Osheep

时光不回头,当下最重要。

蠕虫来了,比特币走了

周末刚起就被一条蠕虫刷屏了:

《蠕虫来了,比特币走了》

顿时睡意全无,破天荒的起来修补漏洞,毕竟我的安全意识还是比较强的。

打开我的Mac才发现哪里有点儿不对。。。我靠。。。我用的是乔老爷子的系统。。。而漏洞是微软的。。。【科普:Mac使用的是OS系统,和Unix系统是近亲,使用了Unix的部分组件。】

本想补个回笼觉,可是想想还是起来研究一下这个问题。

首先,让我们先看看这条蠕虫的“妈妈”是谁,也就是它利用的是哪个漏洞,漏洞的名称是MS17-010,具体介绍如下:

《蠕虫来了,比特币走了》

其实这厮在3月14日就被微软公布并提出了修改措施,但是,漏洞真正被关注是在5月12日,可见黑客对0day漏洞的利用也是需要一定时间的。接下来微软又介绍了存在这种漏洞的平台,由于此漏洞利用的是微软的SMB(Server Message Block)协议,【科普:一种网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源】,而这种协议基本在微软系的所有操作系统中都存在,个人系统从vista到Win10;服务器从Windows2008到Windows2012(微软官方网站并未包含Windows2003)

看样子影响范围确实很广,那么,它是咋利用这个漏洞的呢?Windows中利用这个协议的主要方式是提供局域网中的共享服务,这种服务利用的端口是139端口。

那么,和445端口有神马关系呢?445端口也是一种TCP端口,该端口在windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。

因此,预防这条蠕虫的方式也很简单,关闭这种共享服务即可。

接下来让我们看看这条小虫子造成了多大的危害,下面这个图是全球受影响的现状:

《蠕虫来了,比特币走了》

根据BBC News的最新消息,这个在国内被大家简称为“比特币病毒”的恶意软件,目前攻陷的国家已经达到99个,超过57000个计算机系统,国内大量企业遭到感染。

事实上,如果大家注意到的话,各个高校是这条蠕虫的重灾区。为什么?因为学校里对SMB服务的需求是最大的,需要共享各类型的文件。所以,很多接入校园网的学生都中招了。那就很尴尬了,因为很多童鞋正写着论文就被要求交$300等值的比特币,本来就快到期末和毕业高峰期,这不是火上浇油么。。。

而且黑客那边职业素养也很高,提供了各个语言版本的威胁,并且用的非常溜。尤其是中文,什么“就算老天爷来了”,“我以人格担保”,“就要看您的运气怎么样了”,严重怀疑是不是“蓝翔人”。。。

《蠕虫来了,比特币走了》

接下来,我们来看看具体的预防方法,可以有两种,比较简单的是直接关闭445端口,只需要在防火墙规则中拒绝所有针对445端口的连接即可。

在“开始”菜单下输入cmd:

《蠕虫来了,比特币走了》

回车。在dos窗口下输入以下命令即可,我使用的测试机是Windows7

《蠕虫来了,比特币走了》

另外,Windows10下输入以下指令:

netsh advfirewall firewall addrule name=”DenyTCP” dir=in action=block localport=445 remoteip=anyprotocol=tcp > nul

netsh advfirewall firewall addrule name=”DenyUDP” dir=in action=block localport=445 remoteip=anyprotocol=udp > nul

当然这只是暂时的应急方法,治标不治本,漏洞还存在。我们还可以更新Windows最新的补丁,修补这个漏洞。我们可以采取手动更新或者安装更新包的方式,手动更新方式如下(以Windows7为例)。

点击“所有程序”,选择“控制面板”:

《蠕虫来了,比特币走了》

再选择“系统与安全”:

《蠕虫来了,比特币走了》

最后,选择“检查更新”,选择需要更新的补丁,更新即可:

《蠕虫来了,比特币走了》

注意的是,如果手动更新的话,补丁一定要到官方权威网站,防止补丁捆绑恶意软件。权威的地址如下:

win7 x64

md5:d745f8983f0433be76e0d08b76113563

sha1:6bb04d3971bb58ae4bac44219e7169812914df3f

下载地址:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

win7 x86

md5:883a7d1dc0075116789ea5ff5c204afc

sha1:2decefaa02e2058dcd965702509a992d8c4e92b3

下载地址:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

win10 x64 补丁下载地址:

http://download.windowsupdate.com/c/msdownload/update/softw

are/secu/2017/03/windows10.0-kb4012606-

x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

win10 x86 补丁下载地址:

http://download.windowsupdate.com/c/msdownload/update/softw

are/secu/2017/03/windows10.0-kb4012606-

x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

XP和win2003官方补丁地址:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

需要警惕的是,蠕虫有可能变异,不过,只要其利用的漏洞不变即MS17-010,并且系统已经修复了这个漏洞,那么就可以像金庸武侠那样“它强任他强,清风伏山岗”了。

最后,这条小虫虫交给我们很多“做人”的道理,最主要的就是需要反思:为什么补丁出来了我们没有及时修补?关键在于没有及时更新系统!但是微软童鞋自动更新系统确实是很恶心呀!

《蠕虫来了,比特币走了》

动辄时间就是十几分钟,新版的Windows10还会动不动来一句文言文:

《蠕虫来了,比特币走了》

所以很多朋友就选择自动关闭了。在此建议可以设置定时更新,可以设置为睡觉前,设置方法也很简单:

《蠕虫来了,比特币走了》

然后选择自己适合的时间:

《蠕虫来了,比特币走了》

其实,从这次攻击来看出现漏洞到蠕虫爆发已经超过一个月了,所以设置为一周一次也是可以预防的。

点赞