无忧启动论坛

 找回密码
 注册
搜索
最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站虚位以待
虚位以待广告联系 QQ:184822951 微信:wuyouceoidc大全★服务器租用★香港/5M/450元
查看: 2369|回复: 57

[讨论] 勒索病毒的系统因素

    [复制链接]
发表于 2019-8-4 20:02:45 | 显示全部楼层 |阅读模式
本帖最后由 lhc0688 于 2019-8-7 19:57 编辑

这几天看到远景论坛上一篇使用某位大侠精简系统中了勒索病毒的帖子,因无回帖权限,故在这里发个帖子探讨一下。

之所以想探讨,是因为我也遇到跟这位发帖者几乎一样的情况:HTPC客厅主机,连接电视做下载和高清播放使用。

第一次中毒:新装了一版win10LTSB系统,看到很多人说远程桌面功能方便,而这个版本特点之一是保留了远程桌面,就开启尝试了下,第二天发现中了勒索病毒(一个异常特征是Administrator账号被更改远程桌面不能登陆),多年的数据被毁,损失惨重。

第二次中毒:以为第一次中毒是因为浏览网站或者下载带毒附件导致的,所以删除电脑所有分区,重新分区、格式化、重装系统,用之前备份硬盘恢复了部分数据,花了整整三天时间,折腾完毕。第二天发现再次中毒。

第三次中毒:为了测试问题,这次仅安装了系统、NOD32杀毒,安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看,仍然再次中毒。

这次让我意识到,原因应该是在系统环节因素上,对比与之前的系统使用相同和不同方面:

长期开机无人值守、administrator账号+空密码、局域网访问共享文件夹、路由器开启DMZ(有些下载软件需要),这些跟之前都相同,唯一不同的就是开启了远程桌面。

再次格掉所有分区重装系统,关闭远程桌面(包括相关服务),测试三天,未再中毒。

故个人认为:以上几个使用环节如果同时满足,则100%会中勒索病毒!这也是那我远景发帖朋友同样遇到的问题。

当然这种同时满足多个开放条件的使用环节毕竟是极少数的,客厅电脑、高清播放主机这种情况相对集中一些,所以应该大多数使用者并不会因为使用了admin空账户、或者远程桌面就感染勒索病毒,之所以发帖探讨,是希望遇到此类问题的朋友更清楚导致原因,以便提前防护。

同时也建议,如果没有特别必要,尽量避免上述五种使用设置,提高系统安全性。

======================================================

通过各位热心朋友的探讨,特别是emutemp朋友的专业指点,仔细分析对照后,感觉上面的个人判断应该存在很大误区,为了不误导看帖的朋友,觉得有必要在此更正一下:

1、中勒索病毒的的主要风险源头应该是开放了admin+空密码访问,是根本原因;
2、安装新系统时,应该是开启远程桌面同时,也开启了dmz(之前开启过但后来关闭了,所以这点可能记忆有差错),这应该是直接原因;

因为第二次发现中毒时,远程桌面被锁定,不能登录,这也导致当时把注意力更多放到远程桌面风险上。经过emutemp朋友分析,我觉得上面所述确实存在技术上的矛盾,更正后就都讲得通了。

不过我个人觉得,如果个人用户(非直接连接公网、固定ip服务器之类),开启空密码访问还是有很大方便性的,这也是很多精简系统将此作为一个优化选项的缘故,我发的几个精简版本也都做了此项设置。当然,这个可以再探讨,用更安全的方式替代。

不管怎样,经验也是在问题探讨中获取的,希望对看本帖的朋友能有收益,而不是被误导。

点评

个人珍贵经验的总结_付出了惨重代价的,很宝贵!  发表于 2019-8-4 22:58

评分

参与人数 6无忧币 +30 收起 理由
whyme22 + 5
15126222223 + 5 学习了,谢谢楼主宝贵经验。
palm777qqq + 5
sucody + 5 为以后系统精简者提供了坚实可靠的思路,感.
董大 + 5 赞一个!
有阴也有阳 + 5 个人珍贵经验的总结_付出了惨重代价的,很.

查看全部评分

发表于 2019-8-4 20:07:40 | 显示全部楼层
谢谢提醒,暂时没中过此等高级病毒,还是小心为妙
回复

使用道具 举报

 楼主| 发表于 2019-8-4 20:16:29 | 显示全部楼层
个人觉得,这五种因素之和是导致100%中勒索病毒的充分原因,去掉任一种,应该可以避免,或减少发生概率。
回复

使用道具 举报

发表于 2019-8-4 20:22:59 | 显示全部楼层
关闭默认共享,禁止空链接,设置登陆密码。
回复

使用道具 举报

发表于 2019-8-4 20:27:56 | 显示全部楼层
裸奔路过,中了也不怕,没什么课勒索,大不了全格

点评

同全果都4年了 从来没有中过毒 只有不浏览某些奇怪的网站 不贪小便宜 下载软件或者某些东西上正规网站或者官网 基本没有可能中毒  详情 回复 发表于 2019-8-4 21:00
裸奔并不一定危险,真中毒的反倒是懂点皮毛,能自行设置的。  发表于 2019-8-4 20:31
回复

使用道具 举报

发表于 2019-8-4 21:00:36 | 显示全部楼层
心零 发表于 2019-8-4 20:27
裸奔路过,中了也不怕,没什么课勒索,大不了全格

同全果都4年了 从来没有中过毒 只有不浏览某些奇怪的网站 不贪小便宜 下载软件或者某些东西上正规网站或者官网 基本没有可能中毒
回复

使用道具 举报

发表于 2019-8-4 21:36:03 | 显示全部楼层
我用管家还可以
回复

使用道具 举报

发表于 2019-8-5 02:29:06 | 显示全部楼层
这么厉害,
回复

使用道具 举报

发表于 2019-8-5 06:18:08 来自手机 | 显示全部楼层
本帖最后由 liuzhaoyzz 于 2019-8-5 06:21 编辑

      微软的远程桌面确实是个漏洞,administrator空密码被作为“肉鸡”扫描到之后,可以远程执行病毒代码,很容易中毒。可是做系统精简的时候有些网友要求保留,众口难调,安全和方便本来就是个对立统一的矛盾体,楼主分析中勒索病毒的几个原因很到位,杀软根本防不住。  

点评

保留administrator账号是非常必要的,但一定要设置密码,这个很必要。我发现一个问题,就是一台电脑共享资料(设置密码),非administrator账号用户根本进不去,我从尝试很多方法没有解决,还有不用administrator账  详情 回复 发表于 2019-8-7 12:24
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。 1、远程桌面服务即使保留,也是可以选择禁用的,如果担心因远程桌面服务中毒,而本身又不需要这个功能,那完全可以自主选择禁用服务  详情 回复 发表于 2019-8-5 11:08
回复

使用道具 举报

发表于 2019-8-5 07:39:19 | 显示全部楼层
从不用administrator账号登录,
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2020-1-21 06:08

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表