先有WannaCry再來Petya,還不趕快去安裝更新?

先有WannaCry再來Petya,還不趕快去安裝更新?
感染Petya後所出現的畫面。Image Credit: Symantec
我們想讓你知道的是

繼上個月的WannaCry後,今個月又有勒索軟件Petya,微軟已經推出安全更新,修補兩個軟件所利用的Windows漏洞。

唸給你聽
powered by Cyberon

更新︰有專家發現,今次攻擊很可能並非以勒索為目標,受害者將無法取得檔案。詳見〈Petya/NotPetya扮勒索,付多少贖金也無法救回檔案〉

上個月加密勒索軟件WannaCry迅速擴散,令大量電腦受到感染。WannaCry所利用的Windows漏洞稱為「EternalBlue」,由美國國家安全局(NSA)的黑客發現,但一直未有匯報給微軟(Microsoft),以便在行動中利用漏洞入侵對象。

去年8月,另一黑客組織Shadow Brokers公開宣稱盜取了NSA的入侵工具,包括多個軟件的漏洞,並威脅公開。最終NSA決定把EternalBlue漏洞被盜一事告訴微軟,也許這是微軟突意推遲原訂於今年2月釋放更新檔的原因,直到3月中微軟發放更新檔,修補了EternalBlue漏洞。

大約一個月後(4月),Shadow Brokers把得到的所有資訊公開,包括EternalBlue漏洞。再一個月後(5月),WannaCry爆發,顯然是因為不少安裝Windows的電腦未有更新。現在又過了一個月,另一勒索軟件Petya的更新版同樣利用EternalBlue漏洞攻擊。

根據網絡安全公司賽門鐵克(Symentec)的資訊,Petya最早於2016年3月被發現。它不僅會像其他加密勒索軟件一樣把電腦上的檔案加密,更會修改及加密主開機記錄(Master boot record)——這是電腦開機後存取硬碟時必須讀取的首個磁區。

最新版本的Petya昨日開始於烏克蘭、俄羅斯以及西歐傳播。根據網絡安全公司卡巴斯基(Kaspersky Lab)的分析,新版Petya利用以下3個攻擊方法︰

  • 跟WannaCry一樣使用修改過的EternalBlue漏洞
  • 透過TCP port 445遙距針對Windows XP或2008的EternalRomance漏洞
  • 針對烏克蘭軟件MeDoc的更新機制

首兩個漏洞均來自NSA以及由Shadow Broker公開,微軟的MS17-010安全更新已經修補了這兩個漏洞,還未安裝更新的讀者必須立即安裝,安裝後亦須為電腦設置複雜密碼,減低入侵機會。

除了EternalRomance外,新版Petya還使用其他比WannaCry更先進的手段去攻擊。根據卡巴斯基的分析,新版Petya成功佔據了一部電腦後,會使用入侵工具來取得網絡上的電腦密碼,取得密碼後就可以感染其他電腦——即使那些電腦已經安裝相關更新,不受EternalBlue或EterbalRomance漏洞影響。

WannaCry雖然傳播力驚人,但其設計上的缺陷,令到一個簡單方法就可以阻止散播。有研究人員擔心,今次Petya不會犯上同樣錯誤,攻擊會更加有效。

現時Petya要求的贖金為價值300美元的比特幣(bitcoin),不過網上所有感染Petya的圖片顯示,似乎有別於一般勒索軟件,受害人都須支付給同一個地址,跟WannaCry類似。問題在於,這會令黑客難以確認受害人有否支付贖金,因此交了贖金也未必可以解鎖檔案。資料顯示,該比特幣地址收到35次匯款,共得到價值約8,730美元的比特幣。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader