假造 机克隆后怎么修改ip地点 （假造 机克隆后怎么修改ip地点 信息）

本文内容来自「知乎」

观点归原作者全部

　　变乱 形貌

　　2017 年 5 月 12 日环球 多个国家和地区 发作 的一次黑客利用 先前泄漏 的 NSA 攻击工具「永恒之蓝」（Eternal Blue）举行 的大规模攻击打单 ，该攻击导致大量用户文档和图片无法打开 ，并被要求付出 赎金 。

　　网友分析

　　根据部分 公开报道来看，已经有一些公共服务/民生办法 收到影响，石油 ，电信，银行，乃至 公安网都有受波及。答主此时的心田 是绝望的...作为半个软粉 ，看到由于 微软的体系 捅了这么大篓子，内心 不太好受

　　但是仍旧 有可以乐观的来由 ：这些国计民生的关键服务的核心 体系 大多是unix/solaris大概 其他“不常见 ”的体系 ，并不会收到感染；受感染的仅是终端装备 ，数据应该是安全的。由于 不涉及数据 ，修复起来相对比力 轻易 。向全部 被叫归去 加班的各部分 、公司技能 /运维职员 表现 感谢。

　　1，个人宽带/家庭用户方面，运营商应该已经主动 屏蔽了445端口；纵然 未屏蔽 ，一样平常 家庭都在利用 无线路由器，默认环境 下不对公网开放/转发任何端口，也可以克制 被攻击。

　　2 ，校园网方面，教诲 网固然 未主动 屏蔽445 。但很多 高校对师生个人盘算 机的IP地点 的公网访问采取 白名单方式，也可以克制 。

　　2.1 ，学校向来 是病毒的重灾区，主客观缘故起因 都有;想要办理 起来题目 也不少而且也不轻易 办理 。

　　3，Win10用户被微软逼迫 开启主动 更新了 ，应该已经更新ms17-010补丁了;但是校园网中存在了大量关闭了主动 更新的Win7(或其他低版本Windows)用户，大概 会成为重灾区。

　　4，假如 中招了，请做好丢失那些文件的预备 。根据以往履历 ，交钱并不能消灾。文件应该是被aes128加密(后续版本有没有效 aes256不知道)，在当前技能 条件下，环球 绝大多数人并没有充足 的盘算 本领 来对其举行 暴力破解。想通过暴力破解来救回文件的可以断念 了 。

　　5 ，如今 判定 该病毒仅通过主机主动 扫描发动的攻击，对于很多 不开放公网权限的学校及单位 还相对威胁不大。假如 进一步的变种具备了蠕虫特性，受感染的主机进一步扫描其局域网内装备 并举行 攻击 ，大概 受灾面会进一步扩大。盼望 在这一天到来之前，各人 都把补丁补齐了 。

　　6，请(盼望 )以是 看到这个答复 的人尽快动手 备份本身 的紧张 文件 ，并养成异地多活备份的风俗 。不要等数据丢了才意识到备份的紧张 性。

　　平常 多备份，灾时少堕泪

–––––脑洞分割线–––––

　　这个弊端 (后门)是先被人曝光出来了，而且 微软已经及时 发布了补丁而且在尚有 Win10逼迫 主动 更新这种有益Buff加成环境 下 ，依然造成了严峻 危害 。

　　假如 有雷同 的后门在战时被经心 策划 利用 ，其粉碎 力大概 可以相称 于在敌国都城 扔了一颗大伊万。固然 不肯定 能造成职员 伤亡，但使该国的生存 程度 倒退到20世纪90年代不成题目 。

————增补 ————

　　杀毒方案：https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c

　　360办理 方案：https://dl.360safe.com/nsa/nsatool.exe

　　微软官方办理 方案（不是杀毒）：Microsoft 安全公告 MS17-010 - 严峻

　　其他防备 方案：假如 本身 并不必要 利用 smb共享文件，可以思量 直接利用 windows自带防火墙主动 屏蔽445端口来到达 “临时 办理 ”的目标

　　不外 着实 对于已经中毒的用户并没有什么实质性作用 ，毒可以打扫 了，数据还是 回不来

　　Wcry宿世 此生 ：Wcry Ransomware

　　关于被加密资料无法被解密的缘故起因 ：

　　根据上文提及的Wcry Ransomeware 中的说法，病毒采取 AES-128{什么是AES？

　　暗码 算法详解--AEShttps://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86}

　　方式加密用户数据 ，主密钥长度为128bit=16Byte，约为0.016KB；病毒编写者理智的做法是在每台电脑上举行 加密操纵 时，随机天生 个128bit的密钥并对用户数据举行 加密 ，同时或等加密完成后，将该密钥提交回本身 的服务器并删除受感染用户盘算 机上的密钥 。统统 处理 惩罚 妥当，弹出打单 界面 ，用户终于知道了本身 被感染了，然而已经晚了。

　　AES的暴力破解是天下 性困难 ，以AES-128为例 ，其密钥总个数为2的128次方个，约为3.4×10的38次方个，假如 天生 全部 密钥并存储在一个文本文档中，忽略换行等其他开销 ，大概必要 占用4.95×10的27次方TB。

　　病毒体本身 不生存 密钥，无密钥环境 下暴力破解又是不大概 完成的任务 ，利用 Windows的高危弊端 举行 传播 ，可以在用户不举行 任何操纵 的环境 下感染，这大概就是这个打单 病毒最令人感到绝望的地方了。

　　还好，国内运营商反应够快；还好 ，无线路由遍及 了（以是 我要吐槽IPv6没有NAT6了，把全部 装备 袒露 在公网上，一旦出现雷同 环境 必死无疑）；还好 ，微软被人骂惨了的逼迫 开启Win10的主动 更新终于还是 立大功了

　　在校园网又不想装第三方杀毒的人（以后 ）能做什么：开启主动 更新；开启Windows自带的防火墙；接洽 学校把全部 师生的IP地点 禁用公网访问权限，仅开放白名单内的IP（大误，我会被打死的）；假如 有大概 ，在电脑和校园网直接加一个路由器以克制 个人电脑被直接袒露 在公网上（我赌钱 ，以后不会出现路由器和Windows操纵 体系 同时爆出0day，就算是同时爆0day了，如今 路由器厂商/体系 这么多 ，我赌它不会出现全部 路由器都被0day） 。

　　ps:经批评 区提示 ，如今 的家用路由也一堆0day没（法）修复

　　涉密不上网，上网不涉密 ，这是包管 安全的最好途径了

　　假如 必须要联网，安全就只能是相对的安全了。

　　假如 懒得根据教程手动添加防火墙规则，大概 不放心本身 设置是否精确 ，可以利用 如下方案：

　　以管理员模式运行cmd或powershell，并依次实行 以下两条下令 （Windows7及以上，vista没测试 ，应该也行）

　　netsh advfirewall set allprofile state on netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

　　WindowsXP直接在cmd窗口中运行（不包管 肯定 有效 ）：

　　netsh firewall set opmode enable netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445 net stop rdr net stop srv net stop netbt

　　第一条下令 为开启防火墙（无论防火墙是否开启都可以实行 ）

　　第二条下令 为添加一条inbound记录 ，名字为band445，内容为拒绝445端口的tcp毗连

　　固然 病毒危害很大 ，但我们仍必要 保持根本 的理智

　　1 、固然 用路由可以克制 遭受攻击，但是校园网不让用路由，一人一号一IP这些规定不应该为这件事背锅。这件事的锅只能甩到NSA头上 。

　　答主上学的学校采取 的白名单制，固然 用着公网ip ，但只要不在白名单里，全部 入口哀求 都会被学校给拦截掉。说实话 纵然 如今 依然倾慕 你们这些有手里能拿的IP有公网权限的学校/人。

　　2、我仍旧 不发起 把445乃至 是135，137 ，138，139端口一关了事，正统的办理 方案是打补丁 ，因噎废食就不好 了 。smb服务提供了很方便的局域网共享服务，可以很简单 的共享文件及打印机。在发起 别人关掉端口的时间 ，同时也要告知 ，一旦端口关了，通过“网络”大概 “网上邻人 ”共享文件/打印机就不能用了；以是 固然 我在上面给出了假如 在防火墙里设置拦截目标 端口为445的tcp哀求 的方法，但这这只是一种临时 步伐 ，用来克制 在打补丁的同时被感染。在补丁打完后，假如 有共享文件的必要 请把deny445的规则删除；纵然 临时 没有相干 需求，也盼望 用户知道本身 在防火墙里设置了什么 。

　　Smb是一个好东西，纵然 答主如今 利用 Osx大概 Linux ，都会安装/开启这个服务（用来更换 Nfs来举行 局域网文件共享）。

　　3、这次发作 的Wcry Ransomware如今 并没有看到有杀毒软件厂商更新病毒库，不知道其是不是蠕虫。

　　假如 不是蠕虫，其攻击特点是必要 有人来操控 ，受感染的盘算 机不具备相互 感染 的本领 。但同时，受感染的盘算 机中也不会存在完备 的病毒体；用来举行 加密操纵 的主体很大概 在加密操纵 完成后就被删除了，只留下一个能弹窗让用户付钱的小程序即可。

　　假如 是蠕虫 ，特点是一台呆板 感染，蠕虫会实行 感染 到它能访问到的其他呆板 。假如 是这种环境 ，则可以在受感染的盘算 机中找到完备 的病毒（固然 找到了也没啥用）。并可以分析其是否有“将主密钥回传的操纵 ” 。不外 ，我个人猜疑 不大概 有，由于 这一操纵 太脆弱了。无论是向目标 服务器的ip还是 域名发哀求 ，在病毒主体被截获后 ，这个ip/域名很轻易 就被屏蔽了，而且这么招摇留个ip在那儿并不会增长 攻击者的“预期收益”。嗯，这段话的意思是，想着费钱 消灾的人大概可以放弃这个想法了 。

　　根据cnbeta报道 ，若报道属实，等待 wcry“疫情 ”能尽快得到控制。