FANDOM


WannaCry,本名WanaCrypt,又名Wana Crypt0r或Wana Decrypt0r,是在Windows執行的勒索軟體。它利用NSA所泄漏出的安全漏洞,攻擊世界各地任何存在有關保安漏洞的電腦系統,在機場,銀行,大學,醫院及其他機構電腦系統造成嚴重破壞。

目前它傳播到150個國家,中國、台灣和俄羅斯的受災情況最為嚴重。它使用AES-128配合RSA-2048的加密演算法,所以極難破解。

感染行為编辑

這個勒索軟體先後發佈了若干變種,最初的版本為非主動攻擊性,只要用戶安全意識高,就不會受到感染。

第1版编辑

這是最初版本,在4月後期出現。這個版本並沒有針對特定的漏洞作出攻擊,而是經電郵可疑附件、有毒的Dropbox連結和一些廣告連結下載到受害者的電腦。

第2版编辑

這個有高度攻擊性和危險性的變種目前正肆虐世界各地,最初的版本以木馬程式存在,而此版本則以蠕蟲的形式高速散播。它利用Windows的SMB漏洞,經正在聆聽的TCP和UPD連接埠139和445來進入目標電腦系統,這個過程完全不需要任特別的使用者網絡活動(例如瀏覽網頁),只要連上網絡,它就會不請自來。

漏洞來源编辑

此勒索軟體係利用一個由駭客組織「影子經理人」所發佈的可以針對SMB漏洞的工具「永恆之藍」(EtheralBlue)進行攻擊。雖然有關漏洞早在3月14日時,微軟推出一個重要更新MS17-010後所修補,但仍有很多公司、組織和個人用戶因不同的理由,並沒有安裝有關更新。在第2版的主動攻擊來臨時,這些用戶迅速成為第一波的受害者。

傳播方式编辑

進入到受害者的電腦系統後,它會經TCP和UDP連接埠139和445查看同一內部網絡以內還有沒有其他可被攻擊的電腦,如有就會將自己複製過去。

在開始前它會先以一個隨機HEX值產生的檔名以偽裝成一般程式,並開始將電腦內所有硬碟、插入的卸除式磁碟、同步的雲端資料夾內的所有檔案通通加密,只有牽涉到系統使用的重要檔案才會例外。它先產生了一個加密的檔案,然後將原本的檔案刪除。在這個過程中,會一直佔用一定量的CPU資源,而且Windows PowerShell會保持在背景作業。

觸發行為编辑

在完成加密後,它會顯示一個視窗,表示受害者的所有檔案都已被加密。如果要解密,就得付相當於300美元的比特幣作為代價,3天後勒索價格就會升至600美元;一星期後都沒提交贖金的話就會「撕票」,將私有密鑰從駭客的秘密伺服器中刪除,使用者將永遠無法復原檔案。

視窗當中的訊息還分成多國語言,然而除了英文,其他語言相信只是使用了機器翻譯而成。

受影響的系統编辑

幾乎所有現今仍可以使用網絡服務的系統都可以成為攻擊目標。

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10(針對3月起沒有再自動更新的系統)

對於預設開啟自動更新的Windows 10用戶,因為系統會盡量令自己更新到最新的狀態,故是次攻擊幾乎對他們沒有影響。然而對於因為各種原因而沒有升級為Windows 10的Windows 7、8和8.1則成為重災區,受災的主要因為沒有開啟自動更新,又或者沒安裝必要的更新。

重災區编辑

多國的大型機構率先受到攻擊。

在英國,部分醫院的系統因為這個勒索軟體,大部分病人檔案被加密,系統癱瘓,常規手術被迫延遲,甚至有病人需要緊急移送到其他醫院。

台灣有為數非常多的用戶亦受到攻擊,部分媒體亦有多篇有關報導。

在中國大陸,亦有極大量的用戶受到此勒索軟體的攻擊,為數不少的公安機關以及政府的伺服器都受重創而要暫停服務。對於個人用戶,雖然他們的網絡提供者都封鎖了連接埠445,但受災情況仍然嚴重,這主要是因為他們主要使用的國產防毒軟體自行阻擋系統應該接收的重要更新,令漏洞不能及時修補。

緊急修補编辑

針對是次攻擊,微軟特別為已停止支援的Windows XP、Vista和8推出可以堵截有關漏洞的緊急安全性更新,供這些用戶下載使用。

此外,微軟亦多次呼籲仍受支援的系統用戶盡快啟用和下載必要的更新,任何包括MS17-010的更新即可有效防止受到攻擊。

停止散播编辑

在首天爆發後的大約12小時,一名英國網絡工程師達里恩.霍斯(Darien Huss)透過反向編譯發現這個勒索軟體會檢查一個未被登記的網址。只要這個網址一直不存在,又或者沒有任何回應,它就會繼續攻擊。於是達里恩將有關發現通報Malware Tech的成員,其將有關網址買下並讓它上線,這個勒索軟體就立即停止散播了。這個亦稱為「自爆按鈕」(Kill switch)。

可是,在停止散播後的約3個半小時,就出現第二變種,它沒有自爆機制,換言之它可以無止境的傳播。到5月15日,第三變種亦相繼出現,不過自爆機制再度出現在其病毒碼當中,Malware Tech成員針對第三變種再買下一個網址和上線,它的傳播行為很快被制止了。

解密工具發佈编辑

法國的一名資安專家阿德里安.圭奈(Adrien Guinet),發現此勒索軟體在完成檔案加密程序後只將私鑰刪除,但沒有將用來產生這將加密鑰的質數從記憶體中刪除,換言之可以透過取得這對質數來產生這私鑰。

RSA在產生加密鑰前,要先選擇一對質數,而這對質數必須要在產生加密鑰後保密,以免被其他使用者或駭客找到而重製有關加密鑰。而WanaCrypt就做漏了這一步。

WanaKiwi係針對這項發現而製的解密工具程式,透過搜尋這對質數產生私鑰,從而協助將被加密的檔案解密。然而不是在任何情況下都一定成功,因為受到以下的限制:

  1. 中毒的電腦必須從未重啟過,否則這對質數就會完全從記憶體中移除。
  2. 雖然這對質數未有被從記憶體中移除,但因為已經不屬任何程序,如果有新的程序使用儲存這對質數的位址,它們就可能會被消除。故這是一場時間競賽,解密工具最好在最短的時間內取得並尋找這對質數。

其他資料编辑

「永恆之藍」和其餘一批SMB漏洞泄漏工具係由「方程式組織」(Equation Group)釋出,有人相信這個方程式組織正是美國國家安全局。

參考來源编辑

  1. (Ars Technica)意外中止Wana Decryptor在全球擴散
  2. (The Independent)NHS攻擊:感染英國多個醫院系統的極度可怕的軟體
  3. (駭客新聞)以為WannaCry自爆了?還沒結束的!2.0版出現了
  4. (T客邦)中國為什麼勒索病毒災情慘重?這些中國國產防毒軟體「貼心」關閉系統更新助攻成幫兇
  5. (駭客新聞)Wannacry的解密工具程式