1、 小白用戶如何防禦這個勒索病毒?
請廣大用戶無需過度擔心,安裝「火絨安全軟體」即可防禦這個勒索病毒,以及新出現的變種。同時,請給作業系統升級、安裝補丁程序(詳情見下文)。
5月13日周六中午,「火絨安全軟體」就已經完成緊急升級,通過火絨官網下載軟體,升級到最新版本即可防禦、查殺該病毒。
火絨團隊正在日夜值守,持續跟蹤新的病毒變種,一旦遇到新變種會隨時升級產品。火絨產品默認自動升級,請廣大用戶放心使用,無需做任何設置。
內網用戶請通過外網下載火絨產品升級到最新版本,然後覆蓋安裝內網電腦即可。
2、 哪些用戶容易被感染,為什麼政府機關和大學是重災區?
我們發現,目前這個病毒通過共享埠傳播,除了攻擊內網地址以外,也會在公網進行攻擊。但是,只有直接暴露在公網且沒有安裝相應作業系統補丁的計算機才會受到影響,因此那些通過路由撥號的個人用戶,並不會直接通過公網被攻擊。如果企業網絡也是通過總路由出口訪問公網的,那麼企業網絡中的電腦也不會受到來自公網的直接攻擊,但並不排除病毒未來版本會出現更多傳播渠道。
很多校園網或其他網絡存在一些直接連接公網的電腦,而內部網絡又類似一個大區域網,因此一旦暴露在公網上的電腦被攻破,就會導致整個區域網存在被感染的風險。
根據「火絨威脅情報系統」的數據,網際網路個人用戶被感染的並不多。
3、 已經被感染用戶,能否恢復被加密鎖死的文件?
結論:這非常難,幾乎不可能,即使支付贖金,也未必能得到解密密鑰。
A、 相比以往的勒索病毒,這次的WannaCry病毒存在一個致命缺陷——病毒作者無法明確認定哪些受害者支付了贖金,因此很難給出相應的解密密鑰(密鑰是對應每一台電腦的,沒有通用密鑰)。
請不要輕易支付贖金(比特幣),如上所述,即使支付了贖金,病毒作者也無法區分到底誰支付贖金並給出相應密鑰。
B、 網上流傳一些「解密方法」,甚至有人說病毒作者良心發現,已經公布了解密密鑰,這些都是謠言。這個勒索病毒和以往的絕大多數勒索病毒一樣,是無法解密的,請不要相信任何可以解密的謊言,防止上當受騙。
C、 某些安全公司也發布了解密工具,其實是「文件修復工具」,可以有限恢復一些被刪除的文件,但是依然無法解密被鎖死的文件。
4、這個勒索病毒會攻擊哪些系統?
答:這次病毒爆發影響確實非常大,為近年來所罕見。該病毒利用NSA「永恆之藍」這個嚴重漏洞傳播,幾乎所有的Windows系統如果沒有打補丁,都會被攻擊。
微軟在今年 3 月發布了 MS17-010 安全更新,以下系統如果開啟了自動更新或安裝了對應的更新補丁,可以抵禦該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。
最安全的是Windows 10 的用戶,該系統是是默認開啟自動更新且無法關閉的,所以不會受該病毒影響。
另外:由於此次事件影響巨大,微軟破天荒的再次為已經不在維護期的Windows XP、Windows 8和 Windows Server 2003 提供了緊急安全補丁更新。
5、除了Windows系統的電腦外,手機、Pad、Mac等終端是否會被攻擊?
答:不會的,病毒只攻擊Windows系統的電腦,手機等終端不會被攻擊,包括Unix、Linux、Android等系統都不會受影響。
請大家不要驚慌,不要聽信謠言。例如下圖,明顯是假的,是造謠者PS的。
6、被這個勒索病毒感染後的症狀是什麼?
答:中毒後最明顯的症狀就是電腦桌面背景被修改,許多文件被加密鎖死,病毒彈出提示。
被病毒加密鎖死的文件包括以下後綴名:
.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;
7、「永恆之藍」和「勒索病毒」是什麼關係?
答:「永恆之藍」是指NSA泄露的危險漏洞「EternalBlue」,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過「永恆之藍」這個漏洞傳播,因此給系統打補丁是必須的。
8、聽說一個英國小哥的意外之舉,阻止了近日席捲全球網絡的比特幣勒索病毒攻擊事件的繼續蔓延,拯救了全世界,是不是真的?
答:勒索病毒WannaCry的病毒體中包含了一段代碼,內容是病毒會自動聯網檢測,如果可以訪問,則不再繼續傳播。這就是該病毒的「神奇開關」。
國外安全研究人員(英國小哥)發現這段代碼後立刻註冊了這個網址,的確是有效地阻止了該病毒的更大範圍的傳播。但是,這僅僅阻止了病毒的傳播,已經被感染的電腦依然被攻擊,文件會被加密鎖死。
另外,病毒體中的這段代碼沒有被加密處理,任何一個新的病毒製造者都可以修改、刪除這段代碼,因此未來可能出現「神奇開關」被刪除了的新變種病毒。
9、如果使用正版作業系統,並開啟了自動更新,那還是否需要使用網上的免疫工具? 答:Vista以上系統如果開啟了自動更新,就不需要使用任何免疫工具,更不需要手工關閉相關埠。Winxp、Win2003和Win8這3個系統如果打了微軟緊急提供的補丁,也無需再用免疫工具,以及手動關閉埠。
請廣大用戶無需過度擔心,安裝「火絨安全軟體」即可防禦這個勒索病毒,以及新出現的變種。同時,請給作業系統升級、安裝補丁程序(詳情見下文)。
5月13日周六中午,「火絨安全軟體」就已經完成緊急升級,通過火絨官網下載軟體,升級到最新版本即可防禦、查殺該病毒。
火絨團隊正在日夜值守,持續跟蹤新的病毒變種,一旦遇到新變種會隨時升級產品。火絨產品默認自動升級,請廣大用戶放心使用,無需做任何設置。
內網用戶請通過外網下載火絨產品升級到最新版本,然後覆蓋安裝內網電腦即可。
2、 哪些用戶容易被感染,為什麼政府機關和大學是重災區?
我們發現,目前這個病毒通過共享埠傳播,除了攻擊內網地址以外,也會在公網進行攻擊。但是,只有直接暴露在公網且沒有安裝相應作業系統補丁的計算機才會受到影響,因此那些通過路由撥號的個人用戶,並不會直接通過公網被攻擊。如果企業網絡也是通過總路由出口訪問公網的,那麼企業網絡中的電腦也不會受到來自公網的直接攻擊,但並不排除病毒未來版本會出現更多傳播渠道。
很多校園網或其他網絡存在一些直接連接公網的電腦,而內部網絡又類似一個大區域網,因此一旦暴露在公網上的電腦被攻破,就會導致整個區域網存在被感染的風險。
根據「火絨威脅情報系統」的數據,網際網路個人用戶被感染的並不多。
3、 已經被感染用戶,能否恢復被加密鎖死的文件?
結論:這非常難,幾乎不可能,即使支付贖金,也未必能得到解密密鑰。
A、 相比以往的勒索病毒,這次的WannaCry病毒存在一個致命缺陷——病毒作者無法明確認定哪些受害者支付了贖金,因此很難給出相應的解密密鑰(密鑰是對應每一台電腦的,沒有通用密鑰)。
請不要輕易支付贖金(比特幣),如上所述,即使支付了贖金,病毒作者也無法區分到底誰支付贖金並給出相應密鑰。
B、 網上流傳一些「解密方法」,甚至有人說病毒作者良心發現,已經公布了解密密鑰,這些都是謠言。這個勒索病毒和以往的絕大多數勒索病毒一樣,是無法解密的,請不要相信任何可以解密的謊言,防止上當受騙。
C、 某些安全公司也發布了解密工具,其實是「文件修復工具」,可以有限恢復一些被刪除的文件,但是依然無法解密被鎖死的文件。
4、這個勒索病毒會攻擊哪些系統?
答:這次病毒爆發影響確實非常大,為近年來所罕見。該病毒利用NSA「永恆之藍」這個嚴重漏洞傳播,幾乎所有的Windows系統如果沒有打補丁,都會被攻擊。
微軟在今年 3 月發布了 MS17-010 安全更新,以下系統如果開啟了自動更新或安裝了對應的更新補丁,可以抵禦該病毒——Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。
最安全的是Windows 10 的用戶,該系統是是默認開啟自動更新且無法關閉的,所以不會受該病毒影響。
另外:由於此次事件影響巨大,微軟破天荒的再次為已經不在維護期的Windows XP、Windows 8和 Windows Server 2003 提供了緊急安全補丁更新。
5、除了Windows系統的電腦外,手機、Pad、Mac等終端是否會被攻擊?
答:不會的,病毒只攻擊Windows系統的電腦,手機等終端不會被攻擊,包括Unix、Linux、Android等系統都不會受影響。
請大家不要驚慌,不要聽信謠言。例如下圖,明顯是假的,是造謠者PS的。
6、被這個勒索病毒感染後的症狀是什麼?
答:中毒後最明顯的症狀就是電腦桌面背景被修改,許多文件被加密鎖死,病毒彈出提示。
被病毒加密鎖死的文件包括以下後綴名:
.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;
7、「永恆之藍」和「勒索病毒」是什麼關係?
答:「永恆之藍」是指NSA泄露的危險漏洞「EternalBlue」,此次的勒索病毒WannaCry是利用該漏洞進行傳播的,當然還可能有其他病毒也通過「永恆之藍」這個漏洞傳播,因此給系統打補丁是必須的。
8、聽說一個英國小哥的意外之舉,阻止了近日席捲全球網絡的比特幣勒索病毒攻擊事件的繼續蔓延,拯救了全世界,是不是真的?
答:勒索病毒WannaCry的病毒體中包含了一段代碼,內容是病毒會自動聯網檢測,如果可以訪問,則不再繼續傳播。這就是該病毒的「神奇開關」。
國外安全研究人員(英國小哥)發現這段代碼後立刻註冊了這個網址,的確是有效地阻止了該病毒的更大範圍的傳播。但是,這僅僅阻止了病毒的傳播,已經被感染的電腦依然被攻擊,文件會被加密鎖死。
另外,病毒體中的這段代碼沒有被加密處理,任何一個新的病毒製造者都可以修改、刪除這段代碼,因此未來可能出現「神奇開關」被刪除了的新變種病毒。
9、如果使用正版作業系統,並開啟了自動更新,那還是否需要使用網上的免疫工具? 答:Vista以上系統如果開啟了自動更新,就不需要使用任何免疫工具,更不需要手工關閉相關埠。Winxp、Win2003和Win8這3個系統如果打了微軟緊急提供的補丁,也無需再用免疫工具,以及手動關閉埠。
收藏