暫停「殺手鍵」失效!WannaCry 2.0 改良後強勢回歸

資安研究員發現暫停這兩天大規模擴散的勒索軟體 WannaCry 擴散的方法才幾小時,WannaCry 2.0 版就已經出現了。
評論
Photo credit: Karan Gurnani on Flickr
Photo credit: Karan Gurnani on Flickr
評論

資安研究員發現 暫停 這兩天大規模擴散的勒索軟體 WannaCry 擴散的方法才幾小時,WannaCry 2.0 版就已經出現了。

根據 The Hacker News 報導,WannaCry 兩天已經感染了全球 99 國,超過 20 萬台電腦,一但一台電腦感染,此軟體會像蠕蟲一樣感染網路內的其他電腦,而它現在又再度進化,繼續威脅潛在的上萬台未更新的 Windows 電腦。

利用美國國家安全局用來攻擊的漏洞

WannaCry 利用的漏洞 EternalBlue,就是先前曾被 The Shadow Brokers 駭客團體公布,美國國家安全局(NSA)所採用的網攻漏洞。WannaCry 會「綁架」受害者電腦裡的檔案,也就是加密檔案使其無法打開,並收取比特幣作為贖金換取檔案解密。WannaCry 收取 比特幣 作為贖金,估計已經收取了將近 100 筆贖金,共 15 比特幣,約為 26090 美元(787646 台幣)。

之後有一化名  MalwareTech 的資安研究人員,因為發現 WannaCry 會連結一個未註冊的網域作為防衛機制,便出手 註冊 了該網域,成功暫停病毒繼續擴散。不過已經感染的電腦並不會因此而復原。

Motherboard 的報導中,卡巴斯基的全球研究分析總監 Costin Raiu 稍早證實,就在昨天,已經去除可以暫停的「殺手鍵」(Killer Switch)的 WannaCry 2.0 已經出現了。

如何防護?

WannaCry 和一搬蠕蟲不一樣,不需要透過信件騙受害者下載檔案,而是掃描網路上的所有 IP,利用 Windows 本身漏洞遠端狹持電腦,只要你的 Windows 電腦可以上網,又沒有更新到最新版修補程式,都有可能成為目標。不只 WannaCry 本身有了 2.0 版,甚至也有可能出現其他惡意軟體群起仿效,尚未受感染的電腦,最好確保已經安裝官方最新版修補檔。

微軟為此也罕見地為許多已經停止支援的版本 提供修補檔 ,包括 Windows XP、Vista、Windows 8、Server 2003 和 2008。

除了定時備份外,記得儘速安裝微軟提供的最新版修補檔。儘管這次全球災情非比尋常,相信還是有不少組織或個人用戶尚未意識到問題嚴重性而輕忽,而不安裝更新檔,造成損失就後悔莫及了。

另外,幾乎所有防毒軟體大廠都特地為了此次攻擊加強數位簽章,也別忘了把防毒軟體更新到最新版。

另外關於這次使用的 Windows 共享檔案使用的伺服器訊息區塊(SMB)漏洞, The Hacker News 建議使用者可以手動 關閉 SMBv1 來加強預防:

  1. 搜尋 Windows features 打開設定畫面,把 SMB 選想取消打勾,並重新開機。
    或者:
  2. 打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限。)
Photo credit:  The Hacker News Twitter 截圖

延伸閱讀: