WannaCry加密勒索漫延全球 防護貼士由認識病毒開始

繼 Locky 之後,加密勒索軟件再次成為全球焦點,因為近日新發現的 WannaCry 正迅速地襲擊全球各國,受影響的檔案會被加密成為「.WCRY」副檔名的檔案,而且桌面 Wallpaper 會被換成勒索訊息,更要脅如果 7 天內不支付贖金,所有被加密的檔案將會被永久刪除!

WannaCry 簡介
根據卡巴斯基實驗室的分析,WannaCry 通過 Microsoft Windows 的 SMBv2 遠端執行代碼啟動,該代號為「EternalBlue」的漏洞在今年 4 月 14 日由Shadowbrokers 於互聯網上發佈,不過 Microsoft 在 3 月 14 日已經發放補丁堵塞漏洞,不過,明顯有很多機機或用戶並未安裝相關的補丁。

西班牙的電腦緊急應變隊 CCN-CERT 已經在 WannaCry 大爆發後不久,透過他們的網站發出警,大規模的勒索軟件攻擊正侵襲多家西班牙企業,在警告中建議用戶安裝 Microsoft 2017 年 3 月的保安更新,以阻止病毒繼續漫延。

英國的國民保健署(NHS)同樣發出警告,並且已確定有 16 家醫療機構受到感染,卡巴斯基實驗室已確認到多個國家同樣受到侵襲,當中包括俄羅斯、烏克蘭和印度。

用戶必需要認清一點,沒有補丁的 Windows 漏洞會讓「EternalBlue」有機可乘,通過 SMB 服務進行遠端攻擊並且感染 WannaCry 勒索軟件,不過即使堵塞了此漏洞並非真正預防它的運作,它只是現時導致大爆發的重要因素。

WannaCry 預防建議
1. 確保所有裝置已經啟動網絡保安方案

2. 安裝 Miscrosoft 官方補丁(MS17-010),堵塞被用作攻擊的 SMB 漏洞。

3. 使用卡巴斯基實驗室產品的用戶,確保已經啟動 System Watcher 功能。

真實示範:勒索軟件 WinnaCry 入侵及攔截

 

分析 WannaCry 攻擊行為
卡巴斯基實驗室已經錄得超過 45,000 宗攻擊個案分佈在 74 個國家,俄羅斯是最多個案的地區,另外也有其他報導指,在香港附近的台灣是全球第二大受害地區,但是不排除有更多個案未被發現,相信實際受影響人數會遠超這個數字。

攻擊首數小時地區分佈圖

WannaCry 惡意程式會加密用戶的檔案,也會留下和執行解密工具,中毒初期會顯示要求 300 USD 的比特幣贖金,而且隨時間增長,之後會加價至 600 USD,最後更要脅會永久刪除檔案。

根據解密工具的設計,WannaCry 明顯針對多個國家,勒索訊息具有多國語言選擇。

如上文提到,贖款額將會隨倒數時間而增加,除了「加價」的倒數計時器,更加入永久刪除檔案的倒數計時器,以增加威嚇的力度,而倒數計時器在眾多勒索軟件中屬於較罕見。另外,為免用戶忽略警告訊息,解密工具會轉換用戶的 Wallpaper,變成支付贖金解密的指引訊息。

惡意程式只包含通用英語和拉丁語代碼頁 CP1252,並沒有其語言的代碼頁,而檔案包含的版本號碼則由隨機的 Windows 7 系統工具中盜取。

為了方便受影響人士支付比特幣贖金,惡意程式提供btcfrog 的 QR code 引導引戶至黑客的比特幣錢包。

其中一個黑客的比特幣錢包

在 C&C 方面,惡意程式使用匿名網絡進行所需的活動。

其中一個錢包收到了0.88比特幣

目標加密勒索檔案的副檔名資料如下:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

以上檔案分為數個分類:
1. 一般檔辦公室檔案(.ppt, .doc, .docx, .xlsx, .sxi)
2. 較罕見及國家特定辦公室檔案(.sxw, .odt, .hwp)
3. 壓縮檔(.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. 電郵及電郵資料庫(.eml, .msg, .ost, .pst, .edb)
5. 資料庫檔案(.sql, .accdb, .mdb, .dbf, .odb, .myd)
6. 開發者原代碼及項目檔案(.php, .java, .cpp, .pas, .asm)
7. 加密金鑰及認證(.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
8. 圖像設計、美術和攝影師檔案(.vsd, .odg, .raw, .nef, .svg, .psd)
9. 虛擬機器檔案(.vmx, .vmdk, .vdi)

WannaCry 支付贖金「使用手冊」語言支援:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

 

Comments are closed