokers」的黑客組織聲稱入侵了方程式黑客組織，並竊取了大量的機密文件，將部分文件公開到了互聯網上，被公開的文件包括不少地下黑客工具。今年4月14日，Shadow Brokers繼續公布NSA的絕密數據，包含多個Window 高危漏洞。

漏洞主要影響以下操作系統：Windows 2000，Windows 2003，Windows2008，Windows2012，Windows XP，Windows Vista，Windows7，Windows8，Windows10。病毒只攻擊Windows系統的電腦，手機等終端不會被攻擊。

因此給系統打補丁是必須的。難點在於，本次漏洞會通過內網進行傳播，在漏洞被修復之前進入互聯網環境非常危險。眾多安全公司都發布了解決方案，以綠盟的「WannaCry」勒索事件處置手冊為例，修復應遵循以下步驟，如圖：

Xtecher建議，對於個人用戶來說，應遵循以下幾點：

1.備份數據

2.關閉漏洞埠，安裝系統補丁，騰訊雲鼎實驗室給出了解決方案：

a) 可以採用一些免疫工具進行自動化的補丁安裝和埠屏蔽，比如電腦管家勒索病毒免疫工具

（下載地址：

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe）

b)手動關閉埠，下載安裝補丁，為確保補丁安裝，請一定要手工安裝補丁。

i. 補丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598、http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

ii. 利用防火牆添加規則屏蔽埠

Vista以上系統如果開啟了自動更新，就不需要使用任何免疫工具，更不需要手工關閉相關埠。

為什麼政府機關和大學是重災區？

火絨安全發布文章表示，根據「火絨威脅情報系統」的數據，互聯網個人用戶被感染的並不多。火絨安全發現，目前這個病毒通過共享埠傳播，除了攻擊內網IP以外，也會在公網進行攻擊。但是，只有直接暴露在公網且沒有安裝相應操作系統補丁的計算機才會受到影響，因此那些通過路由撥號的個人用戶，並不會直接通過公網被攻擊。如果企業網路也是通過總路由出口訪問公網的，那麼企業網路中的電腦也不會受到來自公網的直接攻擊，但並不排除病毒未來版本會出現更多傳播渠道。

很多校園網或其他網路存在一些直接連接公網的電腦，而內部網路又類似一個大區域網，因此一旦暴露在公網上的電腦被攻破，就會導致整個區域網存在被感染的風險。

已經被加密的用戶，還有辦法能解決嗎？

也就是說，如果沒有私鑰，解密的可能性可能幾乎為0。

病毒的製作者沒有承諾，在支付之後，提供給用戶解密的密鑰。火絨安全表示，這次的WannaCry病毒存在一個致命缺陷——病毒作者無法明確認定哪些受害者支付了贖金，因此很難給出相應的解密密鑰。

用戶可使用數據恢復軟體通過恢復被刪除的加密前的文件，能恢復部分文件，並提供了恢復工具。有公司經研究發現，「永恆之藍」勒索病毒的加密方式主要有兩種：

a.對於大於1.5MB（0x180000位元組）的文件，是按照正常文件總大小整除3，得到每個間隔塊大小M，將文件分為M、2M大小的兩個間隔塊，每個間隔塊的前512扇區被填0，被加密的512扇區都會被填0，並將加密的多個512扇區寫入到文件尾部。該類文件數據大多數沒有被加密，特別是資料庫之類的大文件。

b.對於小於1.5MB（0x180000位元組）的文件，其全部內容都進行了加密，但是在加密小文件時，會先加密，再刪除原文件。因此，如果計算機被加密，對於一些小文件，可以使用專業數據恢復軟體進行數據恢復。

但Xtecher認為，數據恢復只是存在可能性，這是由於硬碟的存儲機制決定的。

a.普通的機械硬碟可以恢復，是因為刪除文件只是刪除文件分配表中的文件的名稱，文件其實還在。如果沒有寫入其它數據，就可以挽回。

b.固態硬碟SSD有數據磨損平衡機制，會在空閑的時候，把數據自動挪來挪去，以平衡磨損。所以，刪掉文件，即使不再寫入，也會被自動寫入的其它數據覆蓋。機會不大。

日前，眾多安全專家接受了Xtecher的採訪，威客安全CEO陳新龍認為，日後通過加密進行勒索的方式會層出不窮，取消隱蔽支付與變現，是遏制這類事件發生的關鍵，安全防禦能力的自動化防禦將是趨勢。

這次事件喚起了個人和國家對網路安全的高度重視，希望大家提高自己的安全意識，及時打補丁，不要讓自己的電腦「裸奔」。

━━━━━

封面來源：網路 排版：陳光 校對：楊靜

━━━━━

Xtecher官網平台現開通認證作者，

（添加好友請註明公司、職位、事由）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！