WannaCry「接班人」Petya席捲歐洲,快用3個方法防止被新病毒綁架

WannaCry「接班人」Petya席捲歐洲,快用3個方法防止被新病毒綁架
感染Petya後所出現的畫面。Image Credit: Symantec
我們想讓你知道的是

繼上個月的WannaCry後,這個月又有勒索病毒Petya,透過同樣的微軟漏洞,在烏克蘭、俄羅斯以及西歐傳播。

5月,加密勒索病毒WannaCry迅速擴散,感染大量電腦。WannaCry所利用的Windows漏洞稱為「EternalBlue」,由美國國家安全局(NSA)的駭客發現,但一直沒匯報給微軟,以便利用漏洞入侵他人電腦。

2016年8月,另一個駭客組織Shadow Brokers公開宣稱盜取了NSA的入侵工具,包括多個軟體的漏洞,並威脅公開。最終NSA決定把EternalBlue漏洞被盜一事告訴微軟,也許這是微軟突然推遲原訂於今年2月釋出更新檔的原因,直到3月中微軟發表更新檔,修補了EternalBlue漏洞。

大約一個月後(4月),Shadow Brokers把得到的所有資訊公開,包括EternalBlue漏洞。再一個月後(5月),WannaCry爆發,顯然是因為不少安裝Windows的電腦還沒更新。現在又過了一個月,另一勒索病毒Petya的更新版同樣利用EternalBlue的漏洞攻擊。

根據網路安全公司賽門鐵克的資訊,Petya最早於2016年3月被發現。它不僅會像其他加密勒索病毒一樣把電腦上的檔案加密,更會修改及加密主開機記錄(Master boot record)——這是電腦開機後存取硬碟時必須讀取的第一個磁區。

最新版本的Petya昨日開始於烏克蘭、俄羅斯以及西歐傳播。根據網路安全公司卡巴斯基的分析,新版Petya利用以下三個方法攻擊︰

  • 跟WannaCry一樣使用修改過的EternalBlue漏洞
  • 透過TCP連接埠445遙距針對Windows XP或2008的EternalRomance漏洞
  • 針對烏克蘭病毒MeDoc的更新機制

前兩個漏洞都來自NSA,並由Shadow Broker公開,微軟的MS17-010安全更新已經修補了這兩個漏洞,還沒安裝更新的讀者建議立即安裝,安裝後還需要為電腦設置複雜密碼,減低入侵機會。

除了EternalRomance外,新版Petya還使用其他比WannaCry更先進的方法來攻擊。根據卡巴斯基的分析,新版Petya成功佔據了一部電腦後,會使用入侵工具來取得網路上的電腦密碼,取得密碼後就可以感染其他電腦——即使那些電腦已經安裝更新,不受EternalBlue或EterbalRomance漏洞影響。

WannaCry雖然傳播力驚人,但它有著設計上的缺陷,只要一個簡單方法就可以阻止散播。有研究人員擔心,這次Petya不會犯同樣的錯誤,攻擊可能會更加有效。

現在Petya要求的贖金為價值300美元的比特幣(bitcoin),不過網上所有感染Petya的圖片都顯示,Petya似乎有別於一般勒索病毒,受害人須支付給同一個地址,跟WannaCry類似。這會讓駭客難以確認受害人有否支付贖金,因此交了贖金也未必可以解鎖檔案。資料顯示,該比特幣地址目前收到35次匯款,共得到價值約8,730美元的比特幣。

面對Petya勒索病毒肆虐,網路資安公司趨勢科技建議採取三個防範措施來避免感染:

  • 下載微軟軟的MS17-010安全更新
  • 停用TCP連接埠445(停用步驟教學
  • 嚴格管制擁有系統管理權限的使用者群組

延伸閱讀︰

資料來源︰

核稿編輯:楊士範