先有WannaCry再來Petya，還不趕快去安裝更新？

更新︰有專家發現，今次攻擊很可能並非以勒索為目標，受害者將無法取得檔案。詳見〈Petya/NotPetya扮勒索，付多少贖金也無法救回檔案〉。

上個月加密勒索軟件WannaCry迅速擴散，令大量電腦受到感染。WannaCry所利用的Windows漏洞稱為「EternalBlue」，由美國國家安全局（NSA）的黑客發現，但一直未有匯報給微軟（Microsoft），以便在行動中利用漏洞入侵對象。

去年8月，另一黑客組織Shadow Brokers公開宣稱盜取了NSA的入侵工具，包括多個軟件的漏洞，並威脅公開。最終NSA決定把EternalBlue漏洞被盜一事告訴微軟，也許這是微軟突意推遲原訂於今年2月釋放更新檔的原因，直到3月中微軟發放更新檔，修補了EternalBlue漏洞。

大約一個月後（4月），Shadow Brokers把得到的所有資訊公開，包括EternalBlue漏洞。再一個月後（5月），WannaCry爆發，顯然是因為不少安裝Windows的電腦未有更新。現在又過了一個月，另一勒索軟件Petya的更新版同樣利用EternalBlue漏洞攻擊。

根據網絡安全公司賽門鐵克（Symentec）的資訊，Petya最早於2016年3月被發現。它不僅會像其他加密勒索軟件一樣把電腦上的檔案加密，更會修改及加密主開機記錄（Master boot record）——這是電腦開機後存取硬碟時必須讀取的首個磁區。

最新版本的Petya昨日開始於烏克蘭、俄羅斯以及西歐傳播。根據網絡安全公司卡巴斯基（Kaspersky Lab）的分析，新版Petya利用以下3個攻擊方法︰

• 跟WannaCry一樣使用修改過的EternalBlue漏洞
• 透過TCP port 445遙距針對Windows XP或2008的EternalRomance漏洞
• 針對烏克蘭軟件MeDoc的更新機制

首兩個漏洞均來自NSA以及由Shadow Broker公開，微軟的MS17-010安全更新已經修補了這兩個漏洞，還未安裝更新的讀者必須立即安裝，安裝後亦須為電腦設置複雜密碼，減低入侵機會。

除了EternalRomance外，新版Petya還使用其他比WannaCry更先進的手段去攻擊。根據卡巴斯基的分析，新版Petya成功佔據了一部電腦後，會使用入侵工具來取得網絡上的電腦密碼，取得密碼後就可以感染其他電腦——即使那些電腦已經安裝相關更新，不受EternalBlue或EterbalRomance漏洞影響。

WannaCry雖然傳播力驚人，但其設計上的缺陷，令到一個簡單方法就可以阻止散播。有研究人員擔心，今次Petya不會犯上同樣錯誤，攻擊會更加有效。

現時Petya要求的贖金為價值300美元的比特幣（bitcoin），不過網上所有感染Petya的圖片顯示，似乎有別於一般勒索軟件，受害人都須支付給同一個地址，跟WannaCry類似。問題在於，這會令黑客難以確認受害人有否支付贖金，因此交了贖金也未必可以解鎖檔案。資料顯示，該比特幣地址收到35次匯款，共得到價值約8,730美元的比特幣。

相關文章︰

• WannaCry令多人中招，背後的黑客卻無法賺大錢
• 韓國公司中勒索軟件，講價後付100萬美元贖金解鎖
• 勒索病毒肆虐，微軟批情報部門「囤積」漏洞
• 加密勒索軟件︰鎖上你的檔案　不付贖金打不開

資料來源︰

• NSA officials worried about the day its potent hacking tool would get loose. Then it did. (The Washington Post)
• Microsoft cancels February Patch Tuesday despite 0-day in wild (Ars Technica)
• Schroedinger's Pet(ya) (Securelist)
• Petya ransomware outbreak: Here's what you need to know (Symantec)
• A new ransomware outbreak similar to WCry is shutting down computers worldwide (Ars Technica)
• A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks (Wired)
• 'Petya' Ransomware Outbreak Goes Global (Kerbs on Security)
• Bitcoin Address 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX