勒索病毒的系统因素

lhc0688

这几天看到远景论坛上一篇使用某位大侠精简系统中了勒索病毒的帖子，因无回帖权限，故在这里发个帖子探讨一下。

之所以想探讨，是因为我也遇到跟这位发帖者几乎一样的情况：HTPC客厅主机，连接电视做下载和高清播放使用。

第一次中毒：新装了一版win10LTSB系统，看到很多人说远程桌面功能方便，而这个版本特点之一是保留了远程桌面，就开启尝试了下，第二天发现中了勒索病毒（一个异常特征是Administrator账号被更改远程桌面不能登陆），多年的数据被毁，损失惨重。

第二次中毒：以为第一次中毒是因为浏览网站或者下载带毒附件导致的，所以删除电脑所有分区，重新分区、格式化、重装系统，用之前备份硬盘恢复了部分数据，花了整整三天时间，折腾完毕。第二天发现再次中毒。

第三次中毒：为了测试问题，这次仅安装了系统、NOD32杀毒，安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看，仍然再次中毒。

这次让我意识到，原因应该是在系统环节因素上，对比与之前的系统使用相同和不同方面：

长期开机无人值守、administrator账号+空密码、局域网访问共享文件夹、路由器开启DMZ（有些下载软件需要），这些跟之前都相同，唯一不同的就是开启了远程桌面。

再次格掉所有分区重装系统，关闭远程桌面（包括相关服务），测试三天，未再中毒。

故个人认为：以上几个使用环节如果同时满足，则100%会中勒索病毒！这也是那我远景发帖朋友同样遇到的问题。

当然这种同时满足多个开放条件的使用环节毕竟是极少数的，客厅电脑、高清播放主机这种情况相对集中一些，所以应该大多数使用者并不会因为使用了admin空账户、或者远程桌面就感染勒索病毒，之所以发帖探讨，是希望遇到此类问题的朋友更清楚导致原因，以便提前防护。

同时也建议，如果没有特别必要，尽量避免上述五种使用设置，提高系统安全性。

======================================================

通过各位热心朋友的探讨，特别是emutemp朋友的专业指点，仔细分析对照后，感觉上面的个人判断应该存在很大误区，为了不误导看帖的朋友，觉得有必要在此更正一下：

1、中勒索病毒的的主要风险源头应该是开放了admin+空密码访问，是根本原因；
2、安装新系统时，应该是开启远程桌面同时，也开启了dmz（之前开启过但后来关闭了，所以这点可能记忆有差错），这应该是直接原因；

因为第二次发现中毒时，远程桌面被锁定，不能登录，这也导致当时把注意力更多放到远程桌面风险上。经过emutemp朋友分析，我觉得上面所述确实存在技术上的矛盾，更正后就都讲得通了。

不过我个人觉得，如果个人用户（非直接连接公网、固定ip服务器之类），开启空密码访问还是有很大方便性的，这也是很多精简系统将此作为一个优化选项的缘故，我发的几个精简版本也都做了此项设置。当然，这个可以再探讨，用更安全的方式替代。

不管怎样，经验也是在问题探讨中获取的，希望对看本帖的朋友能有收益，而不是被误导。

dxvyi

谢谢提醒，暂时没中过此等高级病毒，还是小心为妙

lhc0688

个人觉得，这五种因素之和是导致100%中勒索病毒的充分原因，去掉任一种，应该可以避免，或减少发生概率。

窄口牛

关闭默认共享，禁止空链接，设置登陆密码。

心零

裸奔路过，中了也不怕，没什么课勒索，大不了全格

908678819

心零 发表于 2019-8-4 20:27
裸奔路过，中了也不怕，没什么课勒索，大不了全格

同全果都4年了 从来没有中过毒 只有不浏览某些奇怪的网站 不贪小便宜 下载软件或者某些东西上正规网站或者官网 基本没有可能中毒

liujunbo

我用管家还可以

似是故人来

这么厉害,

liuzhaoyzz

      微软的远程桌面确实是个漏洞，administrator空密码被作为“肉鸡”扫描到之后，可以远程执行病毒代码，很容易中毒。可是做系统精简的时候有些网友要求保留，众口难调，安全和方便本来就是个对立统一的矛盾体，楼主分析中勒索病毒的几个原因很到位，杀软根本防不住。  

ynkm169

从不用administrator账号登录，

董大

谢谢楼主的分享，辛苦啦

2012andyle113

这么多条件，你都满足，也是服
把自己的电脑完全暴露在网络上，哪怕不是什么勒索病毒，其他各种千奇百怪的病毒，本来就没有少过

懒精灵

liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞，administrator空密码被作为“肉鸡”扫描到之后，可以远程执行病毒代码 ...

所以要保持administrator账户默认禁用

懒精灵

朋友的小公司前阵子中毒是因为外包IT误把带毒U盘插入了ERP服务器，由于外包人员经常要远程维护服务器，那台机器常年开着远程桌面，一天内整个局域网电脑悉数中招，19年数据全毁，18年以前数据因为是离线保存得以幸免。
身边活生生的例子。。。

pzero

administrator还空密码，不黑你黑谁？

pcfan120

想问下楼主，官方不是有勒索补丁吗，你确认打过吗？
你这也太容易掉坑了吧。。
第三次中毒：为了测试问题，这次仅安装了系统、NOD32杀毒，安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看，仍然再次中毒。我就想问如果打了勒索补丁还会这样吗？

pcfan120

因为我平时没遇到过，也没关注楼主说的这些点，远程桌面还是会用的，有个别是admin空密码，勒索补丁也没有全部刻意去打过，但没中过勒索。。。所以我就想问如果打了勒索补丁还会这样很容易中毒吗？
想你说的第三次情况，感觉很容易中的一样。。。建议你有条件把第三次的情况在测试对比下，打完勒索补丁看是否会起作用？

窄口牛

勒索补丁没用，变种早就突破了。

pcfan120

哦。。看来防毒都是被动的，抗不过病毒的主动变种。。

lhc0688

pcfan120 发表于 2019-8-5 10:10
因为我平时没遇到过，也没关注楼主说的这些点，远程桌面还是会用的，有个别是admin空密码，勒索补丁也没有 ...

个人这方面也缺乏专业知识，大致感觉应该是：首先开启DMZ后将该主机完全暴露在公网上，病毒通过检测SMB1共享服务获得主机地址，使用admin空密码登陆远程桌面，然后复制病毒程序到本地并运行，因为第二次中毒过程中看到远程桌面被控操作，强制关机u盘重启后清空分区。

liuzhaoyzz

懒精灵 发表于 2019-8-5 08:25
所以要保持administrator账户默认禁用

        默认administrator禁用对于WIN7可以，但是对于WIN10来说不太现实，因为自己新建的administrators组的用户，看起来也算是管理员，但是与内置administrator超管比起来，权限还是低很多，如果用内置administrator，系统不会有太多权限问题，win10的ACL权限太烦人了，还是超管用户爽啊。勒索病毒补丁可能有一定的作用，就好像疫苗一样，但是还有更多的病毒变种可能会突破已知的疫苗，而且变种发展速度很快，远远超越疫苗的发展速度，但是疫苗也有一定的作用，就这样。
        勒索病毒确实很恐怖，就像中了之后电脑所有资料一夜回到解放前。是比较致命的病毒，对于办公的电脑还是要注意点。
        楼主所用的LTSB2016打了勒索病毒补丁没有？

emutemp

liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞，administrator空密码被作为“肉鸡”扫描到之后，可以远程执行病毒代码 ...

我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使保留，也是可以选择禁用的，如果担心因远程桌面服务中毒，而本身又不需要这个功能，那完全可以自主选择禁用服务。
2、远程桌面服务可能有些人用不上，但对有用的人来说，是个很重要的系统功能，第三方软件大多数场景下都没有系统自带的更方便好用。
3、这2种需求比较来说，对第1种不需要远程桌面服务的需求来说，即使保留这个功能，无论是封装时设为默认禁止还是后期手动禁止服务，都可以达到与完全去掉这个服务相当的安全效果。而对第2中需求来说，一旦去掉这个服务，从目前发布的各种版本来看，不是补几个文件就行的，几乎都没法修复这个功能，对这种需求来说，这种精简系统就只能舍弃。
4、所以，建议做精简系统时，还是保留远程桌面服务，你可以设为默认禁止服务，来达到所需要的默认安全效果，而不是完全去掉。
5、精简系统用途有很大一部分是用于不用经常更新或使用功能确定的用途，就希望放着那一般不用去动，例如HTPC或下载机或家庭文件共享专用机等，复杂的操作和更新内容通过远程桌面可以很方便的完成，所以这个功能是很必要的。

emutemp

另外自从蠕虫病毒之后，windows系统的默认安全策略很早就禁止了空密码的网络登录，如果你不手动修改这个安全策略的话，空密码账户是无法从网络访问的。
有1个例外情况是，目前测试了几个封装系统，如果是首次安装后识别新硬件的启动，这个时候空密码是可以从网络访问的，估计是因为首次安装启动识别新硬件，安全策略服务等刚配置完成并没有生效。不过第2次启动后就无法空密码从网络访问了。

也就是说现在的windows系统本身基本是没有空密码访问容易中毒这个情况了，如果你自己去设定了空密码，并又取消了这个系统安全策略，反过来怪空密码导致远程桌面服务不安全或SMB服务不安全，岂不可笑。

happysong21

管理员我基本不用空密码

lhc0688

emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

并非怪罪远程桌面功能，是说这五种设置同时存在，则安全性为0，我也说了单独只是空密码或使用远程桌面并不一定导致中毒。不过从安全角度讲，这5个使用习惯都是安全隐患，如果没有很必要的需求，尽量不要开启。

s1113

关闭默认共享，关闭远程桌面

liuzhaoyzz

emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

        不能太小看病毒的能力，病毒能够做到很多难以想象的事情，什么意思呢？你能够手工开启关闭远程桌面服务，难道病毒就不能开启了吗？只要获得了administrator远程执行的权限，开启关闭服务不就是一个命令而已？病毒都是以某一个漏洞为桥头堡，通过漏洞一步步获取越来越大的可执行权限，单独从隐患大小来讲，彻底精简远程桌面组件当然更加安全，至于你说到的远程桌面本身好用，不过是个习惯罢了，没有他照样有很多了替代软件，至少它不具备唯一性。做系统精简的也会考虑大众用户的需求，作者有选择权，用户当然也有选择权，双向选择，取舍问题罢了。

emutemp

liuzhaoyzz 发表于 2019-8-5 13:18
不能太小看病毒的能力，病毒能够做到很多难以想象的事情，什么意思呢？你能够手工开启关闭远程桌 ...

这个逻辑很难理解，在已经中毒的情况下，再谈安全有意义吗？

并且很多木马自身就能远程控制，是否有这个远程桌面已经不是关键了，实际上如果仅仅是为了非法获取数据或者上传数据，选择任何其它的通讯方式都比远程桌面这种通过鼠标键盘操作的方式更高效。

安全是管好每个入口，防止别人非法进来，而不是讨论别人通过某个有漏洞的门进来后，怎么去防止别人从内部再把其它关着的门打开。

liuzhaoyzz

        你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之后，还要很多其他条件具备才会感染病毒。远程桌面放大了执行权限漏洞。你在网上用“勒索病毒 远程桌面”为关键字搜索下就知道怎么回事了，有很多人有分析的。

        另外很多人说到administrator密码为空的问题，看了勒索病毒的攻击过程，如果系统有永恒之蓝漏洞，即使administrator不是空白，也很容易被入侵，因为病毒利用的是系统漏洞拿到了system执行权限，高于administrator权限，扫描administrator为空的电脑，是认为这样的电脑防护力较差，比如没有打勒索补丁，打了补丁肯定有一定的防范作用，但不能全部防范，病毒是不断进化的，用administrator密码为空这一条来判定系统不安全，不全面。

emutemp

liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限，并非已经中了病毒，获取到administrator权限之 ...

1、在windows的安全更新里面，所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新，是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的，所以安全要与需求的级别相对应。对大型网络来说，不同应用域之间是不同的安全域，同一应用域中不同的应用是不同的安全域，多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说，就两个安全域，从电脑个体来说，是系统外与系统内两个不同的安全域，扩展到网络，那就是家庭局域网和公网是两个不同的安全域，没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制，而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用，安全级别够用就行，而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单，方便，好用，再加上相对安全，这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行，而不要去追求预防可能存在的未知漏洞的绝对安全，并且这个级别的安全不是光靠操作系统就能做到的，至少必须加上网络层的控制过滤。
4、为了有限的，效果难以估计的安全性提升，而牺牲影响更大的方便性，好用性，对精简系统的功能定位来说，似乎不太相符。
5、举个不恰当的例子，就如Intel的CPU漏洞补丁，在明知有性能损失的情况下，而且这个漏洞的影响对个人用户来说价值几乎就是0，那么作为个人日常使用的精简系统，愿意为这点安全性能提升打这个补丁的人，应该是极少的。