WannaCry Ransomware Attack

據稱,WannaCry 是由北韓 Lazarus Group 開發的,它將從美國政府竊取的漏洞程式碼與自訂程式碼結合起來,創建了勒索軟體蠕蟲。該病蟲已於 2017 年 5 月部署在一次全球攻擊中,估計在三天內感染了 20 萬台電腦。 透過利用 Windows 系統中的脆弱性,該惡意軟體可以自行感染新的受害者,從而使其能夠在網路上呈指數級傳播。

深入瞭解 安排演示

萬納克里的潛在傷害

該惡意軟體的廣泛傳播及其造成的損害意味著,為期三天的攻擊預計會對全球造成數十億美元的損失。

然而,Wannacry 造成的損害並不在不同的業務和行業中均勻分佈。 如英國國家衛生服務(NHS)這樣的組織,該機構正在運行大量脆弱的機器,受到了特別嚴重的影響。 僅僅 WannaCry 對 NHS 的成本估計為 1 億美元。

2017 年的爆發只是因為在 WannaCry 代碼中發現了一個「終止開關」才得以製止,該開關一旦被觸發,就會阻止惡意軟體進一步傳播或加密儲存在任何其他電腦上的資料。自 2017 年爆發以來,修改版本的 WannaCry 發生了額外的攻擊。 但是,它們都沒有達到與原始疫情相同的足跡、成本或認可性。

Wannacry 勒索軟體如何運作?

作為一種勒索軟體,它將遵循一系列基本標準化的步驟,從最初的感染到資料加密,再到最終的贖金要求。

#1.感染

與許多其他勒索軟體變體不同,WannaCry 會自行傳播,而不是透過惡意電子郵件攜帶或透過惡意軟體植入程式安裝。

WannaCry 的蠕蟲功能來自於其對 EternalBlue 漏洞的使用,該漏洞利用了 Windows 的伺服器訊息區塊(中小企業)協定中的脆弱性。脆弱性首先由國家安全局(NSA)發現,並由影子經紀人公開洩漏。

EternalBlue外洩後,微軟於2017年4月發布了中小企業的更新版本,修正了這個問題。雖然這是 WannaCry 主要爆發的前一個月,但許多組織尚未安裝修補程式,因此他們容易受 WannaCry 影響。

感染 WannaCry 的機器會掃描互聯網,尋找運行易受攻擊的中小企業版本的其他機器。如果找到一個,受感染的計算機會使用 EternalBlue 在目標計算機上發送和運行 WannaCry 的副本。 此時,惡意軟體可以開始加密電腦檔案。但是,首先它檢查特定網站是否存在。 如果該網站存在,則惡意軟體不會執行任何操作。從理論上講,這種「終止開關」的存在要么是阻止WannaCry 傳播的一種方式(WannaCry 一旦啟動就會獨立傳播),要么是使取證分析變得更加困難的一種手段(因為大多數網絡安全實驗室環境會假裝任何網站惡意軟體請求存在)。如果未找到請求的網域,WannaCry 會進入加密階段。

#2.加密

作為勒索軟體變體,WannaCry 旨在拒絕使用者存取其電腦上的文件,除非支付贖金。這是透過使用加密來實現的,其中惡意軟體以只有在知道密鑰的情況下才可逆的方式轉換資料。由於 WannaCry 的金鑰只有勒索軟體業者知道,這迫使受害者支付贖金才能檢索資料。

WannaCry 旨在搜索和加密計算機上的一組文件擴展名類型列表。 這樣做是為了最大限度地減少惡意軟體對系統穩定性的影響。如果加密錯誤的文件,計算機可能無法運行,因此受害者無法支付贖金或檢索他們的文件。

#3.贖金

WannaCry 惡意軟體向受害者索取 300 美元的贖金。但是,贖金要求是以比特幣支付,而不是法定貨幣。 作為一種加密貨幣,比特幣比傳統貨幣更難追踪,這對勒索軟體業者很有幫助,因為它允許他們在勒索訊息中嵌入支付地址(類似於銀行帳號),而不會立即向當局通報其身份。

如果 WannaCry 攻擊的受害者支付贖金,則應該為他們提供計算機的解密密鑰。 這使網路犯罪分子提供的解密程式可以逆轉使用者檔案所執行的轉換,並返回原始資料的存取權。

如何防範 WannaCry 勒索軟體

WannaCry 勒索軟體嚴重依賴 EternalBlue 漏洞發揮作用。原始惡意軟體的作者利用這種脆弱性將 WannaCry 變成了能夠自行傳播的蠕蟲。在這種情況下,防禦 WannaCry 最簡單的方法是停用中小企業或安裝微軟提供的修復脆弱性的修補程式。

但是,這是一個非常具體問題的解決方案。 它無法保護組織免受其他勒索軟體變體或透過不同方式傳播的 WannaCry 的影響。若要了解如何保護組織免受各種勒索軟體威脅,請查看Check Point 的反勒索軟體解決方案

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明