新聞中心

2017-05-23
面對WannaCry攻擊 - 究竟要如何脫離勒贖挾持的惡夢?
正如我們所知道的,5月12日一個名為WannaCry的勒索病毒攻擊(也被稱為WCry和WanaCrypt0r 2.0),襲擊範圍遍及150多個國家、逾20萬台電腦受害。這起大規模的勒索軟體攻擊,不僅引起大眾關注,也讓一些企業組織相繼傳出災情,包括物流快遞、電信公司、政府單位、醫療院所等等,造就自身一舉成為現今最聲名狼藉的勒索軟體。
 
目前尚未傳出關於家用電腦的感染報導。這原因有可能是家庭用戶大多數所使用的是Windows 7或Windows 10,並且也有啟用自動更新,加上Microsoft在3月份就已釋出相關的修補更新。
 
儘管現在受到WannaCry影響的企業為數眾多(當中應也含有家庭用戶),但後續如果沒有Acronis,接下來的情況可能會更糟。這是因為Acronis開發了一種能主動防止零時差感染的新世代技術 - Acronis Active Protection™,這項技術可以有效降低勒索軟體對電腦所造成的影響。
 
任何在其備份中啟用Acronis Active Protection的使用者,就可在這波攻擊中得到安全保護。一般的消費者可以在Acronis True Image 2017進階版中找到它,而企業用戶也可在之後發布的Acronis Backup 12 Advanced當中來取得(目前適用於beta版本)。
 
對於勒索軟體的要脅,企業都曉得運用備份還原來避免繳納贖金。只不過,WannaCry還具有加密備份檔案的能力,單純依賴備份的企業不可不慎,而目前Acronis是唯一能夠保護所有資料安全的備份軟體廠商。
 
關於WannaCry你應該留意的事
 
WannaCry是第一個勒索軟體蠕蟲,這表示它不是單純的勒索軟體,還會嘗試感染更多系統、掃描網路並拓展擴充。想要用傳統的安全產品來偵測是非常困難的,因為它會利用最新的系統漏洞並搭配自身的規避手法來閃避偵測。其會加密所有本地儲存設備和網路共享,再加上類似蠕蟲的功能,很容易就可能讓企業、組織和家庭用戶身陷危險之中。除了利用漏洞攻擊來進行散播,WannaCry據報還會用垃圾郵件做為切入點。
 
正如Acronis的早先預估,我們見證到了勒索軟體的新時代:WannaCry會直接攻擊Windows磁碟區陰影複製服務(VSS),並刪除已建立的陰影副本。透過使用強大的加密演算法,讓受影響的資料無法在合理的時間內被任何第三方工具解密。
 
目前主要遭受攻擊的都集中在Windows設備,但其他系統中可能也存在類似的漏洞。所以未來再度於其他設備和作業系統上發生相似規模的攻擊,很可能只是時間上的問題。
 
並非漫無目的的隨機攻擊
 
網路罪犯很精心挑選了受害目標,專門鎖定那些無力承受任何停機時間的企業單位,從而脅迫繳納贖金,這些企業單位包含了電信、公共運輸、醫院、學校以及執法部門。這也是我們頭一次見到,如此有恃無恐地直接攻擊國家政務機關的犯罪者。
 
以下為列舉出部分受影響的企業和組織:
●NHS (UK) 被迫將病患轉院。(受害醫院名單
●Nissan (UK) http://www.chroniclelive.co.uk/news/north-east-news/cyber-attack-nhs-latest-news-13029913
●Telefonica (Spain) (https://twitter.com/SkyNews/status/863044193727389696)
●FedEx (US) (https://twitter.com/jeancreed1/status/863089728253505539)
●University of Waterloo (US)
●Russian Ministry of Internal Affairs & Megafon (電信公司) (Russia)
https://twitter.com/dabazdyrev/status/863034199460261890/photo/1
●VTB (俄羅斯知名銀行) https://twitter.com/vassgatov/status/863175506790952962
●Russian Railroads (RZD) https://twitter.com/vassgatov/status/863175723846176768
Portugal Telecom
●Sberbank Russia (俄羅斯銀行龍頭)
●Deutche Bahn (鐵路公司)
●Renault (France) (http://www.lepoint.fr/societe/renault-touche-par-la-vague-de-cyberattaques-internationales-13-05-2017-2127044_23.php)
●University of Milano-Bicocca (Italy)
●STC telecom (Saudia Arabia)
 
更多詳細資訊,請參閱以下連結
https://en.wikipedia.org/wiki/WannaCry_cyber_attack#List_of_affected_organizations
 
WannaCry勒索軟體是如何發布的?
 
WannaCry會透過垃圾郵件滲透企業或私人/公共網路,其惡意附件包含巨集或漏洞連結,一旦執行,就會開始進行感染。目前,並沒有該樣本的相關資訊,但包含Microsoft在內的所有分析師都認同可能會有此感染途徑。
 
WannaCry的功能主要源自第三方組織開發的工具:DOUBLEPULSAR後門程式和ETERNALBLUE漏洞工具。ETERNALBLUE在系統中植入DOUBLEPULSAR,DOUBLEPULSAR利用SRV.SYS (SMB File Server)漏洞,來允許在受害電腦上的程序中載入和執行DLL。
 
一旦被安裝程序,就會啟動類似蠕蟲的活動,掃描網路檢查445連接埠,並查詢已安裝的DOUBLEPULSAR後門。然後再發送惡意掛載之後,就會像森林大火一般地蔓延開來。如果受攻擊的系統不包含DOUBLEPULSAR後門,則首先會使用ETERNALBLUE進行植入。
 
 
WannaCry散布機制
 
WannaCry會檢查是否存有一個特殊的網域(killswitch),如果有,就會停止散布。如果沒有,就會開始載入模組、註冊服務、掃描445連接埠的隨機IP、檢查是否存有DOUBLEPULSAR後門並準備植入資料套件。
 
資料套件架構的執行函數如下,我們將其名稱假定為initNetworkInjectingExecutables。InitNetworkInjectingExecutables會從蠕蟲資源中讀取載入程序、建置植入資料套件、附加蠕蟲惡意內容到載入程序、再將其發送到受害的系統連接埠。由於目前的DOUBLEPULSAR,能藉由載入程序獲得控制權,進而能夠運行有效掛載。這項作業會在受害系統上不斷執行,以助長感染的蔓延情勢。
HGLOBAL initNetworkInjectingExecutables()
{
    //...
    do
    {
      v2 = g_exeBody0;
      if ( v1 )
        v2 = g_exeBody1;
      v3 = *(&g_exeBuffer0 + v1);
      *(&exeBuffer + v1) = (int)v3;
      qmemcpy(v3, v2, v1 != 0 ? 51364 : 16480);
      *(&exeBuffer + v1) += v1 != 0 ? 51364 : 16480;
      ++v1;
    }
    while ( v1 < 2 );
    v4 = CreateFileA(g_moduleFileName, 0x80000000, 1u, 0, 3u, 4u, 0);
    v6 = GetFileSize(v4, 0);
    v7 = (const void *)exeBuffer;
    v9 = (void *)(exeBuffer + 4);
    *(_DWORD *)exeBuffer = v6;
    ReadFile(v4, v9, v6, &NumberOfBytesRead, 0);
    CloseHandle(v4);
    result = (HGLOBAL)1;
    //
    return result;
}
 
新型變種
 
在發動第一波攻擊之後,目前已有兩組新樣本出現:一為含有killswitch網域功能機制(SHA256: 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf)、另一個則是完全關閉killswitch網域功能機制,只是部分項目發生損毀,僅保有蠕蟲功能的正常運行(SHA256: 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd)。令人不解的是,killswitch只是用空白的URL字串來進行修補,其餘的編碼維持不變。但在tasksche.exe的掛載部分則已重新做過修改:
Comparing files MSSECSVC.EXE_3 and MSSECSVC.EXE_2
0032BBF3: AA 27
0032BBF4: 19 68
00359FFE: C2 4E
00359FFF: 03 47
有關樣本的損毀故障部分,是由於無心的編譯錯誤或另有其他目的,現下暫時無法從中得知。
 
如果沒有適當備份,你很可能就會遺失檔案
 
受害系統上植入的有效掛載將可用於刪除陰影副本:
Vssadmin delete shadows /all /quiet
Wmic shadowcopy delete
Wbadmin delete catalog –quiet
 
還會停用受攻擊系統的還原主控台:
Bcdedit /set {default} bootstatuspolicy ignoreallfailures
Bcdedit /set {default} recoveryenabled no
WannaCry是如何加密檔案
 
掛載排程調動的加密程式功能,是從掛載資源中提取加密器,檔名為tasksche.exe。加密器會掃描系統上的所有磁碟驅動和共享,經由查詢檔案來核對自己的副檔名清單,然後使用RSA 2048加密演算法進行加密。過程中還會建立新的檔案目錄Tor/來儲存tor.exe和相關檔案,並且還會植入兩個檔案:taskdl.exe和taskse.exe。前者負責清除作業,後者負責啟動@wanadecryptor@.exe,隨後就會在桌面上顯示勒索聲明。
 
支援超過160種不同的檔案副檔名:
 
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
 
如果系統未受到保護,便會顯示以下訊息:
如果沒有備份,使用者就必須支付贖金來換取解密金鑰,或者直接選擇放棄資料。
 
如何保護系統免於WannaCry和其他勒索軟體攻擊
 
第一步,先為所有Windows系統更新至最新版本,接著請參閱下列說明。
 
●請啟動Windows自動更新。如果你有長時間未更新或者舊版本的作業系統,請務必確認是否有可用的Microsoft安全性更新,並盡快完成安裝,任何沒有完成更新的電腦都存有可能遭受感染的風險。
 
●讓Windows設備受到惡意軟體防護解決方案的保護。這將有助於降低威脅等級並盡可能阻擋勒索軟體肆虐。
 
●強烈建議你在啟用Acronis Active Protection功能的情況下使用Acronis產品進行備份和保護。透過啟發式分析和即時備份/還原機制來保護資料,在以下畫面中,你可以看到Acronis Active Protection成功阻擋了WannaCry。
在執行Acronis True Image 2017進階版並啟用Acronis Active Protection的電腦上偵測到WannaCry勒索軟體。
 
●請勿隨意開啟郵件中任何可疑的附件或連結、請勿開啟/點擊瀏覽器中任何可疑的連結、不要存取任何來路不明的網站!你可以將游標停在連結上方,以查看是否連到偽造網址。
 
●請留意郵件發送的收件人是否有你所使用的電子郵件地址在其中,否則請務必不要去開啟附件或連結!
 
●請留意郵件發送的寄件人地址,有時罪犯可能會用很相似的名稱來進行詐騙。
 
●請持續備份你的系統和重要資料。據了解,WannaCry的贖金費用大約在300美元左右。但與之相比之下,能夠確保資料安全的Acronis True Image 2017進階版和Acronis Backup等備份解決方案,其實是相對便宜許多。如下圖所示,Acronis Active Protection還能做到自動還原所有受影響的檔案。
所有檔案都可經由Acronis Active Protection即時還原到原始狀態,而無需支付任何贖金。
原文出處:WannaCry Attack: What Is It and How to Protect Your Computer?
 
圖片


回上頁   |   下一則