2017年5月13日,這一天對於不少的電腦用戶來說是個驚險的一天,一款名為 Wanna Cryptor 的勒索軟件在網上大肆散播,受害者的電腦會加密所有系統檔案,然後要求受害者提供 $300 美元等價的 Bitcoin 為解鎖費用,令不少人聞風色變。
什麼是 Wanna Cryptor
這是一款針對 Windows 而製作的勒索軟件,據稱是應用了4月14日由黑客團隊"The Shadow Brokers"網上公開的攻擊程式,來源是在 NSA(美國國家安全局) 中偷取,其中最為有名的一款是 EternalBlue,就是今次事件的主角,透過 SMB1, SMB2 的漏洞作出攻擊,而其實早在3月14日,Microsoft 已推出了 "MS17-010" 的更新修補了問題,換言之,今次的事件其實對於帶開啟自動更新的用家來說是沒有影響的,而未有更新的舊 Windows 系統則只能任人魚肉。
解決方案
其實早在3月14日,Microsoft 已推出這次的 KB4012598 更新 (當時未有包括 Windows XP 及 Windows Vista),由於事態嚴重,這個 hotfix 目前已支援 Windows XP 至 Windows 8 的系統,Windows 10 用家據 Microsoft 的說法是 Windows Defender 的功勞,暫時未受影響,有需要可以透過下面的傳送門下載 hotfix。
針對 Wanna Cryptor : KB4012598
Microsoft Update Catalog: KB4012598
2017年5月更新
Windows 10
需通過 Windows 更新到 Creator Update 即可
Windows 8.1
更新: WannaKey
雖然距離事發已有一段日子,但假若是中了 WannaCry 而未曾重新開機的話,一款名為 WannaKey 的軟件可以幫到大家,不過作者指只在 Windows XP 的環境下測試過,未知其他平台的表現如何。
原來 WannaCry 會將加密的key file 放到 RAM 之上,一旦關機,key file 亦會隨之消失,這個 WannaKey 就是在 RAM 內尋找 Key file,如果未曾關機的話,這個軟件應該可以幫到大家。
Wannakey - github
另外,除了安裝 hotfix 之外,不少網站也有提出安全建議
- 關閉445、135、137、138、139 port,同時關閉不必要的網路共享功能
- 不要開啟不明來歷的連結、下載不明來歷的檔案、打開不明來歷的郵件(這項是老生常談)
- 定期為電腦備份,尤其是重要文件
- 建議升級到有官方支援的系統(Windows XP、Windows Vista 請更新吧),以及開啟自動更新
新聞
據 Intel 的統計,到雜碎下筆的時候目前有 21 萬的電腦受影響,希望正在看文章的你並不是其中之一吧。
有網友以Wannacry 作測試樣本,配合 VirtualBox,測試了市面常見的 20 款防毒軟件,病毒更新檔維持在 Wannacry 未出生的
2016年12月12日,結果只有 BitDefender Free、Kaspersky Internet Security、F-Secure Client Security、Cybereason RansomFree(這只能防勒索而己)、Emsisoft Internet Security、Dr. Web Anti-Virus 及 SandBoxie 7款而己,其餘的也大致上失敗,當中不少也是老牌的收費防毒,大家以後選擇防毒或者可以參考今次的結果。
可幸的是,一名英國的資訊安全研究員發現了在Wanna Cry上的一個隱藏開關,找到了刪除用的域名,可能是製作人百密一疏,居然未有注冊這個域名,於是花了 USD 10.69 去注冊購買這個域名,成功阻止問題繼續擴散,雖然已中招的用家並不會因此而得到救贖就是。
傳送門
【猖狂黑客】99國受勒索軟件攻擊 醫院急轉移病人 - 蘋果日報
本港有學校及教會受黑客病毒影響 - iCable
英男子找到隱藏開關可阻止勒索軟件傳播 - 驅動之家
WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試
WannaCrypt - Intel malwaretech 監察網站