關于勒索病毒 Ransom:Win32.WannaCrypt 解決方案的最后一次說明

關于勒索病毒 Ransom:Win32.WannaCrypt 解決方案的最后一次說明

2017/5/12 晚，勒索軟件 Ransom:Win32.WannaCrypt 大面積暴發(fā)。比病毒爆發(fā)更火的，則是各類關于此病毒的新聞、解決方法在朋友圈等社交媒體的爆發(fā)。

其中，有主觀善意但客觀一知半解的指導，更有夾帶私貨的安全軟件商攜各類工具的廣告宣傳，以及各大小 IT 公司借此做的宣傳。

一時間，眾多群眾不知所措，戰(zhàn)戰(zhàn)兢兢；不惜在自己的網絡中將各種帖子所支招數悉數執(zhí)行一遍，導致業(yè)務中斷。
我在朋友圈中已多次發(fā)帖，探討和指導應對。但依然看到大家的無所適從。
為此，我整理一下思路，做最后一次說明。

我是馮立超，2004-2017 微軟最有價值專家 MVP, 1998 以來微軟認證系統工程師 MCSE, 2000 以來微軟認證講師 MCT。在2003-2004 微軟可信賴計算全國巡講簽約講師。本文不夾帶私貨，因為我現在的正事兒并不在此。只是從周六開始電話被打爆，才不得不忍痛停下手中的工作，被迫戀戰(zhàn)于此。
此文只為給惶惑中的 Windows 用戶們一些建議，以正視聽。

主旨：

本文主要包括如下部分：

1. 只須打補丁，只須打補丁，只須打補丁。

2. 不必使用 360 等自作聰明的工具及軟件。

3. 不要隨意關閉端口。

如果你聽我的且不關心技術細節(jié)，可以就此打住，干活兒去吧。

技術探討

下面是一些相關技術問題：

1. 只須打補??！

補丁概述

這次病毒是利用微軟 Windows SMB v1 的漏洞進行傳播并遠程執(zhí)行代碼，對計算機中的文檔進行加密。
病毒于 2017/5/12 大面積暴發(fā)。
微軟于 2017/3/14 發(fā)布了安全公告和安全更新。 鏈接地址：
Microsoft 安全公告 MS17-010 - 嚴重
MS17-010：Windows SMB 服務器安全更新

另外，微軟對于已經停止服務的XP和Win2003也提供了補丁，鏈接為https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

補丁解釋

由于大家平常不看這樣的微軟官方技術文檔，所以可能有些讀不懂。不用擔心，根據你的操作系統版本，選擇相應的補丁即可。
就用上面鏈接的第一個文檔安全公告為主來說吧：
文檔表中每一個操作系統下面，有好幾個鏈接，分為如下幾方面：

• 操作系統小版本：例如是否 sp1 / sp2 等。

• 系統平臺：32 位或是 64 位，或者少見的 Itanium 等。

• 針對本漏洞的更新或者月度匯總更新。
  以上前兩個要選對。第三個看情況選。想短平快就選"僅用于安全更新"，想全面一些就選“月度匯總更新”

僅此一頁足矣。有朋友打電話過來說補丁裝不上，就是因為沒有選對。

企業(yè)補丁管理

企業(yè)當然不能像個人一樣一臺臺打補丁。
你需要一臺補丁服務器。建議部署微軟的** WSUS 服務**。
其基本原理就是：企業(yè)內部的所有客戶機將更新源指向 WSUS 服務器，WSUS 服務器將更新源指向微軟補丁服務器。
根據企業(yè)規(guī)模及IT管理模式，WSUS服務器可以配置為層次結構，可以配置補丁分發(fā)策略，可以對補丁進行審批操作等。
具體請參見Windows Server Update Services 概述 ，此不贅述。哦，贅述一下，這個服務是免費的，（好像反而不好立項是吧），不過請專業(yè)的微軟解決方案合作伙伴實施服務是收費的。

當然也可以使用第三方專業(yè)公司的補丁服務。可以是真正專業(yè)的產品或者上級指定的產品。

不要隨意關閉端口

除非你知道會發(fā)生什么，否則不要隨意關閉端口。 以下內容節(jié)選自 比我上面自吹的資歷還深的朋友 MVP 胡浩 的文章抵抗勒索病毒的正確姿勢——不要上來就封端口！ 中的重點內容：

剛剛過去的這個周末，朋友圈一定被勒索病毒刷屏了~
看到一堆人告訴別人封鎖135-139，445端口，作為一個修過無數AD復制問題，客戶端無法登錄或者使用域資源問題的老司機，我想問問，您真的知道這些端口是干嘛的么？
端口使用的官方網頁請看這里： Port Assignments for Well-Known Ports
請仔細閱讀和確認有關135，136，137，138，139，445端口的作用，如果不確定是否需要這些端口完成正常的域登錄、訪問域資源、DC間檢測復制等等，請謹慎封鎖端口！
最大的危害不在于立即出現的故障，而在于90天或者180天之后出現的大量AD復制錯誤，修復這些問題比你想想的更復雜。

2. 不必使用360等自作聰明的工具及軟件

保持電腦干凈

請不要受 360 等所謂安全公司的蠱惑，安裝一堆亂七八糟的流氓軟件。
這次事件很清楚，微軟知道了產品漏洞，并立即發(fā)布了補丁。兩個月后，惡意***利用此漏洞開發(fā)出 WannaCry 病毒。
我們只需要按微軟建議打補丁即可。因為你用的是微軟的 Windows。
如果你用的是周鴻祎他們家的操作系統，那你當然用他們家的360，但現在不是。

360 們 也不是一無是處，他們大致在做兩件事：

• 第 0 件：抓住事件起哄，擴大知名度！所謂唯恐天下不亂是也。

• 第 1 件：幫你掃描漏洞，并幫你到微軟網站下載補丁過來裝。 這是一件微軟自己會做的事情。但不知為何太多的人以為這是360的專長。陽春白雪遇到下里巴人罷。

• 第 2 件：萬一真被黑了，他們幫你找回。
  怎么可能？！ 計算機技術發(fā)展到現在，加密技術是數學上證明的而不是騙傻子的。就是我另一篇文章所說 是把錢藏到保險柜里 而不是藏到床下襪子里。此不贅述。
  所以，真要被******并被加密了，360 不可能解開。
  但也有一絲希望，360 們 倒是想到了一個可能的解決之道：
  病毒將你的文檔加密后存到電腦上，并將源文件刪除。那么用 360 變種的刪除文件恢復工具，有可能找回被刪的沒被加密的文件。但這不能保證全找到。
  所以，萬一你中招了，最好的方式就是別亂動，找專業(yè)工具如 360 提供的或其它任何數據恢復工具修復。（別找我，這活兒我不接）。

如果你喜歡360，我沒說一定讓你卸載。只是我個人不喜歡而已。剛剛一個朋友告知找不到補丁，我發(fā)現他是 XP SP2，而微軟即便緊急發(fā)布了本已不支持的WinXP的補丁，也只支持到 WinXP sp3 32位 和 WinXP sp2 64 位。這種情況，可能 360 存著 XP SP3 安裝包，可以試試，我不知道。

某些所謂安全軟件的罪惡

我們相信國際專業(yè)的網絡安全公司是優(yōu)秀的、偉大的。
但我們也看到一堆嘩眾取寵鼓噪吆喝的公司的恣意妄為。他們推出所謂電腦管家之類的工具，以優(yōu)化性能、提升安全為名，關閉一些他們不懂的服務與端口，導致系統出現許多莫名其妙的問題。
如果不是他們隨意建議用戶關閉自動更新服務、如果不是他們隨意接管 Windows 自帶的反病毒軟件 MSE 或 Defender，如果不是他們肆意接管 Windows 防火墻，事情何以至此？！
如果永恒之藍是始作俑者，那這些所謂的安全軟件就是幫兇。

那我用什么殺毒？

微軟很早就推出了自己的殺毒軟件。
所以，你只需要打開自動更新，同時使用微軟自帶的殺毒軟件，就夠了。
如果您是 Windows 7 用戶，請安裝 Microsoft Security Essentials.
下載地址：

Windows Vista/Windows 7 32-bit

Windows Vista/Windows 7 64-bit

從 Windows 8 以后，操作系統里邊已經自帶了 Windows Defender，直接使用即可。

世上本無事，庸人自擾之
Windows 自帶的殺毒軟件 Defender，自帶的防火墻，自帶的 Windows Update，默認都是打開的，正常運行的。
所以，本來一切都好好的，直到你安裝了類似360等流氓軟件，他把一切都截獲了，打亂了。唉！你要引流氓入家，怪得了誰呢。

3. 不要隨意關閉端口

關于這個問題，胡浩的文章抵抗勒索病毒的正確姿勢——不要上來就封端口！ 已經清楚說明了，此不贅述。

我只想講幾個故事：

• 關于 135 端口

很多人知道 RPC 使用 135 端口，所以，為了能夠實現跨防火墻 RPC 通信，在防火墻上打開了 135 端口，結果發(fā)現 RPC 通信依然有問題。為什么？因為 RPC 通信不是使用的 135 端口，而是在通信發(fā)起時，利用135端口協商，雙方商量一個 1024 到65535 之間的某個任意未被使用的端口來進行通信。
所以，無論是打開端口還是關閉端口，必須要搞清楚這個端口是干什么的，原理是什么。而不是簡單的關關關，干脆把網線拔了算了。

• 關于DHCP服務

很多G企不許使用動態(tài) IP，于是，他們就通過組策略把 DHCP Client 服務停了。他不知道這個服務除了自動獲取 IP 之外，還進行 DNS 客戶端注冊和更新。結果導致 DNS 服務器上的客戶機記錄老舊或自動清理。

• 關于共享

某些單位，不許使用共享，包括強制關閉 Admin$, IPC$ 等，豈不知這些管理共享的本質意義，結果導致與安全策略復制故障等一系列問題。
所以，如果你的活動目錄出了問題，先別給我打電話，先問問自己這幾天又裝什么安全軟件了，有關什么端口或服務了。你是否真的了解了這個安全軟件所做的操作的原理。

補充說明

還有幾個問題想借此多說幾句：

關于漏洞

這次漏洞是微軟 Windows 的，是微軟的錯。但真的怪不得微軟。
漏洞不是后門。后門是故意留下的。漏洞是無意間產生的，或者是協議標準本身的缺陷。

• 就無意產生，舉個不恰當的例子。
  家里的防盜門，結實吧？可是誰能想到江湖高人會通過貓眼伸個鋼筋進來壓門把手把門打開呢？ 好吧，打個補丁把貓眼補上。
  這事兒怪那個設計防盜門的嗎？怪。誰讓你不先想到呢？可是他要把所有可能性都想到，這輩子也別想推出一款防盜門了。

• 還有一種情況，就是標準、協議本身的缺陷。
  例如現在的TCP/IT v4 協議，就有很多安全缺陷。比如自動獲得 IP 地址的協議 DHCP，你沒有辦法限制客戶機從哪臺服務器獲得 IP 地址。這意味著我把我的筆記本裝上 DHCP 服務，插到你們單位的網上，你們單位的客戶機就有可能從我這獲得 IP。
  再比如郵件協議 MIME，里邊可以有圖片等內容，打開郵件即可直接顯示圖片。但是如果這是一個假的圖片，其實是一個惡意軟件或者鏈接，這個直接顯示圖片的公告就變成了直接執(zhí)行這個假圖片，就會導致你中招。
  這些問題，各個軟件廠商都在想辦法解決，這些補丁，不是產品的問題，而是協議與標準的問題，但軟件廠商必須花精力去面對。

關于微軟補丁

微軟有一套完善的安全補丁管理機制，從2003年微軟提出可信賴的計算時，便建立了專門的安全團隊，負責安全應對及補丁發(fā)布。
到目前為止，所有的安全事件，都是在微軟發(fā)布補丁之后發(fā)生的。
大多數情況是：專業(yè)安全人員或廠商發(fā)現了漏洞，報告給微軟（未公開），微軟立即開發(fā)和發(fā)布補?。赡芫o急發(fā)布熱修復，然后提供完善的補丁）。
而惡意利用者則是通過這些發(fā)布補丁的公開信息，開發(fā)惡意軟件。
下面是幾個當年比較嚴重的病毒的情況：

• 尼姆達：在微軟發(fā)布補丁331天后爆發(fā)；

• SQL Slammer：在微軟發(fā)布補丁180天之后爆發(fā)；

• Blaster 沖擊波：在微軟發(fā)布補丁25天之后爆發(fā)；

• Sasser 震蕩波：在微軟發(fā)布補丁14天之后爆發(fā)；

而這一次，微軟于 2017/3/14 發(fā)布補丁，WannaCry 于 2017/5/12 爆發(fā)，59 天。

這次事件的特殊性

帝國主義野心不死

當然，這次可怕一些，是因為很久沒有爆發(fā)這么大的病毒事件了，還因為社交媒體發(fā)達了，事件影響被放大。
更可怕的，是這個漏洞，不是被有良知的安全廠商發(fā)現并主動報告微軟，而是 美國國安局早已發(fā)現漏洞，并基于漏洞開發(fā)了戰(zhàn)略級武器庫，而部分武器，即利用漏洞進行***的工具，被泄露了。然后被惡意利用了。 我們所有吃瓜群眾，都終于真切感受到了網絡戰(zhàn)爭是什么樣子。
這將值得全人類反思。

區(qū)塊鏈、比特幣 與 無政府主義

這次事件另一個有意思的現象，是勒索軟件要你支付的是比特幣。
比特幣的重要特點是無中心化，這是強調個人主義/無政府主義者最興奮的特點。這種基于區(qū)塊鏈技術的比特幣，不需要中央銀行監(jiān)管、賬號不可追蹤、從數學上證明你無法通過賬號跟蹤到賬號相關其他信息。這是另一個話題，暫不贅述。
這不得不讓人重新思考 科學主義 對人類社會的影響問題。

打補丁與 IT 運維管理

從哲學意義回到現實，我們從十多年前就開始講打補丁打補丁打補丁，并給出了大量的指導文檔和最佳實踐。但為什么我們做不到。
我們的 IT 運維理念，從最早的自發(fā)運維，到 ITIL 理念，到 ISO20000，到 DevOps，層出不窮。
可我們?yōu)槭裁催B最基本的打補丁都不去做？ 說多了都是啰嗦，思考吧。

結語

以上只是工作被電話微信打斷后停下來草草寫就的觀點及感言，錯誤之處在所難免，請各位微軟網絡安全方面的哥們兒指正。
IT 運維無小事，網絡安全無小事。大家加油。