|
|
本帖最后由 lhc0688 于 2019-8-7 19:57 编辑
这几天看到远景论坛上一篇使用某位大侠精简系统中了勒索病毒的帖子,因无回帖权限,故在这里发个帖子探讨一下。
之所以想探讨,是因为我也遇到跟这位发帖者几乎一样的情况:HTPC客厅主机,连接电视做下载和高清播放使用。
第一次中毒:新装了一版win10LTSB系统,看到很多人说远程桌面功能方便,而这个版本特点之一是保留了远程桌面,就开启尝试了下,第二天发现中了勒索病毒(一个异常特征是Administrator账号被更改远程桌面不能登陆),多年的数据被毁,损失惨重。
第二次中毒:以为第一次中毒是因为浏览网站或者下载带毒附件导致的,所以删除电脑所有分区,重新分区、格式化、重装系统,用之前备份硬盘恢复了部分数据,花了整整三天时间,折腾完毕。第二天发现再次中毒。
第三次中毒:为了测试问题,这次仅安装了系统、NOD32杀毒,安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看,仍然再次中毒。
这次让我意识到,原因应该是在系统环节因素上,对比与之前的系统使用相同和不同方面:
长期开机无人值守、administrator账号+空密码、局域网访问共享文件夹、路由器开启DMZ(有些下载软件需要),这些跟之前都相同,唯一不同的就是开启了远程桌面。
再次格掉所有分区重装系统,关闭远程桌面(包括相关服务),测试三天,未再中毒。
故个人认为:以上几个使用环节如果同时满足,则100%会中勒索病毒!这也是那我远景发帖朋友同样遇到的问题。
当然这种同时满足多个开放条件的使用环节毕竟是极少数的,客厅电脑、高清播放主机这种情况相对集中一些,所以应该大多数使用者并不会因为使用了admin空账户、或者远程桌面就感染勒索病毒,之所以发帖探讨,是希望遇到此类问题的朋友更清楚导致原因,以便提前防护。
同时也建议,如果没有特别必要,尽量避免上述五种使用设置,提高系统安全性。
======================================================
通过各位热心朋友的探讨,特别是emutemp朋友的专业指点,仔细分析对照后,感觉上面的个人判断应该存在很大误区,为了不误导看帖的朋友,觉得有必要在此更正一下:
1、中勒索病毒的的主要风险源头应该是开放了admin+空密码访问,是根本原因;
2、安装新系统时,应该是开启远程桌面同时,也开启了dmz(之前开启过但后来关闭了,所以这点可能记忆有差错),这应该是直接原因;
因为第二次发现中毒时,远程桌面被锁定,不能登录,这也导致当时把注意力更多放到远程桌面风险上。经过emutemp朋友分析,我觉得上面所述确实存在技术上的矛盾,更正后就都讲得通了。
不过我个人觉得,如果个人用户(非直接连接公网、固定ip服务器之类),开启空密码访问还是有很大方便性的,这也是很多精简系统将此作为一个优化选项的缘故,我发的几个精简版本也都做了此项设置。当然,这个可以再探讨,用更安全的方式替代。
不管怎样,经验也是在问题探讨中获取的,希望对看本帖的朋友能有收益,而不是被误导。
|
评分
-
查看全部评分
|
闽公网安备35020302032614号 )
IP卡
狗仔卡
发表于 2019-8-4 20:02:45
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2019-8-5 06:18:08