新勒索病毒肆虐 專家發現防毒「疫苗」
全球各地機構昨天受到大規模網路攻擊,網路安全研究人員發現可防毒的「疫苗」,只要新建防止電腦感染病毒的一個檔案即可。
但英國廣播公司新聞網(BBC News)報導,研究人員還沒有找到所謂的「鎖死鍵」(kill switch),來阻止勒索軟體擴散到其他有漏洞的電腦。專家仍不確定,這場攻擊的源頭或真正目的為何。
由於勒索金額300美元相對較少,有些人揣測這場攻擊可能是造成範圍更廣的破壞或作出政治宣示的掩護。
受害者有烏克蘭央行、俄羅斯石油巨擘俄羅斯石油公司(Rosneft)、英國廣告公司WPP和美國法律事務所DLA Piper等企業。美國匹茲堡也至少有1家醫院是攻擊受害者之一。
但儘管效力有限,這場網攻似乎有解套的辦法。
在C:\Windows文件夾下新建1個命名為「perfc」的唯讀檔,就能阻擋這次的網攻。
網路安全新聞網站Bleeping Computer分享整個操作流程,其他好幾名網安專家也贊同這個作法。
不過儘管這個方法有效,卻只對建有「perfc」檔的個別電腦起保護作用而已。研究人員目前還找不到可以完全阻擋這場勒索病毒攻擊的鎖死鍵。
電腦科學家伍德華(Alan Woodward)說:「儘管可以讓電腦免疫,但仍然是個病毒帶原者。」
「它依舊是個會在相同網絡散播勒索病毒到其他電腦的平台。」
勒索病毒再肆虐 多國電腦用戶頭痛應戰
新一波勒索病毒網路攻擊從烏克蘭、俄羅斯蔓延到歐洲和美國後,全球數以千計電腦用戶今天趕忙將電腦重新啟動。
法新社報導,這種病毒會鎖住受感染的電腦系統,要求用戶支付價值300美元的比特幣,企業和政府機構都難逃魔掌,就連烏克蘭車諾比(Chernobyl)核災監控系統也遭殃,似乎與上個月肆虐全球、波及150多國,導致20多萬用戶電腦受害的WannyCry勒索軟體如出一轍。
不過這一波攻擊規模似乎比上次小得多,全球資安公司卡巴斯基實驗室(Kaspersky Lab)估計,受感染電腦數量為2000台,目前還不清楚這波網攻的幕後黑手是誰。
若干資安專家指出,新一波網攻病毒叫做「Petrwrap」,是去年發威過的「Petya」勒索軟體改良版。但卡巴斯基實驗室形容這次肆虐的是1種新形式的勒索軟體。
烏克蘭企業和重要基礎建設營運商仍在對付這種病毒,烏克蘭是第1個通報遭遇攻擊的國家,似乎也是受害最嚴重的一個。
烏克蘭政府說,勒索病毒傳播已被擋下,但重要機構仍不斷通報有問題發生。
政府在聲明中說:「企業和政府網絡6月27日遭遇的大規模網路攻擊已被阻止。」
車諾比核災監控系統遇駭失靈後,核電廠人員持續使用手持式的蓋格計數器(Geiger counter)來監測輻射量。
基輔鮑里斯波爾機場(Boryspil airport)班機到離的線上資訊尚未恢復,不過機場負責人說,除此之外,機場運作一切正常。
物流運輸公司Nova Poshta說,目前仍面臨無法接受信用卡付款的問題;能源供應商kyivenergo則說,顧客登錄帳號時有問題。
此外,受害者還包括丹麥海運業者馬士基集團(Maersk)、英國廣告業巨擘WPP集團、法國聖戈班集團(Saint-Gobain)和美國製藥大廠默克藥廠(Merck)。
印度政府今天也說,由馬士基集團營運的孟買最大貨櫃港口一處碼頭無法正常運作。
Petya 最大受災國烏克蘭到底有多慘:政府單位、公家機關、ATM 電腦全被攻陷,恢復時間難估計
昨天爆發的新勒索病毒攻擊事件中,目前看來第一起攻擊是發生在烏克蘭,同時它們也是目前災情最慘重的國家,許多公家機關都還在努力從攻擊中恢復。
新型變種病毒 Petya 在昨天晚上爆發以後,以極快的速度在歐洲地區蔓延,其中疑似是第一起攻擊事件發生地的烏克蘭更是災情最慘重的國家。
在事件發生時,烏克蘭已接近傍晚黃昏,但在不到幾個小時間,政府公家機關的電腦迅速回報遭受「不明病毒感染」,無法正常使用。之後,中央銀行、郵政機構、機場紛紛傳出出現同樣的勒索病毒感染畫面。
烏克蘭首都基輔,ATM 畫面出現遭到勒索的畫面,無法正常運作;而 120 多公里遠外的工廠,工人們則是被迫手動使用監測輻射裝置在老舊的車諾比輻射工廠進行檢測。更嚴重的問題還是在於許多公家機關甚至政府組織的電腦也已經遭受攻擊,「我國的基礎建設部、負責電信服務的 Ukrtelecom、以及郵局等單位都已經遭受這起勒索病毒影響。」
烏克蘭的中央銀行也在這起事件中受影響,但它們不願透露太多細節,只表示:「部分銀行確實無法讓客戶正常操作銀行業務。」他們也說「我們很有信心能夠在這起攻擊中存活!」基輔的鮑里斯皮爾機場 (Borispol) 副主任在他的臉書上表示,機場目前也正遭受「擴散攻擊」,部分航班可能會有延誤,而在此同時,鮑里斯皮爾機場的網站目前也無法正常運作。基輔的地鐵系統相關單位也表示「因為遭受攻擊的關係,使用票卡通關的系統目前也無法正常運作。」
不過,烏克蘭政府的官方 Twitter 卻在帳號上表示「大家莫驚慌!」,並貼出了如下的 GIF 動圖檔,「我國的部分政府機關、公司行號企業被病毒攻擊,但大家不必驚慌,我們正在盡最大的努力修復這些問題!」
根據賽門鐵克的最新資料顯示,新型的變種病毒 Petya 在入侵使用者的電腦以後,就會取得電腦的掌控權,並要求支付 300 美元的比特幣,因此背後是誰在操控同樣難以追蹤。他使用了和先前 WannaCry 病毒類斯的系統漏洞,美國國家安全局 (National Security Agency, NSA) 的工具「永恆之藍」(Eternal Blue),並且也利用其他兩項手法加強其傳播速度,也因此,即使是已經安裝了微軟最新更新防護系統漏洞的電腦,還是能夠被這個新病毒突破。資安公司 Armor 研究員 Chris Hinkley 指出,Petya 的攻擊可會加密和鎖定整個硬碟,而不是像之前鎖定個別文件,會更加麻煩。
這一次的攻擊究竟誰才是幕後黑手,目前為止還是沒有人知道,而事件的最大受害者烏克蘭到現在仍在試圖搶救各機關被攻擊的電腦中,近期可能還會擴散到更多的公共設施,包括醫院跟交通網路,尤其是公營事業,像是烏克蘭政府就是還有很多仍然沿用 Windows XP 的電腦,非常容易成為病毒攻擊目標。
這起事件也讓人質疑是否為俄羅斯駭客所為,利用鄰國作為「測試網路戰爭的實驗室」,但俄羅斯已經表示這起攻擊事件和該國無任何關係,俄羅斯的石油巨頭 Rosneft 也表示遭到病毒攻擊,另一個俄羅斯的石油公司 Bashneft 也表示被攻擊。這起事件究竟和俄羅斯有沒有關聯,目前仍然無從得知。
歐警:目前網攻較WannaCry複雜
歐洲警政署今天說,歐洲和北美目前遭遇的網攻,類以上個月的勒索病毒WannaCry肆虐,但似乎有可能「更複雜」。
歐洲警政署(Europol)形容,這是「另一次嚴重的勒索病毒攻擊」;並說,「重大基礎設施和商業系統已被新一波勒索病毒鎖定,目前的病毒是Petya的升級版」。
設在荷蘭海牙的歐洲警政署今天警告:「這陣攻擊造成世界性感染,還沒能加以阻止。」
署長韋恩萊特(Rob Wainwright)發表聲明說:「這與WannaCry攻擊有明顯類似之處,但也有跡象顯示,目前的攻擊能力更複雜,一心要利用各種安全漏洞。」
勒索病毒讓企業亂了套 巧克力廠也停產
1種新型電腦病毒從烏克蘭蔓延到全球,數以千計電腦中毒癱瘓,從印度孟買到美國洛杉磯,許多港口受到影響,甚至還有澳洲巧克力工廠被迫暫停生產。
路透社報導,烏克蘭警方和國際網路專家表示,這種病毒據信是從昨天開始在烏克蘭蔓延,用戶下載1種常用的報稅套件,或造訪烏克蘭1個新聞網站後,病毒就會悄悄地感染電腦。
丹麥航運巨頭馬士基集團(A.P. Moller-Maersk)表示,該公司貨物卡在子公司馬士基貨櫃碼頭公司(APM Terminals)遍及全球的76個營運港口,該公司正在努力處理訂單和搬移貨物。
美國聯邦快遞公司(FedEx Corp)也表示,旗下TNT快遞(TNT Express)受到相當大的影響。
在烏克蘭也有業務的法國建材公司聖戈班集團(Saint-Gobain),以及旗下擁有巧克力品牌吉百利(Cadbury)的億滋國際公司(Mondelez InternationalInc),都受到影響。
吉百利公司電腦系統中鏢後,在澳洲塔斯馬尼亞(Tasmania)工廠今天深夜被迫暫停生產。
這種病毒一路蔓延到南美洲,影響中國大陸中糧集團(Cofco)在阿根廷營運的港口。
這種病毒和5月間攻擊全球的「想哭」(WannaCry)勒索軟體技倆類似,會鎖住電腦,要求受害者繳付相當於300美元的比特幣贖金,要不然資料就會全部不見。
WannaCry才在上個月引發全球災難,周二又有一隻名為Petya的勒贖軟體再度侵襲全球Windows PC。有安全專家率先提出免於被害的暫時性方法。
如同WannaCry,Petya也是利用美國國安局(NSA)被「影子駭客」外洩的攻擊工具EternalBlue,用以入侵Windows PC。災情最重地區為歐洲;烏克蘭的中央銀行、國營電信公司、地鐵及首都基輔機場、車諾比爾核電廠、超市POS、俄羅斯國營石油公司皆被植入Petya,另外美國知名藥廠默克(Merck)、法律事務所DLA Piper及多家醫院也遭到感染。
和一般勒贖軟體相同,感染後,它會加密檔案,並跳出訊息,要求受害者支付相當300美元的比特幣到其所附的區塊鏈網址。
一開始研究人員以為它是以前一個叫Petya的惡意程式新變種,不過後來發現它其實是不同程式,只是有一部份程式碼取自Petya。因此後來有人為之起了NotPetya、Petna或SortaPetya。
一名為Amit Serper的安全專家發現一個方法可保用戶暫時不被加密勒索。NotPetya會先搜尋受害電腦的本機檔案,如果發現磁碟內已經有同名檔案,就不會進行加密。Serper指出,這隻惡意程式的檔名為perfc.dll,只要受害者在PC的c:\Windows檔案夾中建立名為perfc的無副檔名檔案,設為唯讀,就可以防止這隻惡意程式執行。而許多人試用後也證明可行。
微軟在WannaCry攻擊爆發時已經針對Windows新舊版發佈修補程式,包括XP。因此補好的Windows PC應該不用擔心。然而從NotPetya再次席捲各國,顯見Windows更新的情況還是未儘理想。
周三橫掃歐洲及美國的NotPetya再度引起全球對勒贖軟體的恐慌,不過安全專家分析,NotPetya可能實際上是一個攻擊武器。
和其他勒贖軟體一樣,NotPetya感染Windows PC時會加密檔案,然後要求支付相當300美元的比特幣到其所附的區塊鏈網址,並將其比特幣錢包ID和獨有的加密碼寄給一個「@posteo」信箱。使用者照做,駭客可能會寄來解密金鑰,讓使用者要回檔案。而烏克蘭在此次攻擊中受創最重,從中央銀行、國營電信公司、地鐵及首都基輔機場、到車諾比爾核電廠都被感染,連一家超市POS終端機都遭殃。
但安全公司Comae Technologies研究人員Mattieu Suiche指出,NotPetya(或稱Petya.2017)並不是一個勒贖軟體,而是一種wiper型攻擊程式。前者以錢為目的,被加密的檔案可以被解密。但wiper則旨在造成破壞,使檔案無法解密及回復。該公司分析周三攻擊烏克蘭的NotPetya樣本,發現它在加密過程中會覆寫掉受害電腦第一磁區,導致根本無法解密,不同於2016年的Petya勒贖軟體。
卡巴斯基也有相同結論。該公司指出,分析一般勒贖軟體為受害電腦建立的安裝ID碼,會用以回復解密金鑰的資訊,但NotPetya產生的是隨機資料,這意謂著不可能再解密檔案,即使受害者付了贖金也救不回資料。
如下圖綠色框框所示,一般勒贖軟體會為受害者的電腦建立個別的安裝ID,被害者支付贖金並回覆ID碼,駭客才能針對個別的被害者提供解密金鑰,但卡巴斯基指出NotPetya產生ID是隨機的。
此外,不同於一般勒贖軟體為不同受害者建立各自獨有的錢包作為區別,NotPetya則是要求所有受害人匯款300美元等值的比特幣到單一錢包,取得單一識別碼再寄一封電子郵件到某個@posteo.net的郵箱告知。這種方法顯示攻擊者並不在意誰付了贖金,自然也不會想「釋放」檔案。更不用說,代管該郵箱的公司Posteo昨日也立即將可疑的信箱加以封鎖,切斷了受害者和駭客的聯繫。
Petya Or NotPetya:是什麼讓這個勒索病毒比 WannaCry更致命?
新一輪超強電腦勒索病毒Petya到來,初期關於這個病毒普遍都說它是Petya的變種,不過卡巴斯基實驗室表示,大家可能都搞錯了,這一輪病毒並非源自「Petya」病毒,而是之前從未見過的新型勒索病毒,因此卡巴斯基以及部分資安公司將其稱之為「NotPetya」,目前在對這一波勒索病毒的名稱已經有:NotPetya / Petwrap / Petya/ Petrwrap/ Nyetya。
根據卡巴斯基實驗室表示,這個病毒使用了經過修改後的永恆之藍(EternalBlue)漏洞,與之前於五月爆發的WannaCry病毒利用的是相同的漏洞。但是,還是有很多人感到疑惑,既然如此,經過了一輪WannaCry病毒的洗禮,大家應該都把漏洞補起來了。再加上Petya其實也是老病毒,在今年年初就出現過,基本的防毒軟體就有本事防堵,為什麼Petya(或NotPetya)所造成的危害卻還是這麼大?
首先,先講一下Petya(或NotPetya)與WannaCry利用相同的永恆之藍(EternalBlue)漏洞的作用。透過這個漏洞,受害者的電腦不一定需要連上Internet,只要是在區域網路可以被中毒電腦掃描的到,就可以被感染。但是,同樣的,微軟之前已經釋出過安全更新檔,甚至就連原本已經放棄支援的系統,包括XP,都已經提供了安全更新,其實是可以有效防堵Petya(或NotPetya)的這個漏洞。
比WannaCry更強的地方是什麼?
接下來就要講講Petya(或NotPetya)與WannaCry的不同之處,你也可以說是它比WannaCry更強的地方。
透過EternalBlue可以允許它利用微軟的SMB來擴散,不過,在這個前提下,它還用了其它的不同工具,讓它透過區域網路的傳播速度可以變得更快。目前已知的手段至少有以下三種:
- 根據前NSA分析師以及網路安全專家 David Kennedy 表示,勒索軟體會在受感染的電腦中的記憶體或是電腦中的檔案系統中搜尋所有可以找到的Password,去利用這個密碼滲透其它的電腦。
- Petya(或NotPetya)另外用到的技巧是,它會濫用 PsExec這個工具。這個工具原本是用來遠端遙控電腦執行指定的程式,但是在勒索軟體中他被利用來遠端遙控執行病毒程式。例如,如果受感染的PC是網路系統管理員,那麼網路中所有的電腦就都會被感染。
- 另外,根據另外一位資安專家Kevin Beaumont表示,這個勒索軟體還用到了Windows Management Instrumentation (WMI) 工具,Windows Management Instrumentation (WMI) 是一種用來管理執行 Microsoft Windows 作業系統的本機及遠端電腦之資料和功能的主要資源。只要使用能與 Windows Script Host 搭配使用之任何指令碼語言所撰寫的指令碼就可以去取用WMI資料。
透過這些聯合手段的多管齊下,應該就是這次勒索病毒擴散的速度以及全球性感染的關鍵。所以,姑且不論NotPetya到底是不是Petya(這點各家資安廠商有不同意見),你可以說NotPetya這次的創作者目的就是針對要在短時間在大力擴散而設計的。
根據ESET的安全專家 Robert Lipovsky表示,透過這些多管齊下的手法,既使是先前的勒索軟體已經在媒體上大幅度曝光、而且防堵漏洞的更新檔也已經釋出,但只要拿下了區域網路中一個沒有更新到的電腦,然後取得了系統管理員的權限之後,就能擴散到其它電腦,因此還是災情不小。
台灣目前並未有嚴重災情傳出
相較於歐洲國家的災情,我國在上一波WannaCry也有部分公司以及醫院有災情傳出,但是這次似乎沒有聽說有什麼重大災情。
而根據微軟亞太區全球技術支援中心資訊安全暨風險管理經理林宏嘉表示,在昨天第一時間的確國內很多資安人員也神經緊繃,不過觀察下來,雖然不敢說絕對不會發生,但暫時看來並沒有相關的問題發生。
林宏嘉分析原因,他表示基本上這波勒索病毒還是用了EternalBlue(永恆之藍)的漏洞,利用SMB來擴散。而在經過上一波WannaCry的經驗之後,應該已經大多數的企業或是個人都已經進行了安全更新,而且各家防毒軟體也都有充分的防範機制,甚至在之前事件發生時,就連不怎麼懂電腦資安的使用者,可能都自學去關閉了445等通訊埠、禁用SMBv1。
還是該小心郵件釣魚
最後,不管是WannaCry、NotPetya、Petya,由於很多報導都強調這些勒索軟體不用Internet也能傳布,導致一般網友有一個錯誤的觀念,以為這些勒索軟體只靠SMB在內網擴散,這是大錯特錯的誤解。
雖然WannaCry、NotPetya、Petya可以靠內網傳布,但是一開始它還是要有一個「入口」進入到內網,而這些病毒進入這個「入口」的方式,與傳統病毒的方式無異。如果過去用Email、釣魚網站的方式可以駭到你,現在依然一樣。所不同的點在於過去如果想要綁架你們全公司的電腦,他必須要寄到你們公司每一個人的信箱,然後你們公司還必須要每一個人都沒有警覺,每一個人都上當才行。而現在,只要一間公司有一個人上當,其它人可能就跟著遭殃,命中的機率就提高非常多。
另外要提醒的是,NotPetya發作時並不是像WannaCry那樣在背景加密,而是偽裝為突然當機,強制重開機然後掃描修復硬碟,而在這個假裝修復硬碟的同時去對你的檔案進行加密。所以,如果你公司的同事已經有災情,而你突然發現電腦顯示將強制關機進行硬碟修復掃描的訊息時,建議你就先把電腦直接關機或是把插頭拔掉,請公司的資安人員來協助處理。