我們想讓你知道的是
繼上個月的WannaCry後,今個月又有勒索軟件Petya,微軟已經推出安全更新,修補兩個軟件所利用的Windows漏洞。
更新︰有專家發現,今次攻擊很可能並非以勒索為目標,受害者將無法取得檔案。詳見〈Petya/NotPetya扮勒索,付多少贖金也無法救回檔案〉。
上個月加密勒索軟件WannaCry迅速擴散,令大量電腦受到感染。WannaCry所利用的Windows漏洞稱為「EternalBlue」,由美國國家安全局(NSA)的黑客發現,但一直未有匯報給微軟(Microsoft),以便在行動中利用漏洞入侵對象。
去年8月,另一黑客組織Shadow Brokers公開宣稱盜取了NSA的入侵工具,包括多個軟件的漏洞,並威脅公開。最終NSA決定把EternalBlue漏洞被盜一事告訴微軟,也許這是微軟突意推遲原訂於今年2月釋放更新檔的原因,直到3月中微軟發放更新檔,修補了EternalBlue漏洞。
大約一個月後(4月),Shadow Brokers把得到的所有資訊公開,包括EternalBlue漏洞。再一個月後(5月),WannaCry爆發,顯然是因為不少安裝Windows的電腦未有更新。現在又過了一個月,另一勒索軟件Petya的更新版同樣利用EternalBlue漏洞攻擊。
根據網絡安全公司賽門鐵克(Symentec)的資訊,Petya最早於2016年3月被發現。它不僅會像其他加密勒索軟件一樣把電腦上的檔案加密,更會修改及加密主開機記錄(Master boot record)——這是電腦開機後存取硬碟時必須讀取的首個磁區。
最新版本的Petya昨日開始於烏克蘭、俄羅斯以及西歐傳播。根據網絡安全公司卡巴斯基(Kaspersky Lab)的分析,新版Petya利用以下3個攻擊方法︰
- 跟WannaCry一樣使用修改過的EternalBlue漏洞
- 透過TCP port 445遙距針對Windows XP或2008的EternalRomance漏洞
- 針對烏克蘭軟件MeDoc的更新機制
首兩個漏洞均來自NSA以及由Shadow Broker公開,微軟的MS17-010安全更新已經修補了這兩個漏洞,還未安裝更新的讀者必須立即安裝,安裝後亦須為電腦設置複雜密碼,減低入侵機會。
除了EternalRomance外,新版Petya還使用其他比WannaCry更先進的手段去攻擊。根據卡巴斯基的分析,新版Petya成功佔據了一部電腦後,會使用入侵工具來取得網絡上的電腦密碼,取得密碼後就可以感染其他電腦——即使那些電腦已經安裝相關更新,不受EternalBlue或EterbalRomance漏洞影響。
WannaCry雖然傳播力驚人,但其設計上的缺陷,令到一個簡單方法就可以阻止散播。有研究人員擔心,今次Petya不會犯上同樣錯誤,攻擊會更加有效。
現時Petya要求的贖金為價值300美元的比特幣(bitcoin),不過網上所有感染Petya的圖片顯示,似乎有別於一般勒索軟件,受害人都須支付給同一個地址,跟WannaCry類似。問題在於,這會令黑客難以確認受害人有否支付贖金,因此交了贖金也未必可以解鎖檔案。資料顯示,該比特幣地址收到35次匯款,共得到價值約8,730美元的比特幣。
相關文章︰
資料來源︰
- NSA officials worried about the day its potent hacking tool would get loose. Then it did. (The Washington Post)
- Microsoft cancels February Patch Tuesday despite 0-day in wild (Ars Technica)
- Schroedinger's Pet(ya) (Securelist)
- Petya ransomware outbreak: Here's what you need to know (Symantec)
- A new ransomware outbreak similar to WCry is shutting down computers worldwide (Ars Technica)
- A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks (Wired)
- 'Petya' Ransomware Outbreak Goes Global (Kerbs on Security)
- Bitcoin Address 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX