勒索病毒全球大爆发,曝光勒索全过程,简单教你怎样预防中招

从去年开始,勒索病毒就开始在全球肆虐,中招之后你的电脑内所有文件被加密,只有使用比特币缴纳相应的赎金才会解密。

据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。就在昨日(5.12),全国高校陆续被爆出收到该病毒不同程度的攻击。就笔者周围就有数个朋友收到攻击,不仅限于个人PC,连阿里云服务器也有中招案例。

笔者一位朋友中招全过程。

中招后开机界面:

登录到攻击者提供的网址后要求选择语言:

还会有优惠价,在页面当中攻击者还温馨的解释了什么是比特币。

由于电脑内没什么重要文件,最终选择了重做系统。

那么,我们该怎么预防中招呢?

懒人版

1.升级到最新系统,打上补丁。尽量不要用已经淘汰的系统!

今年三月份,Win10已经通过更新的方式打上了相关补丁,在一定程度上已经免疫该病毒。所以说升级和更新系统其实是有好处的,有条件的能升级到最新版的win10就升级。

对于其他系统的同样要为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;

特别的,对于windows XP、2003等微软已不再提供安全更新的机器,可使用“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。

2.部分国内安全厂商有针对此勒索病毒的反勒索服务,对于中招的用户可以先行赔付。

3.牢记三不要

不明链接不要点击,不明文件不要下载,不明邮件不要打开……

4.要养成备份的习惯,硬盘有价资料无价!

最后,对于已经中招的电脑我们应该怎么处理呢。

在咨询了一个网络安全研究生的朋友之后,得出的答案是,要么交赎金,要么重做系统。所以各位朋友们,能预防就预防吧。

不用虚拟机,Windows 10直接加入Linux子系统

  Windows 10周年更新版一大不太为人关注的变化是首次加入了Linux子系统,可以让用户在Windows系统上直接运行Linux程序,非常方便开发者,不过安全公司Crowdstrike的首席架构师Alex Ionescu却指出,这也带来了额外的安全风险。

  他解释说,为了保证Windows 10 Linux子系统的性能,微软没有将其放在Hyper-V虚拟机容器内,与安全威胁彻底隔离,而是允许其直接访问原始硬件。

正因如此,Linux子系统拥有完全的系统访问权限,这可是把双刃剑,别有用心者只需在Linux程序中插入恶意代码就能攻击整个Windows 10。

另外,Linux应用所访问的目录、文件和Windows 10父系统是完全相同的,很容易被利用。

需要注意的是,Windows 10 Linux子系统并没有使用Ubuntu等其他发行版的内核,而是微软自己的软件,功能和安全更新也将在每月第二个周二通过Windows Update来提供。

Alex Ionescu称其实在Windows 10周年更新版发布之前,微软就已经知晓了Windows 10 Linux子系统的几个安全问题,其中一些已经修复,但新的漏洞肯定还会不断出现。

win10 explorer无限重启导致桌面闪屏的解决方案

今天同事电脑坏了,win10,桌面无限闪屏,疑似中毒,因为同事为设计主力,所以马上开始友情故障排查。过程有些曲折,心急的亲可以直接看第4步。适合kms激活后出现问题的童鞋。

1.ctrl+alt+del 打开任务管理器发现资源管理器(explorer.exe)无限重启,随后Windows问题报告这个进程就会出来。疑似被某个进程给kill

2.尝试重启进入安全模式杀毒,进入安全模式

win10进入安全模式办法有很多,这种情况下最方便的是  任务管理器——新建——运行输入 MSConfig——点击 引导 —— 安全引导 最小 确定

进入安全模式同样有问题explorer.exe同样无限重启

3.进入正常系统 打开注册表先把explorer.exe 自动重启关上

关闭explorer.exe重启:

运行注册表 regedit

HKEY_LOCAL_MACHINE -> SOFTWARE ->Microsoft ->
Windows NT -> CurrentVersion -> Winlogon ->AutoLogonChecked
修改AutoRestart中的值修改为0   (0、1 分别代表 开、关)
没有AutoRestart 就新建一个DWORD32格式
关闭explorer重启之后屏幕不再闪烁 最起码看起来心不烦了
4.同事说他是用某kms激活工具之后出现的情况,就联想到之前看到的一篇文章
用cmd打开 
C:\Users\user_name\AppData\Local\Microsoft\Windows\Explorer

user_name 就是用户名

任务管理器-新建-cmd 勾选管理员

说几个常用的cmd命令

cd C:\Users\user_name\  

打开进入后面那个目录

dir 查看目录中的文件

del 删除

这三个就够用了

(可以用任务管理器-新建-浏览-所有文件暂时先看一下里面有什么文件,看看最近修改过的文件)

发现PDF文件夹 里面有两个*32.dll *64.dll 是新更改过的

果断删除  在cmd里用del 命令

可能一些杀毒软件里面可以扫描到签名不对的文件,更方便了。

一次不成功多删除几次。

5.重启explorer.exe(任务管理器 新建 explorer)

大功告成

6.写到这,原因我们也找到了,整体看下来,其实这俩文件并不是木马,只是kms激活失败的产物,出于一些原因导致dll一直在杀explorer,然后系统出于安全保护(注册表设置)就重启explorer,所以就看到崩溃的闪屏。

 

 

后记

explorer无限重启或者其他进程重启的原因有很多,还有一种进阶的通用查杀方法,重启进入带命令提示符的安全模式,通过tasklist指令查找问题,看看是哪个pid杀掉的:

taskkill /f /im explorer.exe

如果只是explorer坏了直接找个同系统版本和位数的文件拷过来就行,替换掉explorer.exe,注意做好备份工作。

过程很曲折,但是找到问题后又很简单。

就酱了。