我看WannaCry病毒在CERNET爆发

5月12日真是一个悲伤的日子,9年前的今天发生了一场震惊全国的地震,而今天的5月12日教育网的一场攻击也将这天给记录下来。

其实这款病毒的原理非常简单,将设备上文件通过特定的加密方式(暂时未知)进行加密,然后弹出比特币勒索界面要求支付比特币后解锁。通过扫描本地局域网中机器,对开放445端口的设备利用Windows的漏洞直接攻击。

具体的应对方案网上早已铺天盖地,更新修复Windows漏洞、关闭smbv1服务或通过防火墙策略关闭445端口,卡巴斯基实验室等也在加紧研究其加密方式和解密方式。

先提一句——千万不要打款,即使你有钱!比特币的交易是一种完全匿名的方式,其交易信息不可追溯,黑客以此隐藏身份,同样也无法获知你是你,身份的验证是一件十分困难的事情。其次,你的资金被用来进行病毒的下一步发展,所以你可能就是下一代病毒的出资人,虽然你并不情愿。还有,据知友反应,有受害者表示即使支付了比特币也没有恢复资料。

还有一点,我认为学校里不建议甚至不允许SOHO路由器的存在完全是助长了病毒的传播。SOHO路由器本质就是一个NAT设备,经历了NAT从公网到私有网络的映射,你的设备处于一种相对安全的地步,如果不是你主动获取(或许你并不知情,指的是被钓鱼的情况),你的内网不会受到学校局域网的影响,同样你的内网内一旦有病毒也不会影响到整个学校的局域网。

5.14更新:其实如果校园无线网开启AP隔离也能一定程度上避免这类悲剧。

侧面也反映出了一个问题,中国的CERNET在网设备究竟是多么不安全!有多少设备仍旧在运行着旧版的Windows系统,里面又有多少操作系统是微软停止支持的,有多少即使微软支持但是仍旧放弃Windows Update。毕竟CERNET和运营商网络的还是有一定差异的,自然对CERNET用户更加信任自然会有更少的策略,但是,这种信任,终究成了一种悲伤的存在。

再者说,WannaCry开了一个很糟糕的头,接下来NSA泄露的漏洞又会有多少被利用开发出新的病毒,很难想象接下来会发生什么,恐怖!

我看WannaCry病毒在CERNET爆发

看看感染追踪图(https://intel.malwaretech.com/botnet/wcrypt),满目悲伤。

附。清华大学信息化技术中心4月15号的通知,这大概就是所谓的未雨绸缪,也不愧于中国工科类排名第一的高校的名声。

我看WannaCry病毒在CERNET爆发

分享