转载wuyou论坛lhc0688的分享帖子<勒索病毒的系统因素>

sucody

这几天看到远景论坛上一篇使用某位大侠精简系统中了勒索病毒的帖子，因无回帖权限，故在这里发个帖子探讨一下。

之所以想探讨，是因为我也遇到跟这位发帖者几乎一样的情况：HTPC客厅主机，连接电视做下载和高清播放使用。

第一次中毒：新装了一版win10LTSB系统，看到很多人说远程桌面功能方便，而这个版本特点之一是保留了远程桌面，就开启尝试了下，第二天发现中了勒索病毒（一个异常特征是Administrator账号被更改远程桌面不能登陆），多年的数据被毁，损失惨重。

第二次中毒：以为第一次中毒是因为浏览网站或者下载带毒附件导致的，所以删除电脑所有分区，重新分区、格式化、重装系统，用之前备份硬盘恢复了部分数据，花了整整三天时间，折腾完毕。第二天发现再次中毒。

第三次中毒：为了测试问题，这次仅安装了系统、NOD32杀毒，安装完毕未再运行其它任何软件、也未浏览任何网页。第二天查看，仍然再次中毒。

这次让我意识到，原因应该是在系统环节因素上，对比与之前的系统使用相同和不同方面：

长期开机无人值守、administrator账号+空密码、局域网访问共享文件夹、路由器开启DMZ（有些下载软件需要），这些跟之前都相同，唯一不同的就是开启了远程桌面。

再次格掉所有分区重装系统，关闭远程桌面（包括相关服务），测试三天，未再中毒。

故个人认为：以上几个使用环节如果同时满足，则100%会中勒索病毒！这也是那我远景发帖朋友同样遇到的问题。

当然这种同时满足多个开放条件的使用环节毕竟是极少数的，客厅电脑、高清播放主机这种情况相对集中一些，所以应该大多数使用者并不会因为使用了admin空账户、或者远程桌面就感染勒索病毒，之所以发帖探讨，是希望遇到此类问题的朋友更清楚导致原因，以便提前防护。

同时也建议，如果没有特别必要，尽量避免上述五种使用设置，提高系统安全性。

iamlhq

楼主的经验很重要，值得注意。

pkllly

楼主这样说才是正理

sucody

1、内置帐号+空密码不等于不安全，而是内置帐号+空密码+允许空密码从网络访问，这才是不安全的，大部分精简系统虽然使用了空密码，但是默认的安全策略是禁止空密码从网络访问的，安全性并没有降低，除非手动修改禁止掉这条策略。
2、为了使用方便如免密自动登录桌面，局域网免输入密码，等等，而使用空密码，这不是好的解决办法，其实有其它方法可以达到类似的安全效果，而且不用过多降低安全性，不用增加使用复杂度。
一、有密码自动登录桌面。使用control userpasswords2，取消“必须输入密码”，设定默认登录帐号和密码，这样有密码时系统启动时同样可以自动登录到桌面；
二、局域网共享，只要局域网中的电脑使用同样的用户名和同样的密码，访问共享时默认会用当前的用户名和密码做认证，这样同样不用输入密码。
三、对密码不同或用户名不同的局域网共享，通过增加一个快捷方式net use \\192.168.1.1\d$ /user:administrator /pass:password的方式也可以很方便的访问。

只是为了登录方便或者SMB访问方便，使用空密码不是很好的方式，即使使用统一用户名和密码也比这样要安全，且并不增加使用时的方便性。
老实说，对于使用管理员权限账户+空密码+允许空密码从网络访问，对于这种情况，我认为完全没有跟其谈安全的必要，你大门都敞开在那，谈其它几个小门有没有关紧有什么意义。
除非你只对家庭局域网和公网两个安全域进行划分，在公网到内网的接口这里做好了足够的安全防范，那么从内部局域网到计算机之间不做防范也不是不行。不过，如果这样的话，远程桌面这个服务有没有对安全性又有何影响？

jipiga

原版+开启远程桌面，长期使用没有问题

Kitty-Katswell

爱读书 发表于 2019-8-6 20:17
所以结论是:装精简版系统尤其是装"不忘初心"的精简版系统必定会中勒索病毒!!

你说这话不对！

sucody

1、内置帐号+空密码不等于不安全，而是内置帐号+空密码+允许空密码从网络访问，这才是不安全的，大部分精简系统虽然使用了空密码，但是默认的安全策略是禁止空密码从网络访问的，安全性并没有降低，除非手动修改禁止掉这条策略。

sucody

2、为了使用方便如免密自动登录桌面，局域网免输入密码，等等，而使用空密码，这不是好的解决办法，其实有其它方法可以达到类似的安全效果，而且不用过多降低安全性，不用增加使用复杂度。
一、有密码自动登录桌面。使用control userpasswords2，取消“必须输入密码”，设定默认登录帐号和密码，这样有密码时系统启动时同样可以自动登录到桌面；
二、局域网共享，只要局域网中的电脑使用同样的用户名和同样的密码，访问共享时默认会用当前的用户名和密码做认证，这样同样不用输入密码。
三、对密码不同或用户名不同的局域网共享，通过增加一个快捷方式net use \\192.168.1.1\d$ /user:administrator /pass:password的方式也可以很方便的访问。

只是为了登录方便或者SMB访问方便，使用空密码不是很好的方式，即使使用统一用户名和密码也比这样要安全，且并不增加使用时的方便性。
老实说，对于使用管理员权限账户+空密码+允许空密码从网络访问，对于这种情况，我认为完全没有跟其谈安全的必要，你大门都敞开在那，谈其它几个小门有没有关紧有什么意义。
除非你只对家庭局域网和公网两个安全域进行划分，在公网到内网的接口这里做好了足够的安全防范，那么从内部局域网到计算机之间不做防范也不是不行。不过，如果这样的话，远程桌面这个服务有没有对安全性又有何影响？

hqokabc

俺从来不用远程的

czzqi

这么说精简掉远程桌面等就不会中这病毒

z_yj

中毒是诸多因素造成的，群晖设置也是一个本案的一大原因。

irwalk

爱读书 发表于 2019-8-6 20:17
所以结论是:装精简版系统尤其是装"不忘初心"的精简版系统必定会中勒索病毒!!

智商捉急，怎么混远景的？

ddzjd439

irwalk 发表于 2019-8-6 20:44
智商捉急，怎么混远景的？

明明就是反话

shaohu

经验很重要，值得注意。

yetaos

好的习惯很重要，自建帐户，设置密码，关闭远程登录，DISM++关闭默认共享，这是家庭单机常用操作

loself

我想知道我是内网IP局域网就我一台电脑会中毒吗（不算手贱自己点病毒）

hufeng5508

不忘初心最大的错误就是忘了教小白怎么走路！（滑稽呢）

、，。！

用精简系统要有使用精简系统的本领。

irwalk

ddzjd439 发表于 2019-8-6 20:51
明明就是反话

看了下等级，有点像反话.......