黑客揭密|比特币勒索事件预防及处理全攻略，反人肉社工网络安全

首先谈谈最近发生的“永恒之蓝 ”事件

近日，全球各地爆发勒索病毒攻击，截止目前，该病毒已经在99个国家观察到超过57000个感染例子。受到感染的国家包括英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰和中国等。

实时感染图示

https://intel.malwaretech.com/WannaCrypt.html

该病毒通过校园网传播，十分迅速。

目前受影响比较严重的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。中病毒后电脑出现如下界面

中国大批高校出现感染情况，众多师生的电脑文件被病毒加密，只有支付赎金才能恢复。目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网是受攻击的重灾区

为什么教育网是重灾区？

国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。

但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别约为5万元和2000元。

校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

简单来说：这是一次到目前为止，全球最大规模的勒索病毒网络攻击事件，这种勒索病毒名为WannaCry（及其变种），全球各地的大量组织机构遭受了它的攻击。被其攻击的计算机会被黑客锁定，然后会收到提示：需要支付价值相当于300美元的比特币才能解锁。

那我该怎么做？

如果你电脑的是MAC的OS系统、Windows10系统，则并不受此病毒影响

复杂的网络环境下，首先要做到

1、强化网络安全意识

不明链接不要点击，不明文件不要下载，不明邮件不要打开

2、数据备份

尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘、网盘

（感觉又给了自己一个买硬盘装女神的理由 ⁄ ⁄•⁄ω⁄•⁄ ⁄⁄ ）

3、使用正版系统并升级至最新

建议仍在使用Windows XP， Windows 2003操作系统的用户尽快升级到 Window 7/Windows 10，或 Windows Server 2008/Windows Server 2012/Windows Server 2016操作系统并更新至最新版本；

4、尽量使用正版软件

5、定期杀毒并修复漏洞

尚未感染，担心有风险怎么办？

第一重保险关闭445、135、139等端口

那是什么东西？

不懂没关系，我们讲究的是方法论，知道如何操作就好

（如果嫌麻烦，有没有快速方法？有！

可以微信关注公号“八级大哥当”后台留言发送  jd  获取）

以关闭135端口为例

1、按“win”+R，输入“gpedit.msc”后回车，打开本地组策略编辑器

2、依次展开“计算机配置---windows设置---安全设置---ip安全策略，在本地计算机”

3、在本地组策略编辑器右边空白处，右键单击鼠标，选择“创建IP安全策略”，弹出IP安全策略向导对话框，单击下一步

在出现的对话框中的名称处写“关闭端口”（可随意填写），点击下一步

对话框中的“激活默认响应规则”选项不要勾选，然后单击下一步

勾选“编辑属性”，单击完成

在出现的“关闭端口 属性”对话框中，选择“规则”选项卡，不要勾选“使用 添加向导”，单击“添加”按钮

在弹出的“新规则属性”对话框中，选择“IP筛选器列表”选项卡，单击左下角的“添加

出现添加对话框，名称填“封端口”（可随意填写），不要勾选“使用 添加向导”，单击右边的“添加”按钮

在出现的“IP筛选器 属性”对话框中，选择“地址”选项卡，“源地址”选择“任何”，“目标地址”选择“我的IP地址”（先别点确定）

先别点确定，继续选择“协议”选项卡，各项设置如图片中所示，图中135指的就是135端口

设置好后点击“确定”

界面返回到“ip筛选器列表”，点击“确定”。返回到“新规则 属性”对话框

在IP筛选器列表中选择刚才添加的“封端口”，然后选择“筛选器操作”选项卡，去掉“使用 添加向导”前面的勾，单击“添加”按钮

在“筛选器操作 属性”中，选择“安全方法”选项卡，选择“阻止”选项

在“常规”选项卡中，对该操作命名，比如“关闭”点确定

选中刚才新建的“关闭”，单击关闭，返回到“关闭端口 属性“对话框，确认“IP安全规则”中 封端口 规则被选中后，单击 确定

在组策略编辑器中，可以看到刚才新建的“关闭端口”规则，选中它并单击鼠标右键，选择“分配”选项，使该规则开始应用

到此，已成功将135端口关闭。

同样的方法你可以继续关闭139、445端口

第二重保险  关闭网络共享

1、打开“控制面板——网络和Internet——网络和共享中心”

2、点击更改高级共享设置

3、关闭网络发现

关闭文件和打印机共享、公用文件夹共享

启用密码保护

经过上面两重保险，你电脑基本上安全，目前攻击方式对你的电脑已经失效

第三重保险  操作系统补丁

若Windows7及以上操作版本系统，建议尽快安装微软官网布补丁MS17-010，该补丁修复了“永恒之蓝”攻击的系统漏洞。

补丁下载地址

https://technet.microsoft.com/zh-cn/library/security/MS17-010

同时检查系统更新，将各种系统版本更新至最新。

若是XP等微软已不再提供安全更新的机器，可以安装反勒索防护软件

例如360：“NSA武器库免疫工具”

下载地址

http://dl.360safe.com/nsa/nsatool.exe

目前已经中毒，受到感染怎么办？

全盘格式化，清空磁盘后，重新安装系统

格式化磁盘重新安装系统会导致之前硬盘上所以数据的清空，如果涉及硬盘有个人重要数据，请先考虑数据恢复的可能性

当然，建议安装正版系统

接下来谈谈社工及网络安全

什么是社会工程学？

社会工程学是黑客米特尼克在《欺骗的艺术》中所提出，但其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。

只要我们上网，就会暴露在网络之中，任何浏览网页、下载文件、观看视频的行为，都会留下痕迹，自己注册的账号、填写的信息也留存在网络，还记得上上篇推文中的爬虫搜索工具吗？

参见文章：

http://www.jianshu.com/p/d249f8058351

一般的搜索引擎是无法做到搜集私密分享的链接的，但是爬虫数据抓包可以

那么，编写一个简单的爬虫工具都可以如此强大，更何况黑客编写的专业工具，全网搜集一个人的信息痕迹，犹如探囊取物。

社会工程学简称社工，一个极端便是我们常听到的人肉搜索

根据法律，我不会公开教如何社工一个人或公司，但是我们相应地可以反社工，学会在网络环境下保护自己

非接触信息收集

非接触信息收集，顾名思义，就是在不物理接触目标的情况下，通过互联网或其他手段，对目标进行信息收集

社工中重要一环是获取信息，然后才是处理信息

在一次渗透测试中，社会工程学应该处于何种位置，应该与其他常规手段如何配合？这是社会工程学实践者应该考虑的。

一般会包括以下信息：

1、姓名

2、性别

3、出生日期

4、身份证号码

5、身份证家庭住址

6、快递收货地址

7、地理位置 （照片EXIF提取;IP地址;附近的人三角定位）

8、学历/小初高大各学校 目标履历素描

9、QQ 微信

10、手机号（曾用与现用）

11、邮箱

12、银行卡

13、电子邮箱

14、支付宝

15、各SNS主页 微博，人人网，百度贴吧，网易轻博客等

16、常用ID

所以，我们可以给自己取一个网名，作为在网络世界的代号，在填写收货地址的时候，只填xx先生/女士，在应聘求职完成后，关闭或删除简历信息，反正日后跳槽仍要重填。

起点

搜寻的起始点可能是多样的，可能是手机号，QQ号 ，微博ID，又或者邮箱。

邮箱和手机号等又可能有多个。

爬虫工具说不得，推荐两个公开的网站，可以查询你注册过的网站，

说明你在上面留过痕迹，并且网站也提供了屏蔽功能

http://www.reg007.com/

http://www.zhaohuini.com/

其他关键点

获取目标的网络痕迹后，要适当筛选。一些较为关键的节点如下：

1、求职网站->简历

2、电商网站->现居住地址

3、域名/站长统计->whois

4、SNS->性格分析

显然得有一定专业知识技能才能做

SNS 信息采集

SNS信息采集相对是一个比较耗时的工作，而且手法各异。

能获取的信息量要依赖于目标的隐私保护意识。

在阅读目标的SNS时，同时也是对目标个性，性格，隐私保护意识的判断。

如果目标隐私保护意识较高，则不需要浪费过多时间在SNS信息采集上。

常见的SNS包括：即时通讯类 腾讯QQ、论坛类 百度贴吧 -> 有大概率获得邮箱

举些例子

例一：观察某目标的微博，目标在微博中提供了淘宝购物记录的截图，评论某件商品。虽然在地址处只露出一半的文字，根据推测+搜索引擎可以判断出目标的物理地址

例二：某目标的微博，该目标参与了某姓名算命测试，通过分享链接可以获取其真实姓名

例三：某目标，在QQ空间中公开”旧号停用，新号为XXXXX….”

如果目标本身的安全意识较高，那么我们可以考虑从他的好友入手，从侧路迂回攻击。当然这样的攻击成本也会更高。

实名制信息关联

1、第三方支付系统

支付宝、微信、京东钱包、苏宁任性付、爱分期等都不仅实名制，还必须你的身份证信息，甚至需要你手持身份证拍摄照片，确保支付安全的同时，也给不法分子以接触到我们的机会

利用支付宝转账核实姓名是最简单的社工。在加为好友后，有时就直接能显示其真实姓名

2、银行系统

利用银行转账核实姓名则是另一种常用方法

3、手机号

手机号早已实行实名制，某些充值点(报亭超市等)可能存在一部分查看手机号实名制信息的权限

4、户籍系统、车牌系统、档案系统等

属于政府等机关内部权限，甚至能查开房记录

最后谈谈一些干货技巧

qq定位

在我们qq聊天的时候，可以通过任务管理器中资源监视器中

选qq进程，看“网络”窗口中“发送”和“接收”字节数的将变化较大的IP地址，其对应IP地址即为当前对话好友所在IP，再百度那串数字就出来地址了

还有一种是

网上流传的日本版QQ、木子李版QQ。这些把定位功能内置在QQ软件里，我就更不推荐使用了

一是比较鸡肋，qq定位只能定位到地级市，二是有安全隐患，毕竟是非腾讯官方的软件，个人编写改动过的软件指不定有暗门，或内藏木马病毒

你的电脑是肉鸡吗？

肉鸡也称傀儡机，是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情。

先说最直接的，也就是如果中了木马被控制，那么黑客跟你电脑通讯一定要经过某些程序，可以如下去判断

操作步骤：

1、使用快捷键win+R，输入cmd

3、在CMD中输入“netstat -an”，回车

检查状态栏为“listening”的，在本地地址TCP协议137、139、593、445、1025、2745、3127、6129、3389端口和UDP协议135、139、445端口

对应在外部地址中是否有xxx.xxx.xxx.xxx:8000/8080/134

如果有，代表电脑已经成为肉鸡

但是我们不可能每天都检查一次，麻烦，所以我们可以使用windows defender等杀毒软件

另外，在平时注意以下现象：

1、QQ等即时通讯工具的异常登录提醒（系统提示上一次的登录IP不符）；

2、网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录；

3、有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作；

4、正常上网时，突然感觉很慢，硬盘灯在闪烁，就像你平时在COPY文件；

5、摄像头的指示灯有时候亮起来或者当你准备使用摄像头时，系统提示，该设备正在使用中；

6、在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪；

7、不上网没事，上网过程中计算机突然重启；

8、有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成 ）；

9、一些用户信任并经常使用的程序（QQ`杀毒）卸载后。目录文仍然存在，删除后不久又重新出现；

10、电脑运行过程中或者开机的时候弹出莫名其妙的对话框；

11、电脑莫名的多了一些不知道是啥的文件。

假如发现成了肉鸡，要做的第一件事情是断网，然后杀毒，为了彻底，建议备份重要的无毒文件后，格式化所有磁盘，再重装系统

电脑监控

介绍一款国产软件：

向日葵  官网   http://sunlogin-v2.oray.com/

类似teamviewer软件，用于远程控制，桌面共享和文件传输的实用软件，也可以远程控制及监控电脑，十分简单，自行摸索几分钟会用。

注意的是：

需要在手机上和电脑端分别安装其客户端

在电脑上下载了之后，可以取消勾选此项，并把图标隐藏

这样，手机端进行远程桌面观看的时候电脑操作者会浑然不知

照片隐含的信息（以苹果手机为例）

地理位置信息：

在我们手机开启定位情况下拍照会记录我们的拍摄地点，在相册的地点里常见到例如

那我们怎么去除地理信息？

首先很简单，你如果不想照片留地理信息，手机在拍摄时就不开启定位服务，但坏处是这样手机本身就没开定位了

当然也可以事后清除信息

两种实用方法，可以在任意社交软件上发送一下照片给好友或自己

发送时候不选取原图

发完之后保存聊天天记录中的图片，这样，虽然画质压缩，但是照片的地理信息等皆被清除

第二种方法是使用专业软件

可以去除照片所有信息（还可查看拍摄设备等信息）

获取方式：后台发送  ex

一般来说，养成一个良好的上网习惯，下载软件及资料首选官方网站，有能力的支持正版，小网站不乱逛，不明链接不乱点。

人性来说，黄赌毒是最难脱离的，也分别代表了欲望、空手套利的贪婪、沉浸虚幻的精神精神鸦片，网络攻击方面，黄色边缘的相关网站、文件作为木马占了大多数，所以还是得管好自己的手。

在网吧，尤其是不正规小网吧，不建议做工作事务、插拔带重要文件的U盘。即便网吧本身没问题，同属一个局域网的电脑，只要黑客登录了一台就可以顺着局域网入侵你那台，那就危险了。

最后介绍几个实用工具

密码泄露

华西安全网密码泄露查询，查询自己是否泄漏信息

网址：http://cha.hx99.net/

比如我随便拿一个邮箱查一查，密码一般不是第三列的明文，但可以通过特殊手段处理得到真实密码。

可以看到来源，这说明该邮箱在第四列的那些网站上的账户该改密码了，再不改说不定就。。。

手机隐私保护

阿里小号：

可以获取小号，临时使用，不用再装SIM卡，杜绝骚扰

获取方式：应用市场搜索即可

邮箱隐私保护

Bccto临时收件邮箱申请

网址：http://mail.bccto.me/

在线临时邮箱申请网是一个提供10分钟临时邮箱申请和使用的网站，我们在注册包含个人真实邮箱隐私的临时服务但无关紧要的网站或社区，可以使用临时邮箱，申请10分钟后将会自动注销临时邮箱地址。

ccleaner   cookies清理专家

网盘链接: https://pan.baidu.com/s/1o8x5sng

密码:  牛b

可以清理上网、剪贴板、历史记录的软件，也可以清理大文件及垃圾文件

赶快行动起来吧！