前言

今天上午还在吐槽,说:“经过这几天的实训,我领悟了一个道理:拥有一台装了Win7的电脑有多么重要。”,下午我的Win7就差点GG了。虽然今天主要讲的是对于 Java Web 来说很重要的JSP,但说实话,真的不是我不学,也真的不是我不努力学,也真的不是我不认真听且努力学,而是这老师讲的实在是太混乱了,完全无法理解。他所做的,就是嗷嗷快地敲一遍代码,再把代码的意思大致提一下,对JSP程序的构成之类的完全不提。我对此表示极其不满意!强烈建议学校有关部门对实训的质量进行严格监督和把控!现在这种级别的实训简直就是在浪费生命!


与JSP有关的内容今天先不提了,我何时研究明白,整理透彻,何时再写。今天记录一下下午差点让我的Win7 GG的东西——

再遇 WannaCry 勒索病毒

继上一次在哈工程某实验室的机子上的Win7系统里中了一次 WannaCry 后,我的Win7系统的副电脑(ThinkPad X200)在沈阳东软睿道的网络上又一次中了 WannaCry。

开心不?开心。刺激不?刺激。意外不?意外。

我在今日(2018-07-12)使用 Proxifier + 酸酸乳 的时候,发现有大量的 mssecsvc.exe 进程访问各种奇怪的IP地址,看文件名本以为是系统服务,也没当一回事。下午装 MyEclipse 2017 的时候,电脑莫名其妙地卡,看了以下资源监视器,发现这个进程的线程数量莫名其妙地多,占了大量的CPU和内存,我这才反应过来什么地方不太对。上网大致查了一下,觉得可能就是 WannaCry 这位只有一面之缘的老朋友。又找到了进程的exe文件,发现居然能用WinRAR打开。打开看了一下内容,确实就是WannaCry,目录结构也和上一次中的时候基本一致。这铁定是实锤了。紧接着我又看了以下病毒的文件属性,发现是在本机上的创建时间是 2018-07-05,也就是说,这玩意已经潜伏了7天,而我竟然没有发现,真是奇耻大辱!不过根据我的观察,这玩意一直在连接各种奇怪的IP,似乎是在积极传播,貌似还没有对我的文件下手,我这几天还插过好几次且好长时间的硬盘,也真是万幸了……不过用 WinRAR 打开 WannaCry 的时候,WinRAR 报了个“不可预料的压缩文件末端”错误,难道是因为病毒传播不全才让我的文件免于一死?虽然我不太懂病毒这种东西,不过我的理性告诉我应该不是这样。合理的解释应该是,病毒的构成包括一段压缩文件,但不完全是压缩文件,后面还合成了一段注入程序之类的东西,WinRAR 成功地打开了前面的压缩文件部分,而对后面的程序束手无策。rar文件和其他文件的合并也不是什么新鲜事了,我早就尝试过把压缩包和图片合并在一起,使用图片的后缀名,以此隐藏压缩文件的内容,想要压缩文件的时候把后缀名改成rar就可以正常打开和解压了。

咋办?淡定地下了火绒,杀毒,先临时解决一下。然后?打补丁啊打补丁!!!紧急打补丁啊!!!尽管东软的网速也是要了命的级别,但也不能不打啊……毕竟补丁才是真正彻底的解决之道……其实也不一定非要用火绒,网上还是有很多专杀工具的。不过至少我是不待见某数字全家桶,无论如何都不想用他们家的东西……(其实我装火绒就是准备放弃裸奔了……国产杀毒我只信任这一家。)

我仔细回忆了一下之前的上网情况,我在5日左右的确没有执行什么奇怪的下载操作,我有充足地信心认为,这病毒是从局域网里传播而来的。既然如此,那么局域网内除了我这台机子以外,应该至少还有一台感染了这种病毒的电脑。鉴于Win10的强制自动更新机制,我不认为另外至少一台应当是Win10系统。老师讲课用的电脑尽管也是Win7,但是他上课用的文件基本都是带来的而不是现下的。所以有两种我认为可能性较大的情况,第一是东软的网不干净,局域网内早就有这种病毒潜伏了,只是我运气不好,恰好条件符合就被感染了而已;另外一种可能就是某个学员不小心下载并执行了这种病毒,他先被感染,然后再导致我被感染。不过话说回来,这两种情况好像对解决问题而言并没有什么差别……无论如何,既然老师讲课用的电脑是Win7,那么他也有极大被感染的可能性,我决定等下课之后去他的电脑上看看,是不是也中招了。哦,又想起来了一件事……由于这 Java 课水得不得了,虽然技术都是目前还在使用的技术,但用的相关软件和环境都是早就过了时的,很多软件与Win10系统不兼容,因此不少同学的电脑都改成Win7了……要是这样的话……emmm……过两天可就有戏看了……不过也不见得,毕竟我是裸奔主义者,一般人应该都会装杀毒的吧……

写到这的时候,我已经用火绒的快速查杀干掉 WannaCry 了,我还特地把病毒导出了一份作为样本留档,也是没谁了……以防万一,我再执行一次全盘扫描,估计得等到下课。那就等着吧……待全盘查杀结果出炉且我观察过老师的电脑之后再继续。

全盘扫描已经完成了,并没有扫出来别的什么东西,说明病毒的传播本体应该不在我的电脑上,也就是说,要么是我下载的病毒已经被我删掉了,要么就是我下载的病毒在注册到系统后对传播本体执行了自毁(这种可能性还是很低的,因为据我所知,WannaCry 基本上是那种毫不避讳自己病毒身份的程序),或者是局域网不干净,从别的电脑上直接干进来的。实际到底是怎样我也是不可能知道的了,毕竟我也没有掌握相关的技术。老师讲课用的电脑我也瞅了一眼,并没有在进程列表中找到 mssecsvc.exe。无论如何,接下来的事情就是要装完我这电脑的漏洞补丁了,这一事情也就告一段落罢。