勒索病毒的系统因素

lhc0688

这几天看到远景论坛上一篇使用某位大侠精简系统中了勒索病毒的帖子，因无回帖权限，故在这里发个帖子探讨一下。

之所以想探讨，是因为我也遇到跟这位发帖者几乎一样的情况：HTPC客厅主机，连接电视做下载和高清播放使用。

第一次中毒：新装了一版win10LTSB系统，看到很多人说远程桌面功能方便，而这个版本特点之一是保留了远程桌面，就开启尝试了下，第二天发现中了勒索病毒（一个异常特征是Administrator账号被更改远程桌面不能登陆），多年的数据被毁，损失惨重。

第二次中毒：以为第一次中毒是因为浏览网站或者下载带毒附件导致的，所以删除电脑所有分区，重新分区、格式化、重装系统，用之前备份硬盘恢复了部分数据，花了整整三天时间，折腾完毕。第二天发现再次中毒。

第三次中毒：为了测试问题，这次仅安装了系统、NOD32杀毒，安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看，仍然再次中毒。

这次让我意识到，原因应该是在系统环节因素上，对比与之前的系统使用相同和不同方面：

长期开机无人值守、administrator账号+空密码、局域网访问共享文件夹、路由器开启DMZ（有些下载软件需要），这些跟之前都相同，唯一不同的就是开启了远程桌面。

再次格掉所有分区重装系统，关闭远程桌面（包括相关服务），测试三天，未再中毒。

故个人认为：以上几个使用环节如果同时满足，则100%会中勒索病毒！这也是那我远景发帖朋友同样遇到的问题。

当然这种同时满足多个开放条件的使用环节毕竟是极少数的，客厅电脑、高清播放主机这种情况相对集中一些，所以应该大多数使用者并不会因为使用了admin空账户、或者远程桌面就感染勒索病毒，之所以发帖探讨，是希望遇到此类问题的朋友更清楚导致原因，以便提前防护。

同时也建议，如果没有特别必要，尽量避免上述五种使用设置，提高系统安全性。

======================================================

通过各位热心朋友的探讨，特别是emutemp朋友的专业指点，仔细分析对照后，感觉上面的个人判断应该存在很大误区，为了不误导看帖的朋友，觉得有必要在此更正一下：

1、中勒索病毒的的主要风险源头应该是开放了admin+空密码访问，是根本原因；
2、安装新系统时，应该是开启远程桌面同时，也开启了dmz（之前开启过但后来关闭了，所以这点可能记忆有差错），这应该是直接原因；

因为第二次发现中毒时，远程桌面被锁定，不能登录，这也导致当时把注意力更多放到远程桌面风险上。经过emutemp朋友分析，我觉得上面所述确实存在技术上的矛盾，更正后就都讲得通了。

不过我个人觉得，如果个人用户（非直接连接公网、固定ip服务器之类），开启空密码访问还是有很大方便性的，这也是很多精简系统将此作为一个优化选项的缘故，我发的几个精简版本也都做了此项设置。当然，这个可以再探讨，用更安全的方式替代。

不管怎样，经验也是在问题探讨中获取的，希望对看本帖的朋友能有收益，而不是被误导。

OneNote

零下5度 发表于 2019-12-10 21:15
无意中翻到这个坟贴，请允许我挖个坟。

我常年开启远程桌面，总共5台服务器，并没有出现任何安全方面的 ...

大型机构用火绒进行服务器防户，长姿势了。

零下5度

无意中翻到这个坟贴，请允许我挖个坟。

我常年开启远程桌面，总共5台服务器，并没有出现任何安全方面的问题。

路由器肯定不用3389端口直接进行映射，administrator账户必须设置复杂密码绝不能空密码，不用administrator工作只用于维护。安全软件方面只用了火绒。

江南一根葱

和系统没有任何关系 你的u盘 你的任一个操作都可能中勒索病毒，我就不怕中勒索病毒，我的资料分布在七台电脑上，不同时开机，定期同步

cmw2051

我禁用了administrator，密码也是空 的， 不过应该也没有问题，建议大家新建管理员账户，不要用admin。密码稍微复杂点，基本没问题，常年远程桌面，没任何问题，顺便3389改了，不，必须改，不然有大量的攻击

安克诺斯

lilin1986

15126222223 发表于 2019-8-7 12:24
保留administrator账号是非常必要的，但一定要设置密码，这个很必要。我发现一个问题，就是一台电脑共 ...

别人说的远程桌面是服务端，你说的mstsc是客户端，用于连接并显示服务端用的~~~

dony2006

裸奔路过

yingeCC

我想问问LZ 如果这么说 禁用端口有用嘛？ 封装系统的人 前提在虚拟机禁用高危端口 可以做到防护？

15126222223

liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞，administrator空密码被作为“肉鸡”扫描到之后，可以远程执行病毒代码 ...

保留administrator账号是非常必要的，但一定要设置密码，这个很必要。我发现一个问题，就是一台电脑共享资料（设置密码），非administrator账号用户根本进不去，我从尝试很多方法没有解决，还有不用administrator账号，维尔指纹仪使用不来，这个问题很束手。其他远程什么，不保留没有问题，网上下载一个mstsc放入system32下就OK了。

newyun

反正我就是觉得微软的rdp协议有问题，从来不开远程,并封了共享的端口还没中过

pcfan120

很精彩的讨论，受教了

lszzj

好历害的毒

sucody

哈哈，很久很久没看见技术贴子了！！！前人栽树后人乘凉，感谢大佬无私分享奉献的精神！

emutemp

有几点不同意见：
1、内置帐号+空密码不等于不安全，而是内置帐号+空密码+允许空密码从网络访问，这才是不安全的，大部分精简系统虽然使用了空密码，但是默认的安全策略是禁止空密码从网络访问的，安全性并没有降低，除非手动修改禁止掉这条策略。
2、为了使用方便如免密自动登录桌面，局域网免输入密码，等等，而使用空密码，这不是好的解决办法，其实有其它方法可以达到类似的安全效果，而且不用过多降低安全性，不用增加使用复杂度。
一、有密码自动登录桌面。使用control userpasswords2，取消“必须输入密码”，设定默认登录帐号和密码，这样有密码时系统启动时同样可以自动登录到桌面；
二、局域网共享，只要局域网中的电脑使用同样的用户名和同样的密码，访问共享时默认会用当前的用户名和密码做认证，这样同样不用输入密码。
三、对密码不同或用户名不同的局域网共享，通过增加一个快捷方式net use \\192.168.1.1\d$ /user:administrator /pass:password的方式也可以很方便的访问。

只是为了登录方便或者SMB访问方便，使用空密码不是很好的方式，即使使用统一用户名和密码也比这样要安全，且并不增加使用时的方便性。
老实说，对于使用管理员权限账户+空密码+允许空密码从网络访问，对于这种情况，我认为完全没有跟其谈安全的必要，你大门都敞开在那，谈其它几个小门有没有关紧有什么意义。
除非你只对家庭局域网和公网两个安全域进行划分，在公网到内网的接口这里做好了足够的安全防范，那么从内部局域网到计算机之间不做防范也不是不行。不过，如果这样的话，远程桌面这个服务有没有对安全性又有何影响？

lhc0688

emutemp朋友的分析非常专业并且很客观。

1、首先安全防护措施上，完善底层修复（厂家提供的针对补丁）一定还是首选，其次是尽可能采用安全的操作方式。安全补丁升级类似于加固城堡，但不安全的操作相当于打开城门撤掉卫兵。就我个人案例而言，系统补丁是到2018年11月（1607服务周期结束到2018年11月前），我觉得就本案例而言安全漏洞层级为：
1）、开启路由器DMZ，将防护能力薄弱的个人主机直接至于公网之上，绝大多数客户这项完全没必要；
2）、长期开机无人值守，勒索病毒虽然非常厉害，但其破坏过程却需要一定时间（而且是先从系统用户文件夹内的文件开始破坏），只要发现电脑cpu、硬盘高占用运行、文件夹内生成异常文件，马上关机即可制止其破坏；
3）、同时开启admin账号空秘密+smb1共享+远程桌面；
前两个是打开城门撤掉卫兵，第三项是给敌人提供攻城兵器。

2、安全性跟易用性选择上，这点非常赞同emutemp的论点。的确，明知系统内置账号+空秘密不安全，为什么还有这么多人选择这样，大部分精简系统也是采用这种方式，存在即有合理：
1）、个人电脑大多只本人使用，一个账号，使用内置高权限账户，无密码直接启动就进入桌面；
2）、系统优化设置很多是跟随用户的，做精简时候统一使用admin，可以达到统一的优化效果；
3）、无人值守的HTPC，有时需要远程重启，有登录密码则不能进入桌面，需要另行设置；
4）、smb1局域网共享，虽然多数电脑尽个人使用，但仍有较大部分对访问局域网共享文件有需求（如打印机共享等），如无查看局域网列表，和非admin+空密码，每次新连接都可能需要技术人员协助指导；

所以，我非常赞同安全性与方便性平衡，不能过于强调一方，我用过tor浏览器，这个应该是个人用户安全上考虑的非常高的了，但检测测试安全分大多也在60分之下，如果要更安全，包括中转次数、目的网站类型等等都要限制，最终就是使用范围缩小速度降低。

所以，绝大多数个人用户能达到基本的安全就可以了，尽量补上最新安全补丁，不开DMZ，如果没必要则关闭远程桌面。

最后，个人觉得造成破坏最多的，反倒是哪些大量国产软件特别是各种音视频网站软件还有各种盾、霸、数字等等。

emutemp

无论是勒索病毒，永恒之蓝，预防的前提就是必须打远程桌面服务和SMB服务的几个安全更新补丁，这跟密码是否为空无关，不打这几个补丁，你再长的密码也没用。
相应的是，打了这几个补丁，病毒再怎么变种也没用，变种变的只是发作后的效果，利用的漏洞堵上了，他们就没有进入系统的机会。

你可以看看关于这几个安全更新的说明，里面也提到了临时处置措施可以是关闭这几个服务，根本处理办法还是要打补丁。打了补丁后这几个服务就不受这个漏洞影响了。

同样可以说，这次是这2个服务爆出漏洞，如果不是这两个服务呢，比如其它的重要系统服务，这次可以说这2个服务对你的使用来说不重要，可以选择直接去掉，而不是选择打补丁方式，如果再有其它重要系统服务出漏洞，也能选择不打补丁，直接去掉那些服务吗？

liuzhaoyzz

       你这段辩论很精彩，说的很到位！特别是第3-5条，说的很有道理，我认同你的观点。确实是这个样子，CPU漏洞补丁确实没有人主动打上去，很多是被动打上去的。

emutemp

liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之 ...

1、在windows的安全更新里面，所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新，是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的，所以安全要与需求的级别相对应。对大型网络来说，不同应用域之间是不同的安全域，同一应用域中不同的应用是不同的安全域，多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说，就两个安全域，从电脑个体来说，是系统外与系统内两个不同的安全域，扩展到网络，那就是家庭局域网和公网是两个不同的安全域，没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制，而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用，安全级别够用就行，而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单，方便，好用，再加上相对安全，这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行，而不要去追求预防可能存在的未知漏洞的绝对安全，并且这个级别的安全不是光靠操作系统就能做到的，至少必须加上网络层的控制过滤。
4、为了有限的，效果难以估计的安全性提升，而牺牲影响更大的方便性，好用性，对精简系统的功能定位来说，似乎不太相符。
5、举个不恰当的例子，就如Intel的CPU漏洞补丁，在明知有性能损失的情况下，而且这个漏洞的影响对个人用户来说价值几乎就是0，那么作为个人日常使用的精简系统，愿意为这点安全性能提升打这个补丁的人，应该是极少的。

emutemp

liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之 ...

1、在windows的安全更新里面，所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新，是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的，所以安全要与需求的级别相对应。对大型网络来说，不同应用域之间是不同的安全域，同一应用域中不同的应用是不同的安全域，多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说，就两个安全域，从电脑个体来说，是系统外与系统内两个不同的安全域，扩展到网络，那就是家庭局域网和公网是两个不同的安全域，没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制，而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用，安全级别够用就行，而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单，方便，好用，再加上相对安全，这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行，而不要去追求预防可能存在的未知漏洞的绝对安全，并且这个级别的安全不是光靠操作系统就能做到的，至少必须加上网络层的控制过滤。
4、为了有限的，效果难以估计的安全性提升，而牺牲影响更大的方便性，好用性，对精简系统的功能定位来说，似乎不太相符。
5、举个不恰当的例子，就如Intel的CPU漏洞补丁，在明知有性能损失的情况下，而且这个漏洞的影响对个人用户来说价值几乎就是0，那么作为个人日常使用的精简系统，愿意为这点安全性能提升打这个补丁的人，应该是极少的。

emutemp

liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之 ...

1、在windows的安全更新里面，所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新，是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的，所以安全要与需求的级别相对应。对大型网络来说，不同应用域之间是不同的安全域，同一应用域中不同的应用是不同的安全域，多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说，就两个安全域，从电脑个体来说，是系统外与系统内两个不同的安全域，扩展到网络，那就是家庭局域网和公网是两个不同的安全域，没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制，而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用，安全级别够用就行，而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单，方便，好用，再加上相对安全，这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行，而不要去追求预防可能存在的未知漏洞的绝对安全，并且这个级别的安全不是光靠操作系统就能做到的，至少必须加上网络层的控制过滤。
4、为了有限的，效果难以估计的安全性提升，而牺牲影响更大的方便性，好用性，对精简系统的功能定位来说，似乎不太相符。
5、举个不恰当的例子，就如Intel的CPU漏洞补丁，在明知有性能损失的情况下，而且这个漏洞的影响对个人用户来说价值几乎就是0，那么作为个人日常使用的精简系统，愿意为这点安全性能提升打这个补丁的人，应该是极少的。

liuzhaoyzz

        你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之后，还要很多其他条件具备才会感染病毒。远程桌面放大了执行权限漏洞。你在网上用“勒索病毒 远程桌面”为关键字搜索下就知道怎么回事了，有很多人有分析的。

        另外很多人说到administrator密码为空的问题，看了勒索病毒的攻击过程，如果系统有永恒之蓝漏洞，即使administrator不是空白，也很容易被入侵，因为病毒利用的是系统漏洞拿到了system执行权限，高于administrator权限，扫描administrator为空的电脑，是认为这样的电脑防护力较差，比如没有打勒索补丁，打了补丁肯定有一定的防范作用，但不能全部防范，病毒是不断进化的，用administrator密码为空这一条来判定系统不安全，不全面。

emutemp

liuzhaoyzz 发表于 2019-8-5 13:18
不能太小看病毒的能力，病毒能够做到很多难以想象的事情，什么意思呢？你能够手工开启关闭远程桌 ...

这个逻辑很难理解，在已经中毒的情况下，再谈安全有意义吗？

并且很多木马自身就能远程控制，是否有这个远程桌面已经不是关键了，实际上如果仅仅是为了非法获取数据或者上传数据，选择任何其它的通讯方式都比远程桌面这种通过鼠标键盘操作的方式更高效。

安全是管好每个入口，防止别人非法进来，而不是讨论别人通过某个有漏洞的门进来后，怎么去防止别人从内部再把其它关着的门打开。

liuzhaoyzz

emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

        不能太小看病毒的能力，病毒能够做到很多难以想象的事情，什么意思呢？你能够手工开启关闭远程桌面服务，难道病毒就不能开启了吗？只要获得了administrator远程执行的权限，开启关闭服务不就是一个命令而已？病毒都是以某一个漏洞为桥头堡，通过漏洞一步步获取越来越大的可执行权限，单独从隐患大小来讲，彻底精简远程桌面组件当然更加安全，至于你说到的远程桌面本身好用，不过是个习惯罢了，没有他照样有很多了替代软件，至少它不具备唯一性。做系统精简的也会考虑大众用户的需求，作者有选择权，用户当然也有选择权，双向选择，取舍问题罢了。

s1113

关闭默认共享，关闭远程桌面

lhc0688

emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

并非怪罪远程桌面功能，是说这五种设置同时存在，则安全性为0，我也说了单独只是空密码或使用远程桌面并不一定导致中毒。不过从安全角度讲，这5个使用习惯都是安全隐患，如果没有很必要的需求，尽量不要开启。

happysong21

管理员我基本不用空密码

emutemp

另外自从蠕虫病毒之后，windows系统的默认安全策略很早就禁止了空密码的网络登录，如果你不手动修改这个安全策略的话，空密码账户是无法从网络访问的。
有1个例外情况是，目前测试了几个封装系统，如果是首次安装后识别新硬件的启动，这个时候空密码是可以从网络访问的，估计是因为首次安装启动识别新硬件，安全策略服务等刚配置完成并没有生效。不过第2次启动后就无法空密码从网络访问了。

也就是说现在的windows系统本身基本是没有空密码访问容易中毒这个情况了，如果你自己去设定了空密码，并又取消了这个系统安全策略，反过来怪空密码导致远程桌面服务不安全或SMB服务不安全，岂不可笑。

emutemp

liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞，administrator空密码被作为“肉鸡”扫描到之后，可以远程执行病毒代码 ...

我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使保留，也是可以选择禁用的，如果担心因远程桌面服务中毒，而本身又不需要这个功能，那完全可以自主选择禁用服务。
2、远程桌面服务可能有些人用不上，但对有用的人来说，是个很重要的系统功能，第三方软件大多数场景下都没有系统自带的更方便好用。
3、这2种需求比较来说，对第1种不需要远程桌面服务的需求来说，即使保留这个功能，无论是封装时设为默认禁止还是后期手动禁止服务，都可以达到与完全去掉这个服务相当的安全效果。而对第2中需求来说，一旦去掉这个服务，从目前发布的各种版本来看，不是补几个文件就行的，几乎都没法修复这个功能，对这种需求来说，这种精简系统就只能舍弃。
4、所以，建议做精简系统时，还是保留远程桌面服务，你可以设为默认禁止服务，来达到所需要的默认安全效果，而不是完全去掉。
5、精简系统用途有很大一部分是用于不用经常更新或使用功能确定的用途，就希望放着那一般不用去动，例如HTPC或下载机或家庭文件共享专用机等，复杂的操作和更新内容通过远程桌面可以很方便的完成，所以这个功能是很必要的。

liuzhaoyzz

懒精灵 发表于 2019-8-5 08:25
所以要保持administrator账户默认禁用

        默认administrator禁用对于WIN7可以，但是对于WIN10来说不太现实，因为自己新建的administrators组的用户，看起来也算是管理员，但是与内置administrator超管比起来，权限还是低很多，如果用内置administrator，系统不会有太多权限问题，win10的ACL权限太烦人了，还是超管用户爽啊。勒索病毒补丁可能有一定的作用，就好像疫苗一样，但是还有更多的病毒变种可能会突破已知的疫苗，而且变种发展速度很快，远远超越疫苗的发展速度，但是疫苗也有一定的作用，就这样。
        勒索病毒确实很恐怖，就像中了之后电脑所有资料一夜回到解放前。是比较致命的病毒，对于办公的电脑还是要注意点。
        楼主所用的LTSB2016打了勒索病毒补丁没有？