勒索軟體 Wannacrypt0r2.0 介紹

#2: WannaCry 感染途徑?

WannaCry 執行攻擊的漏洞稱為 EternalBlue「永恆之藍」，是駭客集團參考美國國家安全局 (NSA) 外洩機密的改造品。具體操作為運用 Windows 伺服器訊息區塊功能(SMB)的不完善，攻擊該漏洞後可以將前導檔案送入被害者的 Windows 系統，再將此檔案當成服務執行，如同多階段跳板。接著再將真正的勒索檔案送入受害系統，它會對檔案進行加密讓它們全變成 .WNCRY 副檔名，同時也會輸入另一個用來顯示贖金通知的檔案。

#3: WannaCry 影響的檔案?

受影響的檔案類型共有一百多種，包括各種 Microsoft Office 檔案、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名，均會被改成 .WNCRY。

#4: WannaCry 的加密系統?

為 AES-128 加 RSA 的組合，加上駭客混入自己的改良方法，讓解碼極為困難，可以將破解視為不可能的任務。

#5: 坊間的解密或復原工具，可救回加密檔案嗎?

WannaCry 的編碼難度高，所以不可能有這種東西。有時間想研究可以試跑看看，但是不要抱太大希望。

#6 為什麼 WannaCry 災情都在舊版的 Windows 上出現?

因為部份舊版本的 Windows 已經終止支援 (例如: Windows XP SP3、Windows Server 2003)，參見 Windows 週期資料表 https://support.microsoft.com/zh-tw/help/13853/windows-lifecycle-fact-sheet)，此狀況下漏洞就沒有機會被修補。如果有修補檔案卻被使用者關閉自動更新，也會讓電腦暴露在危險之中。

#7 什麽是 KB4012598?

這是 Microsoft 於 2017/3/12 推出的 SMB 安全性更新(安全補丁)，也就是事先防堵近期 WannaCry 所利用的資安漏洞，支援 Windows Vista、Windows Server 2008、XP Embedded 等版本。依慣例，當時並沒有包含已終止支援的 Windows XP SP3 與 Windows Server 2003。此安全性更新，在這幾個 Windows 版本通通使用 KB4012598 編號。

由於災情大量在全球 XP 電腦上出現，事態極為嚴重，所以微軟很罕見地破例在 2017/5/13 為 Windows XP 3、XP SP2 for x-64 based system，以及 Windows 8 、Windows Server 2003 都提供 KB4012598 安全性更新檔。請點擊右邊連結詳見清單 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

#8 什麽是 MS17-010?

這是 Microsoft  推出的重大資訊安全公告 (https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx)，針對當時支援中的 Windows 版本提供安全性更新檔案，清單內包括 Vista、8.1、Windows 7、Windows Server 2008 & 2012 & R2 與 Windows 10，總計 30-40 個更新檔案。

讀者如果看過上面的 KB4012598，也許會注意到，為何沒有 Windows 7、Windows 8.1 或 Windows 10? 答案是，雖然都是強化 SMB 遠端執行程式碼安全性，但賦予的 KB 編號不一樣。

Windows 10: KB4012606、KB4013198 與 KB4013429

Windows 8.1: KB4012213、KB4012216

Windows 7: KB4012212、KB4012215

所以 MS17-010  其實包含了所有支援中 Windows 版本之 SMB 遠端執行程式碼安全性，包括 KB4012598。2017/5/13 起更擴展到 Windows XP SP3、Windows Server 2003 ...等版本。

#9 什麽是 WannaCry 第一波攻擊?  

起始於 2017/5/12 週五，全世界大規模感染 WannaCry，首波災情影響了 150 個國家，至少 23 萬部電腦，勒索程式以 28 種語言文字要求受害用戶支付等值於 300 至 600 美元之比特幣。

然而，署名為 MalwareTech 的一個英國年輕工程師，在解析 WannaCry 程式碼過程中意外發現一個特殊域名 (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。WannaCry 會嘗試存取該域名，若域名不存在則繼續感染，白話講就是網站無回應就攻擊 ; 若域名有反應，則會停止傳播，此機制稱為 kill switch。

這位無名英雄花費 8.29 英鎊註冊域名後，發現每秒收到上千次請求，這都是 WannaCry 活動的證據，此舉中止了勒索程式的執行，讓 WannaCry 不再傳播。在該域名被註冊後，部分電腦仍可能會被感染，但具備 kill switch 的 WannaCry 之第一波攻擊已經被破解了。

(海外的 WannaCry 程式碼分析，點擊參考: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/  & https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html )

#10 什麽是 Kill Switch?

Kill Switch 可稱為緊急中止開關或自燬機制，會弄出這種惡意軟體的集團，當然不可能是為了最後的良心，其主要目的是用來逃避防毒軟體的分析。它可用來檢驗軟體是否處於一個防毒的虛擬環境中，本來如 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 這類的域名是不會有人註冊的(沒人會用不好記類似亂碼的名稱當域名)，因此平常不會得到任何 DNS 回應。如果有回應，表示 WannaCry 判斷是在防毒軟體的環境下，它會停止動作以免被偵測隔離，並在電腦裡潛伏等待其他機會。

如果你去拜訪 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，網頁將顯示 "sinkhole.tech - where the bots party hard and the researchers harder."的回應文字。

#11 防堵 port 445 做什麽用?

445/UDP 是 Microsoft-DS SMB SMB 檔案分享的出入埠，這是從通訊底層去阻擋，可以在電腦本身的防火牆或無線路由器設定。好比你想防止敵人入侵，你可以選擇擊倒駕車的士兵，或毀掉車子本身，甚至把道路封起來，也可以三件事都做。事實上只要依照 MS17-010 與 KB4012598 的指引做過安全性更新，就可以防堵 WannaCry。

#12 Mac 有事嗎?

此波 WannaCry 只針對 Windows 的 SMB 漏洞攻擊，所以其他系統沒有關係，包括 Mac OS X，Android，iOS & 其他非 Windows 平台。不過 Mac 有自己的 勒索病毒「KeRanger」，必須小心對應。

拿掉 Kill Switch 的 WannaCry，坊間稱為 3.0 或變種 (WannaCry New Variants)，這件事是必然的且不用太緊張。必然是因為，破解法已被發現，駭客一定會修補。不用太緊張是因為，安全漏洞是同一個，只要有做 Windows 更新就不必擔心。

建議安裝反勒索軟體，它會佔用一點電腦的處理效能，但也能提高其它意惡意軟體或變種被阻攔的機會。

再次提醒，定期備份是必要的工作，這可以讓我們的風險降到最低。

最後，這邊簡短說明幾個解決方法-

一、針對系統本身，拔掉網路線再找一台安全的電腦下載更新包，再逐台更新。

Windows 7的使用者，安全性更新到編號KB4012215

Windows 8.1的使用者，安全性更新到編號KB4012216

Windows 10的使用者，直接將作業系統更新至版本號1607

二、在windows 的防火牆上關閉port 445