中了WCry/WanaCry 勒索木马，怎么办！

上周末，互联网最火的一张图片就是这张了：

因为这张图片让码农们开心，

让加油的人伤心，

让 ATM 崩溃，

让交警练书法，

让警察变懵逼，

这是为什么呢？

因为它--病毒 WCry/WanaCry 勒索软件。今天我们请来一位暗中保护我们的安全大神，让他为我们聊聊这个让人谈之色变的蠕虫病毒。

---

Q：泡面小妹

A：安全大神

Q：为什么当大家还没有反应的时候，病毒已经遍布全球了呢？

A：该病毒利用美国 NSA 泄漏的永恒之蓝漏洞远程执行病毒。植入病毒后，利用中毒机器，不停地对外网以及内部网络进行漏洞扫描利用，导致指数级别扩张，致使一人中马，全家光荣。

Q：我的电脑在内网，不能上网，内部也不能随便访问，有中毒的可能行么？

A：当然可能，君不见公安网中毒了警察叔叔都放假了。网络策略只能增加感染的难度，而不能阻止。内网或物理隔离中有一台中毒，没打漏洞补丁的都会悲剧。

Q：现在或未来怎么避免中毒？

A：这个漏洞微软3月份就颁发了补丁，我们只要按时打漏洞补丁就不会出事了。

Q：网络上说的 kill switch 是什么鬼？

A：当病毒访问一个指定的不存在的域名时，该域名如果返回信息，则退出，若没有返回任何信息，则执行后面加密流程。这个域名就被称为 kill switch。老外取名字的功力很牛掰的。病毒具体的流程如下：

没看完吧，其实我也没看完。

Q：加密的文件可以自己恢复么？

A：没有私钥，无法恢复。

该病毒加密原理是：

* 每台机器使用 RSA 生成一个 2048 位的证书：PubA，PrivA；

* 病毒编写使用 RSA 生成一个2048位的证书：PubB，PrivB，PubB 固定写在病毒中，PrivB 病毒幕后黑客掌握着；

* 使用 PubB 加密 PrivA，并将 PrivA 删除；

* 生成一个随机数 KEY，用这个 KEY 使用 ASE 128 位加密文件，然后删除原始文件；

* 使用 PubA 加密 KEY，并保存。

具体流程如下：

若想要解谜文件，你必须知道 KEY。而 KEY 是使用 RSA 公钥加密的，解密你需要私钥，而私钥在本地是被另外一个 RSA 公钥加密的，你解密必须知道另外一对 RSA 的私钥，但是这个私钥保存在黑客手中。所以没有黑客的帮忙你无法解开。

Q：我中毒了，该如何恢复数据？

A：有多重渠道：

* 删除原始数据的话，你硬盘没做任何操作的话，可以数据恢复，但是不保证都可以恢复出来；

* 你当作穷人可以等。

* 等待私钥的公布。黑客可能因为良心或者被抓等原因公开私钥，到时候利用该私钥解密。 

* 如果真着急，上述方法都不行，那只能支付比特币，把加密的私钥买回来，但是不建议使用这项，因为有可能你支付了，黑客忘了给你恢复了。

广而告之

易宝 CTO 陈斌翻译的新书《架构真经》正在京东和亚马逊热卖！

《架构真经》：《架构即未来》姊妹篇，硅谷大咖的干货呈现，互联网架构的50条军规。唐彬、向江旭、叶亚明、段念、吴华鹏、张瑞海、韩军、程炳皓、张云泉、余晨、李大学、霍泰稳联袂力荐。