上周末,互联网最火的一张图片就是这张了:
因为这张图片让码农们开心,
让加油的人伤心,
让 ATM 崩溃,
让交警练书法,
让警察变懵逼,
这是为什么呢?
因为它--病毒 WCry/WanaCry 勒索软件。今天我们请来一位暗中保护我们的安全大神,让他为我们聊聊这个让人谈之色变的蠕虫病毒。
Q:泡面小妹
A:安全大神
Q:为什么当大家还没有反应的时候,病毒已经遍布全球了呢?
A:该病毒利用美国 NSA 泄漏的永恒之蓝漏洞远程执行病毒。植入病毒后,利用中毒机器,不停地对外网以及内部网络进行漏洞扫描利用,导致指数级别扩张,致使一人中马,全家光荣。
Q:我的电脑在内网,不能上网,内部也不能随便访问,有中毒的可能行么?
A:当然可能,君不见公安网中毒了警察叔叔都放假了。网络策略只能增加感染的难度,而不能阻止。内网或物理隔离中有一台中毒,没打漏洞补丁的都会悲剧。
Q:现在或未来怎么避免中毒?
A:这个漏洞微软3月份就颁发了补丁,我们只要按时打漏洞补丁就不会出事了。
Q:网络上说的 kill switch 是什么鬼?
A:当病毒访问一个指定的不存在的域名时,该域名如果返回信息,则退出,若没有返回任何信息,则执行后面加密流程。这个域名就被称为 kill switch。老外取名字的功力很牛掰的。病毒具体的流程如下:
没看完吧,其实我也没看完。
Q:加密的文件可以自己恢复么?
A:没有私钥,无法恢复。
该病毒加密原理是:
* 每台机器使用 RSA 生成一个 2048 位的证书:PubA,PrivA;
* 病毒编写使用 RSA 生成一个2048位的证书:PubB,PrivB,PubB 固定写在病毒中,PrivB 病毒幕后黑客掌握着;
* 使用 PubB 加密 PrivA,并将 PrivA 删除;
* 生成一个随机数 KEY,用这个 KEY 使用 ASE 128 位加密文件,然后删除原始文件;
* 使用 PubA 加密 KEY,并保存。
具体流程如下:
若想要解谜文件,你必须知道 KEY。而 KEY 是使用 RSA 公钥加密的,解密你需要私钥,而私钥在本地是被另外一个 RSA 公钥加密的,你解密必须知道另外一对 RSA 的私钥,但是这个私钥保存在黑客手中。所以没有黑客的帮忙你无法解开。
Q:我中毒了,该如何恢复数据?
A:有多重渠道:
* 删除原始数据的话,你硬盘没做任何操作的话,可以数据恢复,但是不保证都可以恢复出来;
* 你当作穷人可以等。
* 等待私钥的公布。黑客可能因为良心或者被抓等原因公开私钥,到时候利用该私钥解密。
* 如果真着急,上述方法都不行,那只能支付比特币,把加密的私钥买回来,但是不建议使用这项,因为有可能你支付了,黑客忘了给你恢复了。
广而告之
易宝 CTO 陈斌翻译的新书《架构真经》正在京东和亚马逊热卖!
《架构真经》:《架构即未来》姊妹篇,硅谷大咖的干货呈现,互联网架构的50条军规。唐彬、向江旭、叶亚明、段念、吴华鹏、张瑞海、韩军、程炳皓、张云泉、余晨、李大学、霍泰稳联袂力荐。
