繼 Locky 之後,加密勒索軟件再次成為全球焦點,因為近日新發現的 WannaCry 正迅速地襲擊全球各國,受影響的檔案會被加密成為「.WCRY」副檔名的檔案,而且桌面 Wallpaper 會被換成勒索訊息,更要脅如果 7 天內不支付贖金,所有被加密的檔案將會被永久刪除!
WannaCry 簡介
根據卡巴斯基實驗室的分析,WannaCry 通過 Microsoft Windows 的 SMBv2 遠端執行代碼啟動,該代號為「EternalBlue」的漏洞在今年 4 月 14 日由Shadowbrokers 於互聯網上發佈,不過 Microsoft 在 3 月 14 日已經發放補丁堵塞漏洞,不過,明顯有很多機機或用戶並未安裝相關的補丁。
西班牙的電腦緊急應變隊 CCN-CERT 已經在 WannaCry 大爆發後不久,透過他們的網站發出警,大規模的勒索軟件攻擊正侵襲多家西班牙企業,在警告中建議用戶安裝 Microsoft 2017 年 3 月的保安更新,以阻止病毒繼續漫延。
英國的國民保健署(NHS)同樣發出警告,並且已確定有 16 家醫療機構受到感染,卡巴斯基實驗室已確認到多個國家同樣受到侵襲,當中包括俄羅斯、烏克蘭和印度。
用戶必需要認清一點,沒有補丁的 Windows 漏洞會讓「EternalBlue」有機可乘,通過 SMB 服務進行遠端攻擊並且感染 WannaCry 勒索軟件,不過即使堵塞了此漏洞並非真正預防它的運作,它只是現時導致大爆發的重要因素。
WannaCry 預防建議
1. 確保所有裝置已經啟動網絡保安方案
2. 安裝 Miscrosoft 官方補丁(MS17-010),堵塞被用作攻擊的 SMB 漏洞。
3. 使用卡巴斯基實驗室產品的用戶,確保已經啟動 System Watcher 功能。
真實示範:勒索軟件 WinnaCry 入侵及攔截
分析 WannaCry 攻擊行為
卡巴斯基實驗室已經錄得超過 45,000 宗攻擊個案分佈在 74 個國家,俄羅斯是最多個案的地區,另外也有其他報導指,在香港附近的台灣是全球第二大受害地區,但是不排除有更多個案未被發現,相信實際受影響人數會遠超這個數字。
WannaCry 惡意程式會加密用戶的檔案,也會留下和執行解密工具,中毒初期會顯示要求 300 USD 的比特幣贖金,而且隨時間增長,之後會加價至 600 USD,最後更要脅會永久刪除檔案。
根據解密工具的設計,WannaCry 明顯針對多個國家,勒索訊息具有多國語言選擇。
如上文提到,贖款額將會隨倒數時間而增加,除了「加價」的倒數計時器,更加入永久刪除檔案的倒數計時器,以增加威嚇的力度,而倒數計時器在眾多勒索軟件中屬於較罕見。另外,為免用戶忽略警告訊息,解密工具會轉換用戶的 Wallpaper,變成支付贖金解密的指引訊息。
惡意程式只包含通用英語和拉丁語代碼頁 CP1252,並沒有其語言的代碼頁,而檔案包含的版本號碼則由隨機的 Windows 7 系統工具中盜取。
為了方便受影響人士支付比特幣贖金,惡意程式提供btcfrog 的 QR code 引導引戶至黑客的比特幣錢包。
在 C&C 方面,惡意程式使用匿名網絡進行所需的活動。
目標加密勒索檔案的副檔名資料如下:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
以上檔案分為數個分類:
1. 一般檔辦公室檔案(.ppt, .doc, .docx, .xlsx, .sxi)
2. 較罕見及國家特定辦公室檔案(.sxw, .odt, .hwp)
3. 壓縮檔(.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. 電郵及電郵資料庫(.eml, .msg, .ost, .pst, .edb)
5. 資料庫檔案(.sql, .accdb, .mdb, .dbf, .odb, .myd)
6. 開發者原代碼及項目檔案(.php, .java, .cpp, .pas, .asm)
7. 加密金鑰及認證(.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
8. 圖像設計、美術和攝影師檔案(.vsd, .odg, .raw, .nef, .svg, .psd)
9. 虛擬機器檔案(.vmx, .vmdk, .vdi)
WannaCry 支付贖金「使用手冊」語言支援:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese