上个月我帮家楼下开打印店的发小王哥修电脑,刚进门就看见他蹲在收银机旁边抓头,屏幕上所有Word、PDF文件的后缀都多了一串乱码,桌面还摆着一个写着“支付0.03比特币解锁”的txt文档——我一眼就认出来,这是8年前震惊全球的永恒之蓝勒索病毒,根源就是没打MS17-010补丁,王哥说他这台收银机接的旧针式开票打印机,厂家早就倒闭了,新系统不兼容驱动,不敢换Windows10,又怕自动更新弄坏系统,所以从买来就关了更新,没想到快十年了还栽在这个漏洞上,万幸他习惯每天把客户文件拷到移动硬盘备份,没丢核心数据,折腾一下午才救回来。
很多人看到MS17-010这串编号都会觉得“这都是老黄历了,现在谁还需要这个补丁”?但实际上,直到2024年,这个漏洞仍然是国内网安威胁榜上的常客,还有成千上万的老设备在裸奔,无数小老板像王哥一样,不知道这个补丁的重要性,更不知道去哪里安全下载。
MS17-010到底是什么,为什么到今天还害人?
MS17-010是微软在2017年3月发布的一个严重漏洞补丁,修复的是Windows系统SMBv1服务里的远程代码执行漏洞,说白了就是这个漏洞能让黑客不用你任何操作,直接通过网络拿到你电脑的最高权限,想加密文件就加密,想装木马就装。
当年美国国家安全局(NSA)泄露的黑客工具“永恒之蓝”,就是利用这个漏洞传播,一夜之间全球上百万台电脑被锁,我国很多高校教务系统、医院收费系统都中招,损失惨重,大家可能觉得都过去7年了,该补的都补了吧?但最新的网安通报打了很多人的脸。
2024年4月,公安部网安局发布的《2024年一季度网络安全威胁态势分析》里明确提到:MS17-010仍然是国内被利用次数第二多的老旧漏洞,占所有漏洞攻击总量的12%以上;同期国家计算机病毒应急处理中心的通报也显示,一季度截获的120多万个勒索病毒样本里,有18%仍然是通过MS17-010漏洞传播,主要攻击目标就是中小微企业、个体工商户的老设备,奇安信2023年全年的统计数据更夸张:全年截获针对MS17-010漏洞的攻击超过1.2亿次,平均每天就有30多万次攻击在扫网找没打补丁的设备。
为什么都这么多年了还有这么多攻击?核心原因就是国内有海量的存量老Windows设备还在服役,我接触过的很多小老板,开超市的收银机、开打印店的开票机、开加工厂的工控机,大多还是Windows7甚至XP系统,这些设备要么是硬件太老不支持新系统,要么是配套的外设、专用软件没有新系统的驱动,换一套就要几千上万,对小本生意来说是不小的成本,所以大多选择能凑合用就凑合用,更不会主动更新系统打补丁,正好成了黑产的“猎物”。
黑产现在利用这个漏洞主要干两件事:一件就是像王哥碰到的那样,直接加密文件勒索,少则要几百多则要几万;另一件更隐蔽,就是偷偷植入挖币木马,用你的电脑算力挖比特币、以太坊,你只会觉得电脑越来越卡,以为是设备老化了,根本想不到自己天天给黑产打工,我之前碰到过一个工厂的老工控机,中了挖币木马一年多没发现,多交了快两万的电费,才查到原因。
哪些人现在还必须下载MS17-010补丁?
很多人看到这里会问:我用Windows10或者Windows11,需要打这个补丁吗?答案是不需要,从Windows8开始,所有新的Windows系统默认已经修复了这个漏洞,而且系统自动更新也会自动打上补丁,完全不需要你手动下载。
但如果你符合下面这几个情况,那一定要找正规渠道下载补丁补上: 第一,你还在使用Windows XP、Windows7、Windows Vista这些已经停止官方维护的老系统,而且从来没开过自动更新,也没做过漏洞修复; 第二,你的这台老设备需要连接外网,不管是收银、开票、上网接单,只要连了互联网,就必须打;如果是完全物理断网用的工控机,那可以不用,但只要连网就一定要补; 第三,你不确定自己打没打过,那就一定要检查一下,这个补丁才几十兆,打了不占空间,也不会影响系统稳定,多一层防护没坏处。
就像我开头说的王哥,他之前一直觉得“我一个开小打印店的,黑客盯上我干嘛”,但黑产根本不用盯着你一个人,他们用自动化工具全网扫IP,只要发现你开了445端口、没补这个漏洞,直接就植入病毒,十台里面中一台就赚了,你觉得自己没价值,但在黑产眼里,只要能当肉机就是价值。
下载MS17-010补丁,这几个坑绝对不能踩
很多人需要补丁的时候,第一反应就是百度搜“ms17-010补丁下载”,然后点第一个链接下,这恰恰是最容易踩坑的,我就碰到过好几个自己乱下补丁中木马的例子,去年冬天,开五金店的张叔找我修收银机,说最近越来越卡,扫个码要半分钟,客人都催,我过去一看,后台有三个不知名的进程占了90%的CPU,明摆着就是挖币木马,问他最近装了什么,他说之前听人说要补MS17-010,就自己百度搜了第一个“高速下载”,下下来安装完就成这样了——那根本不是什么补丁,就是打包好的木马,专门骗小白的。
我整理了两个大家下载补丁最容易踩的坑,一定要记住: 第一个坑:不要去不知名的第三方下载站下载,凡是标题写着“高速下载”“绿色破解版”“官方完整版”的小网站,点进去全是捆绑,下回来不是弹窗广告就是木马,你本来就是来补漏洞的,结果直接把木马请进门,得不偿失。 第二个坑:不要下所谓的“万能补丁”,MS17-010补丁分系统版本,32位和64位、XP和Win7的补丁都不一样,万能补丁大多都是捆绑包,根本没用。
那哪里下载才是安全的?给大家两个靠谱的渠道,放心用: 第一个,微软官方更新目录,这是最安全的,没有任何捆绑,你直接搜“Microsoft Update Catalog”,进去之后搜对应的补丁编号:Win7用KB4012212,XP用KB4012598,找到对应你系统版本(32位/64位)的下载就行,直接就是官方的安装包,下完双击安装,重启就好了,非常简单。 第二个,如果你不会找官方,那就用正规的安全软件,比如360安全卫士、腾讯电脑管家,打开里面的“漏洞修复”,会自动扫描出你系统没打的漏洞,包括MS17-010,直接点修复就好了,不用你自己找版本,适合电脑小白,而且这些大厂商的补丁也是安全的,不会捆绑木马。
补完补丁也别大意,老系统还要做好这几件事
很多人觉得我补完MS17-010就万事大吉了,其实不对,老系统本身已经停止官方维护了,除了补这个补丁,还要做好额外的防护,我给大家整理了几个五分钟就能做完的操作,非常简单:
第一,关闭445端口,这是永恒之蓝攻击的核心端口,哪怕补丁没打对,关了端口也能挡住绝大多数攻击,操作方法也很简单:Win7打开控制面板→找到Windows防火墙→点击高级设置→新建入站规则→选“端口”→下一步输入“445”→下一步选“阻止连接”→下一步所有选项都打勾→起名保存就好了,五分钟就能弄完,小白也能跟着做。
第二,一定要做好数据备份,像王哥那样每天把核心文件拷到外接移动硬盘,是最省钱有效的方法,不要把所有文件都存在电脑本地,真中了勒索病毒,哪怕你打了补丁,万一哪天碰到新漏洞,备份能救你大半条命,对于小生意来说,客户数据、经营记录就是命根子。
第三,如果你的老设备根本不需要上网,那就直接拔网线物理断网,物理断网比任何防火墙、任何补丁都管用,很多工厂的工控机、只用来开票的电脑,本来就不需要上网,那就别连,一劳永逸解决漏洞问题。
我的个人观点:别忽略了小众用户的真实需求
写这篇文章之前,我翻了很多网上的内容,大部分讲MS17-010的都是五六年前的老文章,最近一两年几乎没人提了,很多科普作者都觉得“现在谁还用Win7啊,这个话题过时了”,但我不这么认为。
中国太大了,不是所有人都能每年换最新的电脑、最新的系统,一线城市的白领可以用最新的M系列Mac、Windows11,但是三四线城市开小门店的老板、开加工厂的厂主,他们的老设备只要能正常用,能赚钱,为什么要花大价钱换新?换一套设备的钱可能是他们好几个月的利润,这个选择完全没问题,不能因为我们用新东西,就觉得这些老用户的需求不存在了。
MS17-010补丁看起来是个快十年的老话题,但直到今天,还有成千上万的人需要它,还有很多人不知道去哪里安全下载,还有很多人因为没打补丁中招赔钱,这就是真实存在的需求。
最后再提醒大家一句:如果你身边有朋友还在用Win7、XP的老设备连网,一定要提醒他补好MS17-010补丁,花半个小时做好防护,就能避免几万甚至几十万的损失,对于小本生意来说,稳比什么都重要。