服務項目‎ > ‎資訊安全控管‎ > ‎

勒索軟體 Wannacrypt0r2.0 介紹

 WannaCry 勒索軟體 FAQ 問與答懶人包 12 個你不知道的祕密! [重要必讀訊息]  

#1: WannaCry為什麼可怕?
有別於其他必須依賴使用者點擊郵件附檔或網頁上安裝程式的勒索軟體,WannaCry 完全不需要,只要安全漏洞存在就能夠入侵 Windows 系統,讓惡意程式悄悄地把電腦裡的檔案加密上鎖。

(註:  WannaCry 別名 WanaCrypt0r 2.0 Ransomware 或 WCry)

#2: WannaCry 感染途徑?
WannaCry 執行攻擊的漏洞稱為 EternalBlue「永恆之藍」,是駭客集團參考美國國家安全局 (NSA) 外洩機密的改造品。具體操作為運用 Windows 伺服器訊息區塊功能(SMB)的不完善,攻擊該漏洞後可以將前導檔案送入被害者的 Windows 系統,再將此檔案當成服務執行,如同多階段跳板。接著再將真正的勒索檔案送入受害系統,它會對檔案進行加密讓它們全變成 .WNCRY 副檔名,同時也會輸入另一個用來顯示贖金通知的檔案。


#3: WannaCry 影響的檔案?
受影響的檔案類型共有一百多種,包括各種 Microsoft Office 檔案、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名,均會被改成 .WNCRY


#4: WannaCry 的加密系統?
為 AES-128 加 RSA 的組合,加上駭客混入自己的改良方法,讓解碼極為困難,可以將破解視為不可能的任務。


#5: 坊間的解密或復原工具,可救回加密檔案嗎?
WannaCry 的編碼難度高,所以不可能有這種東西。有時間想研究可以試跑看看,但是不要抱太大希望。

#6 為什麼 WannaCry 災情都在舊版的 Windows 上出現?
因為部份舊版本的 Windows 已經終止支援 (例如: Windows XP SP3Windows Server 2003)參見 Windows 週期資料表 https://support.microsoft.com/zh-tw/help/13853/windows-lifecycle-fact-sheet),此狀況下漏洞就沒有機會被修補。如果有修補檔案卻被使用者關閉自動更新,也會讓電腦暴露在危險之中。


#7 什麽是 KB4012598?
這是 Microsoft 於 2017/3/12 推出的 SMB 安全性更新(安全補丁),也就是事先防堵近期 WannaCry 所利用的資安漏洞,支援 Windows Vista、Windows Server 2008、XP Embedded 等版本。依慣例,當時並沒有包含已終止支援的 Windows XP SP3 與 Windows Server 2003。此安全性更新,在這幾個 Windows 版本通通使用 KB4012598 編號。
由於災情大量在全球 XP 電腦上出現事態極為嚴重所以微軟很罕見地破例在 2017/5/13 為 Windows XP 3XP SP2 for x-64 based system以及 Windows 8 Windows Server 2003 都提供 KB4012598 安全性更新檔請點擊右邊連結詳見清單 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


#8 什麽是 MS17-010?
這是 Microsoft  推出的重大資訊安全公告 (https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx),針對當時支援中的 Windows 版本提供安全性更新檔案清單內包括 Vista8.1Windows 7Windows Server 2008 & 2012 & R2 與 Windows 10總計 30-40 個更新檔案

讀者如果看過上面的 KB4012598,也許會注意到,為何沒有 Windows 7、Windows 8.1 或 Windows 10? 答案是,雖然都是強化 SMB 遠端執行程式碼安全性,但賦予的 KB 編號不一樣。

Windows 10: KB4012606、KB4013198 與 KB4013429

Windows 8.1: KB4012213、KB4012216

Windows 7: KB4012212、KB4012215

所以 MS17-010  其實包含了所有支援中 Windows 版本之 SMB 遠端執行程式碼安全性,包括 KB4012598。2017/5/13 起更擴展到 Windows XP SP3、Windows Server 2003 ...等版本。


#9 什麽是 WannaCry 第一波攻擊?  
起始於 2017/5/12 週五,全世界大規模感染 WannaCry,首波災情影響了 150 個國家,至少 23 萬部電腦,勒索程式以 28 種語言文字要求受害用戶支付等值於 300 至 600 美元之比特幣。

然而,署名為 MalwareTech 的一個英國年輕工程師,在解析 WannaCry 程式碼過程中意外發現一個特殊域名 (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。WannaCry 會嘗試存取該域名,若域名不存在則繼續感染,白話講就是網站無回應就攻擊 ; 若域名有反應,則會停止傳播,此機制稱為 kill switch。

這位無名英雄花費 8.29 英鎊註冊域名後,發現每秒收到上千次請求,這都是 WannaCry 活動的證據,此舉中止了勒索程式的執行,讓 WannaCry 不再傳播。在該域名被註冊後,部分電腦仍可能會被感染,但具備 kill switch 的 WannaCry 之第一波攻擊已經被破解了。

(海外的 WannaCry 程式碼分析,點擊參考: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/  & https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html )


#10 什麽是 Kill Switch?
Kill Switch 可稱為緊急中止開關或自燬機制,會弄出這種惡意軟體的集團,當然不可能是為了最後的良心,其主要目的是用來逃避防毒軟體的分析。它可用來檢驗軟體是否處於一個防毒的虛擬環境中,本來如 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 這類的域名是不會有人註冊的(沒人會用不好記類似亂碼的名稱當域名),因此平常不會得到任何 DNS 回應。如果有回應,表示 WannaCry 判斷是在防毒軟體的環境下,它會停止動作以免被偵測隔離,並在電腦裡潛伏等待其他機會。

如果你去拜訪 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,網頁將顯示 "sinkhole.tech - where the bots party hard and the researchers harder."的回應文字。


#11 防堵 port 445 做什麽用?
445/UDP 是 Microsoft-DS SMB SMB 檔案分享的出入埠,這是從通訊底層去阻擋,可以在電腦本身的防火牆或無線路由器設定。好比你想防止敵人入侵,你可以選擇擊倒駕車的士兵,或毀掉車子本身,甚至把道路封起來,也可以三件事都做。事實上只要依照 MS17-010 與 KB4012598 的指引做過安全性更新,就可以防堵 WannaCry。


#12 Mac 有事嗎?
此波 WannaCry 只針對 Windows 的 SMB 漏洞攻擊,所以其他系統沒有關係,包括 Mac OS X,Android,iOS & 其他非 Windows 平台。不過 Mac 有自己的 勒索病毒「KeRanger」,必須小心對應。


拿掉 Kill Switch 的 WannaCry,坊間稱為 3.0 或變種 (WannaCry New Variants),這件事是必然的且不用太緊張。必然是因為,破解法已被發現,駭客一定會修補。不用太緊張是因為,安全漏洞是同一個,只要有做 Windows 更新就不必擔心。

建議安裝反勒索軟體,它會佔用一點電腦的處理效能,但也能提高其它意惡意軟體或變種被阻攔的機會。
再次提醒,定期備份是必要的工作,這可以讓我們的風險降到最低。

最後,這邊簡短說明幾個解決方法-

一、針對系統本身,拔掉網路線再找一台安全的電腦下載更新包,再逐台更新。
Windows 7的使用者,安全性更新到編號KB4012215
Windows 8.1的使用者,安全性更新到編號KB4012216
Windows 10的使用者,直接將作業系統更新至版本號1607

二、在windows 的防火牆上關閉port 445