V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zjqzxc
V2EX  ›  信息安全

可能要出大问题了:校园网比特币病毒勒索事件

  •  1
     
  •   zjqzxc · 2017-05-12 23:34:59 +08:00 · 17572 次点击
    这是一个创建于 2753 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://bbs.hupu.com/19191136.html

    如果确实是通过 eternalblue 进行攻击的,考虑到国内大量没有升级 win10 且不开自动更新的用户,感觉要出大事儿
    NSA 把微软给坑惨了
    127 条回复    2017-05-13 23:37:18 +08:00
    1  2  
    springmarker
        1
    springmarker  
       2017-05-12 23:38:26 +08:00 via Android   ❤️ 1
    感觉国家要管比特币了
    rssf
        2
    rssf  
       2017-05-12 23:39:45 +08:00 via iPhone
    全公司刚推送 1703 完毕
    zjqzxc
        3
    zjqzxc  
    OP
       2017-05-12 23:43:04 +08:00
    本来 nsa 在 windows 留后门这事儿,程序员之外的群体都没几个关注的。
    如果影响面进一步扩大,感觉未来几个月 macbook 要卖脱销的节奏
    jsq2627
        4
    jsq2627  
       2017-05-12 23:48:42 +08:00 via iPhone   ❤️ 4
    尽管这是 nsa 掌握的 0day 漏洞,但无端猜测说这是微软开放给 nsa 的后门就不负责任了吧
    mengyaoss77
        5
    mengyaoss77  
       2017-05-12 23:48:45 +08:00 via Android
    可怕
    Weny
        6
    Weny  
       2017-05-12 23:50:23 +08:00 via iPhone   ❤️ 1
    简单的搜了一下、早 2 月 23 号就有爆出比特币勒索新闻。据称运营商面向个人用户的网络都关闭 445 端口... 这次校园网应该是属于后知后觉的了
    zjqzxc
        7
    zjqzxc  
    OP
       2017-05-12 23:50:58 +08:00
    @jsq2627 之前的报道说是 nsa 的机密文档被人公开了爆出的这个漏洞;微软很快就表示已经修复
    qk3z
        8
    qk3z  
       2017-05-12 23:57:02 +08:00 via Android
    之前不是都爆过了,学校还没修复么?
    LuckCode
        9
    LuckCode  
       2017-05-12 23:57:09 +08:00 via iPhone
    占个坑,明光村目前一切平安
    zjqzxc
        11
    zjqzxc  
    OP
       2017-05-12 23:57:30 +08:00
    @Weny 刚才试了一下,的确 445 被封了
    h4x3rotab
        12
    h4x3rotab  
       2017-05-13 00:23:06 +08:00
    @yexm0 可以删掉病毒,但是没备份的资料就丢了
    kwlokip
        13
    kwlokip  
       2017-05-13 00:25:06 +08:00 via Android
    看来 win10 份额又要涨了
    Weny
        14
    Weny  
       2017-05-13 00:26:16 +08:00 via iPhone
    @h4x3rotab windows 的备份难倒没有开启吗?
    yexm0
        15
    yexm0  
       2017-05-13 00:31:07 +08:00 via iPhone
    @h4x3rotab 是啊,没啥办法。
    不过要删除也是麻烦,国外的要钱,国内的目前没听说有能干掉这个病毒的
    iAcn
        16
    iAcn  
       2017-05-13 00:32:49 +08:00 via Android
    不知直接在内网的出口路由上封掉 445 端口行不?
    yexm0
        17
    yexm0  
       2017-05-13 01:03:42 +08:00
    wuyukai
        18
    wuyukai  
       2017-05-13 01:18:10 +08:00 via Android
    @yexm0 这次是.wncry,这是我目前搜到的相近的解决方案,未测试 http://sensorstechforum.com/wncry-file-virus-remove-restore-files/
    yexm0
        19
    yexm0  
       2017-05-13 01:24:39 +08:00
    @wuyukai 😂最简单办法,挂从盘用文件恢复程序去扫,能恢复多少是多少.
    fashioncj
        20
    fashioncj  
       2017-05-13 01:31:28 +08:00 via iPhone   ❤️ 4
    我们团队已经在我们学校内大力宣传打补丁了。也在校园网出入口封了端口了。但是内网还是有很多中毒机器存在。尽力了。看到很多大四研三的论文被加密也是很心疼。打补丁真的很重要。
    yxjxx
        21
    yxjxx  
       2017-05-13 01:59:18 +08:00   ❤️ 1


    备份啊喂,少侠! #网盘我只用 Dropbox #一个机会 https://db.tt/f9xI5CDz
    EIlenZe
        22
    EIlenZe  
       2017-05-13 02:44:19 +08:00 via iPhone
    好想知道这事儿会怎么结尾。
    lomun
        23
    lomun  
       2017-05-13 02:54:14 +08:00
    目测全世界会进一步管制比特币吧,然后暴跌开始,或者暴升也有可能.....
    mason961125
        24
    mason961125  
       2017-05-13 02:54:49 +08:00   ❤️ 1
    总结一下:用户不开自动更新,微软背锅。
    TF
        25
    TF  
       2017-05-13 02:58:13 +08:00
    年度大事
    Syaoran
        26
    Syaoran  
       2017-05-13 03:02:18 +08:00 via Android
    win10 为啥没问题?
    yexm0
        27
    yexm0  
       2017-05-13 03:15:07 +08:00 via iPhone
    @Syaoran 因为修复补丁在 3 月份就出了,而那个烂 win10 的自动更新又关不掉。所以系统在你没察觉到之前就就把漏洞给修复了。https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    mason961125
        28
    mason961125  
       2017-05-13 03:24:03 +08:00
    @Syaoran 你没关自动更新,所以帮你修复了。惨的是那些 WIndows 10 一下的关了自动更新的。
    Showfom
        29
    Showfom  
       2017-05-13 03:26:26 +08:00 via iPhone   ❤️ 1
    所以为什么他们不备份?要是硬盘被物理损坏不也同样结果
    mason961125
        30
    mason961125  
       2017-05-13 03:34:52 +08:00
    @Showfom 讲道理,中国用 Windows 的用户有几个有备份的习惯?
    xujinkai
        31
    xujinkai  
       2017-05-13 03:39:44 +08:00
    OneDrive 没有文件版本历史,一旦出了问题本地和云一起完蛋,我开始思考如何避免这种情况发生。。。
    RqPS6rhmP3Nyn3Tm
        32
    RqPS6rhmP3Nyn3Tm  
       2017-05-13 04:17:46 +08:00 via iPhone
    @mason961125 你这一句话开了两个覆盖极广的地图炮
    Xs0ul
        33
    Xs0ul  
       2017-05-13 04:20:25 +08:00 via Android
    微博看到有英国的医院也中招了
    geelaw
        34
    geelaw  
       2017-05-13 04:22:33 +08:00
    @yxjxx #21 但是 Dropbox 本地修改之后不会自动同步上去么 - - 这不就 game over 了 - -

    @xujinkai #31 +1 我在考虑 OneDrive for Business ……
    geelaw
        35
    geelaw  
       2017-05-13 04:23:10 +08:00
    @mason961125 我相信比 Linux 用户有备份习惯的多 - - 因为基数在那儿摆着
    diguoemo
        36
    diguoemo  
       2017-05-13 05:39:27 +08:00
    ms17-010 都出了这么久了。。。
    duIT
        37
    duIT  
       2017-05-13 05:53:40 +08:00 via Android
    @lomun 不会跌反而会涨,大大普及了比特币的认知率和认同率
    HGladIator
        38
    HGladIator  
       2017-05-13 07:51:02 +08:00 via iPhone
    我就想问一下 双系统中招 Linux 系统受影响吗
    xmoiduts
        39
    xmoiduts  
       2017-05-13 07:57:51 +08:00 via Android
    @xujinkai 密切关注 onedrive 文件版本问题,我的数据盘是软连接上去的,这么说万一被加密 云端副本就 gg 了。
    nailuoGG
        40
    nailuoGG  
       2017-05-13 08:11:27 +08:00 via iPhone
    dropbox 有历史记录吧
    gdtv
        41
    gdtv  
       2017-05-13 08:16:32 +08:00 via Android
    @xujinkai
    @geelaw
    @xmoiduts
    onedrive 没有文件版本,这是我不用 onedrive 的主要原因,没有之一。
    dropbox 有文件版本,可以恢复前一个版本。
    wwqgtxx
        42
    wwqgtxx  
       2017-05-13 08:17:39 +08:00 via iPhone
    @HGladIator 一般 win 下并没有 linux 分区的驱动吧
    Artists
        43
    Artists  
       2017-05-13 08:37:13 +08:00
    不得不说这是安全界的悲歌,ms17-010 都这么久。
    cchange
        44
    cchange  
       2017-05-13 08:41:58 +08:00 via iPhone
    务必打补丁是真的
    Antidictator
        45
    Antidictator  
       2017-05-13 08:59:36 +08:00 via Android
    @xujinkai 有结果了麻烦 @一声
    sharkli
        46
    sharkli  
       2017-05-13 08:59:41 +08:00 via iPhone
    @geelaw dropbox 有历史回滚
    irainsoft
        47
    irainsoft  
       2017-05-13 09:03:53 +08:00
    不是很理解,如果没记错微软在 3 月发布了一组补丁来修复这个漏洞,打了补丁 /打开防火墙二选一都可以避免,为什么到现在还会出现大范围中招的情况?
    zjqzxc
        48
    zjqzxc  
    OP
       2017-05-13 09:19:28 +08:00
    @irainsoft 因为现在还有大量 windows7/xp 的存在,xp 过了支持周期收不到补丁,很多 win7 用户因为各种稀奇古怪的原因关闭自动更新了
    ChopMoun
        49
    ChopMoun  
       2017-05-13 09:19:33 +08:00
    人生苦短,我用 Mac (硬广哈哈)
    Wolfsin
        50
    Wolfsin  
       2017-05-13 09:20:07 +08:00
    很多人没有打补丁的习惯,我室友就认为打补丁没用反而特意关闭了 win10 的更新。这次主要是针对 445 端口的攻击,一般校园网都开通了这个端口,所以中招的特别多。但是目前我们学习好像没有发现,但是同地区的学习已经有人中招了。
    why1
        51
    why1  
       2017-05-13 09:21:49 +08:00 via Android
    后台垃圾软件太多慢,经常重装,打补丁嫌慢
    现在 win7 都是中午 12 点自动安装补丁加重启
    tongyang
        52
    tongyang  
       2017-05-13 09:23:19 +08:00
    ( ˘•ω•˘ )那都用 mac?
    irainsoft
        53
    irainsoft  
       2017-05-13 09:26:44 +08:00
    @ChopMoun
    @tongyang

    Mac 又不是没中过加密的 23333
    shenmegui
        54
    shenmegui  
       2017-05-13 09:29:10 +08:00
    win10+常年开启自动更新的校园网用户瑟瑟发抖.[doge]
    wsxy162
        55
    wsxy162  
       2017-05-13 09:35:50 +08:00 via Android
    @springmarker 这也能管?首先是国家已经承认过其合法,二比特币是去中心化的,国家管不着。
    wsxy162
        56
    wsxy162  
       2017-05-13 09:41:21 +08:00 via Android
    @yexm0 也不一定,我之前从 win7 上升过来的系统,双系统加 grub 引导,大的系统更新会更新失败,win10 不认 mbr+grub 引导,要装上 win10 引导才能更新成功。不排除有其他人更新像这样一直卡着。
    ii4Rookie
        57
    ii4Rookie  
       2017-05-13 09:43:14 +08:00
    win10 的路过...
    wsxy162
        58
    wsxy162  
       2017-05-13 09:43:56 +08:00 via Android
    @geelaw Dropbox 有历史版本
    wsxy162
        59
    wsxy162  
       2017-05-13 09:44:30 +08:00 via Android
    @HGladIator 软件读不了 linux 分区的
    malusama
        60
    malusama  
       2017-05-13 10:10:31 +08:00
    这时候支持历史版本的云盘不宣传一发?
    joshz
        61
    joshz  
       2017-05-13 10:11:56 +08:00   ❤️ 1
    没开自动更新的有一部分大概是还记得之前 Windows 更新的盗版检测黑屏事件吧,毕竟大部分人用的 Windows 都是盗版。
    Mirage09
        62
    Mirage09  
       2017-05-13 10:22:46 +08:00 via iPhone
    @irainsoft 这次似乎还真的中不了
    lszbao
        63
    lszbao  
       2017-05-13 10:35:19 +08:00
    @wsxy162 我就是这样 更新不了
    czmecho
        64
    czmecho  
       2017-05-13 10:39:27 +08:00
    这次 XP 系统的电脑份额可能要大幅度下降了,微软是不是得感谢黑客组织。
    book1925
        65
    book1925  
       2017-05-13 10:51:42 +08:00 via Android
    @gdtv 不止一个版本,没记错 30 天之内都能找回。有次写论文不小心删掉了一些东西,翻了几百个版本找回来了
    jsq2627
        66
    jsq2627  
       2017-05-13 10:59:40 +08:00
    其实我倒是觉得这次病毒风波正面意义也挺大的,唤醒了大家备份和更新的意识
    whwq2012
        67
    whwq2012  
       2017-05-13 11:10:18 +08:00 via Android
    我们这种 nat 的不用担心吧,从外网自己都访问不到 445
    boter
        68
    boter  
       2017-05-13 11:12:21 +08:00
    感觉比特币要涨了,毕竟产生了买盘~
    21grams
        69
    21grams  
       2017-05-13 11:14:09 +08:00   ❤️ 3
    什么叫比特币病毒? 如果勒索的是人民币,是不是要叫人民币病毒?
    gracece
        70
    gracece  
       2017-05-13 11:25:45 +08:00
    @whwq2012 #67 如果内网有机器被攻陷了,那不就惨了
    dremy
        71
    dremy  
       2017-05-13 11:30:37 +08:00 via Android
    教育网网指的是校园内的局域网吗,我们学校出口是电信和联通,不是教育网,会中毒吗?
    Shura
        72
    Shura  
       2017-05-13 11:32:55 +08:00 via Android
    @21grams 他怎么勒索人民币?你能想到的转账途径都需要实名。如果这次勒索的是人民币,国家如果想查,一定能追根溯源查到蠕虫的作者。
    xmoiduts
        73
    xmoiduts  
       2017-05-13 11:42:52 +08:00 via Android
    @dremy cernet
    WayToPlay
        74
    WayToPlay  
       2017-05-13 11:48:34 +08:00
    会不会是为了禁止流通 BTC,故意为之,出师有名
    whwq2012
        75
    whwq2012  
       2017-05-13 11:49:08 +08:00 via Android
    @gracece 就寝室里的路由器啊,谁会被攻陷
    HGladIator
        76
    HGladIator  
       2017-05-13 11:50:41 +08:00 via iPhone
    @wsxy162
    @wwqgtxx
    我的意思是 Linux 可以去访问被锁了的 Windows 的文件吗
    gracece
        77
    gracece  
       2017-05-13 11:51:32 +08:00
    @whwq2012 #75 比如有人的电脑拿到图书馆上网之类的
    rssf
        78
    rssf  
       2017-05-13 12:06:17 +08:00
    @dremy 不打补丁,在什么网都会中。
    irainsoft
        79
    irainsoft  
       2017-05-13 12:10:35 +08:00
    @Mirage09 这次当然不会了,这次是因为出现了 windows 漏洞
    Laforet
        80
    Laforet  
       2017-05-13 12:15:38 +08:00
    @irainsoft

    大部分人的安全意识基本上是 0。MongoDB 开放外网访问还没设密码导致被删库的事情 V2EX 上就有好多起,这种操作怎么想都是做死吧。

    https://www.v2ex.com/t/356410
    https://www.v2ex.com/t/331887
    https://www.v2ex.com/t/332931
    https://www.v2ex.com/t/333494
    x7395759
        81
    x7395759  
       2017-05-13 12:16:08 +08:00
    太阳底下的新鲜事早就没有了,有的话就是你忘记晒太阳了。

    至于大事嘛,就看那些人的能力了,啥比特比病毒,怎么不说 01 病毒呢
    irainsoft
        82
    irainsoft  
       2017-05-13 12:23:06 +08:00   ❤️ 1
    @Laforet Mac 被加密的事情 V2 上之前也有人遇到并发帖的,不是说 Mac 不会中招,这是这一波是针对旧版不打补丁的 windows,不管是服务器还是个人电脑都应该有良好的备份习惯
    changwei
        83
    changwei  
       2017-05-13 12:28:58 +08:00 via Android
    空间,微博,群都在说,看来这病毒确实危害不小啊。
    Boristype000
        84
    Boristype000  
       2017-05-13 12:32:13 +08:00
    win10 升级到 1703 之后发现 dockers-smbmount 在监听 445 端口
    Laforet
        85
    Laforet  
       2017-05-13 12:45:52 +08:00
    @irainsoft

    备份的重要性不说了,但是即使打了补丁也没办法防范用户主动运行一些来路不明的可执行程序。

    前面的回帖也有人提到这一波受害主要集中在校园网的原因是大部分商业运营商之前就过滤了公网访问 445 端口,而校园网依然门户大开。
    nomorelie
        86
    nomorelie  
       2017-05-13 12:46:44 +08:00
    13 年不就出过 CryptoLocker 么。。
    anyele
        87
    anyele  
       2017-05-13 12:52:16 +08:00   ❤️ 1
    miclushine
        88
    miclushine  
       2017-05-13 12:57:03 +08:00
    其实我很好奇,这么大规模的勒索医院,这些医疗文件和记录要关系到多少人的生命安全,这种情节和性质国外警察咋都没动静,这么多情报局抓不到这些黑客吗。
    wwqgtxx
        89
    wwqgtxx  
       2017-05-13 13:10:26 +08:00 via iPhone
    @HGladIator 人家是把加密了,不是简单的锁定而已
    wevsty
        90
    wevsty  
       2017-05-13 13:16:53 +08:00
    类似的攻击漏洞刚刚披露的时候就有了。
    不升级系统,不开自动更新,不备份数据,防范意识差,最后出了问题丢了数据也怪不得别人。
    wiZ90
        91
    wiZ90  
       2017-05-13 13:17:02 +08:00 via Android
    网上流出来断网能关病毒??
    Showfom
        92
    Showfom  
       2017-05-13 13:36:02 +08:00 via iPhone
    @mason961125 我司不做备份的都被我怼了
    babytomas
        93
    babytomas  
       2017-05-13 13:37:14 +08:00
    @wsxy162 国家从未承认过比特币合法,不过比特币要管的确是很难管 。。。
    MBTimY
        94
    MBTimY  
       2017-05-13 13:58:18 +08:00
    昨天我才有个朋友中了这个病毒, 一个国外的 ransomware,感觉挺有意思的,这个软件只是拿比特币作为威胁付款的支付手段而已,比特币会出什么大事?
    21grams
        95
    21grams  
       2017-05-13 14:02:35 +08:00   ❤️ 1
    @Shura #72 你的理解能力堪忧。
    21grams
        96
    21grams  
       2017-05-13 14:04:13 +08:00
    @babytomas #93 法无禁止即为合法,还要怎么承认?
    wolfan
        97
    wolfan  
       2017-05-13 14:12:00 +08:00 via Android
    这个要是在毕业季爆发,估计今年的论文质量会上个台阶吧。
    meisky6666
        98
    meisky6666  
       2017-05-13 14:12:07 +08:00
    win10 也有漏洞,我就没自动更新
    tf141
        99
    tf141  
       2017-05-13 14:36:24 +08:00
    @21grams 现在中国在网上发布新闻都要有互联网新闻信息服务许可,你说法无禁止即为合法不觉得搞笑嘛
    ltux
        100
    ltux  
       2017-05-13 14:38:45 +08:00
    @MBTimY 比特币作为洗钱一哥,迟早要出大事儿。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5381 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 05:54 · PVG 13:54 · LAX 21:54 · JFK 00:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.