WannaCry
WannaCry(意思係「想喊」;病毒編碼:Win32.Troj-Ransom.WannaCry.cg.**),又嗌比特幣勒索病毒、比特幣病毒、NSA間諜病毒、勒索軟件病毒、NSA惡意軟件,係隻針對舊版微軟視窗嘅勒索軟件病毒,識得用系統漏洞去主動散播。呢隻軟件喺2017年5月12號開始發起大規模攻擊,有150國超過23萬部電腦受影響。除咗之外,WannaCry俾認為利用美國國家安全局嘅「永恆之藍」(EternalBlue)工具以攻擊執行微軟視窗作業系統嘅電腦。 「永恆之藍」傳播嘅病毒以ONION同WNCRY兩個家族為主。「永恆之藍」利用某啲版本嘅微軟伺服器記憶體區塊(SMB)協定中嘅數個漏洞,而當中,最緊要漏洞系俾遠端電腦執行代碼。修復應該漏洞嘅安全修補程式已經喺2017年3月14號發布,但並非所有電腦都進行安裝。
背景
編輯呢次爆發嘅電腦惡意程式對漏洞嘅利用基於「永恆之藍」(EternalBlue)工具。駭客組織「影子掮客」(The Shadow Brokers)喺2017年4月14號發布咗批由方程式組織(Equation Group)漏嘅工具,當中包括「永恆之藍」;而方程式集團據信係屬於美國國家安全局。
永恆之藍利用咗微軟視窗伺服器訊息區塊1.0(SMBv1)嘅幾個漏洞,呢啲漏洞喺通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就呢啲漏洞,微軟公司2017年3月14號喺TechNet發布「MS17-010」嘅信息安全公告,並向用戶推播微軟視窗系統修復修補程式「KB4013389」堵塞呢個漏洞。但因應該補丁只適用於仍講嚇嘢喇!服務支持嘅微軟視窗 Vista或者更新嘅用系統(注:此修補程式唔支持微軟視窗8),較舊嘅微軟視窗XP等系統就唔適用。唔少用戶都因各種原因而未開啟或者完成系統修補程式嘅自動安裝。
2017年4月21號開始,安全研究者檢測到數以萬計被安裝DoublePulsar後門嘅電腦,呢個後門係另一款從NSA外泄嘅黑客工具。截至4月25號,感染呢個後門嘅電腦估計有幾十萬部,數字每重呈指數增長。除EternalBlue之外,WannaCry嘅本輪攻擊亦用咗呢個名為DoublePulsar嘅後門。
2017年5月12號,WannaCry喺國際互聯網開始廣泛傳播,感染咗全球好多行微軟視窗系統嘅裝置。病毒進入目標主機之後,就會對主機硬碟同儲存裝置中多個格式嘅檔案進行加密,然後再利用網絡檔案共用系統嘅漏洞,隨機傳播到其他聯網嘅主機,而處於同一區域網絡嘅相鄰主機都會被感染。呢個漏洞唔零日攻擊嘅漏洞(重未有修補程式嘅安全漏洞),而微軟早喺2017年3月14號就推出更新,堵塞呢個漏洞。與此同時,微軟亦通知用戶,唔好使用老舊嘅第一代伺服器訊息區塊,應該以最新嘅第三代伺服器訊息區塊取而代之。
冇及時下載呢個修補程式嘅微軟視窗主機好可能被感染,而到目前為止,冇證據顯示攻擊者係有目標噉進行攻擊。重行緊已被微軟淘汰嘅微軟視窗 XP嘅主機就非常危險,因為微軟早就唔再為微軟視窗 XP提供安全更新同支援。但由於呢單嘢嘅嚴重性,微軟亦已為部分已被淘汰嘅系統發佈漏洞修復修補程式,微軟視窗 XP、Windows Server 2003同微軟視窗 8用戶都可以喺微軟網站下載修復修補程式。但一啲騰訊電腦管家用戶因修補程式被遮蔽而未能接受到安全更新,事後據官方回應,部分第三方修改系統安裝修補程式後可能搞到出藍畫面、系統異常,因此有啲用戶修補程式被遮蔽。
攻擊方式
編輯呢種病毒靠嘅係AES-128同RSA算法加密,再用Tor搞通訊[1]。佢嘅傳播性好犀利,識得用加密技術嚟鎖住文件嚟唔畀用户入去睇,想睇嘅必須要畀錢先至得[註 1]。加上俾呢種病毒鎖住啲文件冇得改返名,一改返會自動刪。檯面亦會變成黑底紅字帶「Ooops, your files are encrypted.」呢個告示。
應對措施
編輯防禦
編輯若果想有效防禦蠕蟲病毒嘅攻擊,首先應即刻部署微軟安全公告MS17-010中所涉及嘅所有安全更新。微軟視窗 XP、Windows Server 2003同微軟視窗 8應根據微軟嘅用戶指導安裝更新。
當唔具備條件安裝安全更新,而且冇同微軟視窗 XP(同期或更早期微軟視窗)主機共用嘅需求嘅時候,應根據微軟安全公告MS17-010中嘅變通辦法,停用SMBv1協定,以免被攻擊。雖然利用微軟視窗防火牆阻止TCP 445埠亦具備一定程度嘅防護效果,但噉會導致微軟視窗共用完全停止工作,兼夾可能會影響其他應用程式嘅執行,所以應該按照微軟公司提供嘅變通辦法嚟應對威脅。
2017年5月第一次大規模傳播嗰時候,署名為MalwareTech嘅英國安全研究員喺當時嘅病毒中發現咗個未註冊嘅域名,主因係病毒內建有傳播掣(Kill Switch),會同嗰個網域名發出DNS請求,用嚟測試病毒唔係處於防毒軟件嘅虛擬運作環境中,由於個域名冇設置DNS,所以正常情況係唔會有回應,若果有回應就說明處於虛擬環境下,病毒會停止傳播以防俾防毒軟件清除。呢名安全研究員使咗8.29英鎊註冊域名後發現每秒收到成千次請求。喺個網域被註冊之後,有啲電腦可能都係會畀感染,但「WannaCry嘅呢個版本唔會繼續傳播喇」。
然而要注意嘅係,喺部分網絡環境下,例如區域網絡、企業網絡,或者係要透過代理伺服器先可以存取互聯網嘅網絡,呢個域名仍可能唔能夠正常連線。另外,依家有報導話呢隻病毒出現咗新嘅變種,一啲變種喺加密同勒索嗰時都唔係檢查呢個域名。
復原數據
編輯病毒會「讀取原始檔並建立加密檔案,直接將原始檔作刪除操作」。2017年5月19號,安全研究人員Adrien Guinet發現病毒用嚟加密嘅微軟視窗 API存在嘅缺陷,喺非最新版作業系統(微軟視窗 10)中,所用私鑰會暫時留喺記憶體而唔會被即刻清除。佢開發咗個名為wannakey嘅工具,話佢可以幫感染病毒並執行微軟視窗 XP嘅電腦搵返檔案,但前提係部電腦喺感染病毒後冇重新開過機,而且私鑰所在記憶體重未被覆蓋(呢樣靠彩數)。後來有開發者基於呢個原理開發咗「wanakiwi」軟件,令恢復過程更加自動化,並確認呢個方法適用於行微軟視窗 XP至微軟視窗 7時期間嘅多款微軟視窗作業系統。安全廠商都基於呢啲原理或者軟件開發並提供圖形化工具,幫用戶恢復檔案。
調查
編輯2017年5月29號,據CNET引述美國安全公司Flashpoint發表嘅報告話,根據對病毒附帶嘅28種語言撰寫嘅勒索信文法分析研究,病毒製造者有可能係以中文為母語,佢中文版勒索信嘅文法地道,而英文版就有啲文法錯誤,其它語言版本就更似係用Google翻譯去機械翻譯得嚟。喺較早前嘅5月16號,Google、卡巴斯基、閃點(Flashpoint)等多間安全公司嘅安全研究員曾發文認為,病毒嘅幕後黑手可能係源自北韓嘅「拉撒路組」(Lazarus Group)黑客組織,據傳組織人員係住喺中國。但係奇虎360同安天嘅安全工程師認為閃點網絡情報公司僅以語言判斷係好唔專業嘅臆測行為,有博眼球之嫌。
2017年6月17號,據《華盛頓郵報》報道,NSA嘅內部報告認為呢個惡意軟件嚟自北韓情報機關贊助嘅黑客團體,重對呢份報告有「中等信心」。英國國家網絡安全中心(NCSC)亦發表報告將呢單嘢嘅矛頭指向北韓啲黑客團隊。
2017年10月,微軟總裁布賴德·史密夫接受ITV採訪話,好相信北韓係影響全球百五個國家摧毀廿萬部電腦嘅幕後黑手。
事件
編輯2017年5月15號,台灣一名微軟視窗 XP使用者俾WannaCry嘅攻擊後,因電腦配備老舊,導致WannaCry程式運作到一半,突然間「停止回應」而運作唔到。[3][4] [5]
註同攷
編輯- 註
- ↑ 雖然程序話要畀咗錢先至有得睇,但好多時畀咗錢都冇得睇。
- 攷
- ↑ "Global WannaCry ransomware outbreak uses known NSA exploits". 喺2017-05-14搵到.
- ↑ "WannaCrypt ransomware worm targets out-of-date systems". Windows Security (英文). 喺2017-05-15搵到.
- ↑ 〈病毒也WannaCry 電腦太爛讓它被強制停止〉。《中央社》。2017-05-16。
- ↑ 〈入侵「骨董電腦」踢鐵板 WannaCry遭XP「強制中止」只能Cry〉。東森新聞。2017-05-16。
- ↑ "Windows XP computers were mostly immune to WannaCry".