关于 2017-05-12 勒索病毒爆发的几点马后炮
James Swineson
已而!已而!
学校和宽带运营商不让你用路由器,是在害你
这次病毒使用直接攻击 SMBv1 端口的方式进行传播,因此,如果跟你在同一层网络的电脑中了病毒,你很可能也无法幸免。而如果每个人都在路由器的 NAT 保护之下,隔了一层内网,中招的可能性就会大大降低[1]。
所以中招的学生有很大一部分认为病毒是闪讯[2]的问题,因为统计数据表明中病毒的多为闪讯用户——其实真正原因在于闪讯不允许使用路由器,电脑的端口直接暴露在公共网络上。虽然闪讯本身就有非常严重的安全性问题,但是这次病毒爆发只是它间接导致[3]的。
学校应当为每个学生提供正版的 Windows 以及专业软件
少搞点幺蛾子活动,订一个 Microsoft Imagine 很难吗?然后你校学生就有了全套微软正版软件可以免费下载了。让学生用盗版软件做学术研究的学校是极其不负责任的学校。
同样,因为很多学校使用老旧的盗版专业软件,没有办法在新版操作系统上正确运行,导致同学们必须使用老旧甚至已经停止维护的操作系统,导致中招。这个事情学校难逃其咎。
没事不要把 U 盘到处乱插
插到公共电脑上过的 U 盘拿回来先杀毒(甚至不要直接插到 Windows 系统里面,用别的系统打开杀毒)。对于打印店这种地方,我的建议是买一个全尺寸 SD 卡(不是手机存储卡,那个一般是 MicroSD)和一个支持只读锁的 SD 卡读卡器(不是所有读卡器都支持的),去打印店之前把它设置成只读。
没有备份的文件就不是重要文件
最基础的,买块移动硬盘(大点儿)专门用来备份,打开 Windows 文件历史记录,每天插上去一次备份然后拔下来。或者用一个带有还原历史版本功能的网盘来上传你的重要文件。(别选那种会动不动把你文件删了或者改成别的东西的网盘,它们如果删改过你的小电影,也就有可能删改你的毕业论文,文件和文件并没有任何本质区别。有可能的话尽量找一个收费服务。)
人类总是健忘的
等这件事过去,大多数人该干啥还是会干啥。UAC 看都不看直接点确定,下载个软件有返现啊就随便下载了还把身份证号银行卡号都填进去,Android 调试模式随意地开着然后在街上插免费的手机充电桩,盗版软件用就用了怎么了反正八国联军的时候都交过钱了。
你们正在杀死未来的自己。
==========
注:
- 并不是说路由器具有任何形式的安全功能,但是对于绝大多数民用网络而言,路由器的防火墙默认规则的确提供了针对这次病毒传播方式的强有力的保护。
闪讯:浙江电信针对校园宽带推出的上网验证客户端,学生使用其宽带账号和手机验证码登录闪讯,闪讯将身份验证数据经过变换后生成标准 PPPoE 协议的用户名和密码并自动完成拨号过程。
但是闪讯客户端做了很多和病毒无异的事情,包括但不限于:- 弹出无法禁止的广告,包括右下角提示和桌面窗口的广告网页;
- 所访问的网络资源没有任何验证措施,可以任意中间人攻击;
- 破坏 Windows 网络栈,植入非必需的内核驱动(其 macOS 版本也会植入内核驱动);
- 破坏 WinPcap 驱动程序(会安装一个自制的假的),导致大量专业软件无法正常使用;
- 破坏 Windows USB 协议栈,导致 iTunes 等软件无法正常使用;
- 破坏几乎所有共享 Wi-Fi 软件;
- 曾经在软件更新中附带病毒;
- 无法完全卸载;
- 由于服务器漏洞导致浙江高校所有闪讯用户的手机号、宽带账号、身份信息泄露。
- 弹出无法禁止的广告,包括右下角提示和桌面窗口的广告网页;
关于运营商是否应当主动封锁特定端口来阻止病毒传播,我的观点:这种说法是不合理的