2017年5月14日星期日

Wanna Cryptor 勒索軟件集中貼


2017年5月13日,這一天對於不少的電腦用戶來說是個驚險的一天,一款名為 Wanna Cryptor 的勒索軟件在網上大肆散播,受害者的電腦會加密所有系統檔案,然後要求受害者提供 $300 美元等價的 Bitcoin 為解鎖費用,令不少人聞風色變。

什麼是 Wanna Cryptor
這是一款針對 Windows 而製作的勒索軟件,據稱是應用了4月14日由黑客團隊"The Shadow Brokers"網上公開的攻擊程式,來源是在 NSA(美國國家安全局) 中偷取,其中最為有名的一款是 EternalBlue,就是今次事件的主角,透過 SMB1, SMB2 的漏洞作出攻擊,而其實早在3月14日,Microsoft 已推出了 "MS17-010" 的更新修補了問題,換言之,今次的事件其實對於帶開啟自動更新的用家來說是沒有影響的,而未有更新的舊 Windows 系統則只能任人魚肉。


解決方案
其實早在3月14日,Microsoft 已推出這次的 KB4012598 更新 (當時未有包括 Windows XP 及 Windows Vista),由於事態嚴重,這個 hotfix 目前已支援 Windows XP 至 Windows 8 的系統,Windows 10 用家據 Microsoft 的說法是 Windows Defender 的功勞,暫時未受影響,有需要可以透過下面的傳送門下載 hotfix。


針對 Wanna Cryptor : KB4012598
Microsoft Update Catalog: KB4012598

Windows 8
32bit, 64bit
 
Windows Vista
32bit, 64bit

Windows Server 2008
32bit, 64bit, itanium
Windows Server 2003
32bit, 64bit

Windows XP SP3
32bit, 64bit, embedded


2017年5月更新
Windows 10 
需通過 Windows 更新到 Creator Update 即可
Windows 8.1
Windows 7 SP1
32bit, 64bit

更新: WannaKey
雖然距離事發已有一段日子,但假若是中了 WannaCry 而未曾重新開機的話,一款名為 WannaKey 的軟件可以幫到大家,不過作者指只在 Windows XP 的環境下測試過,未知其他平台的表現如何。

原來 WannaCry 會將加密的key file 放到 RAM 之上,一旦關機,key file 亦會隨之消失,這個 WannaKey 就是在 RAM 內尋找 Key file,如果未曾關機的話,這個軟件應該可以幫到大家。

Wannakey - github



另外,除了安裝 hotfix 之外,不少網站也有提出安全建議
  1. 關閉445、135、137、138、139 port,同時關閉不必要的網路共享功能
  2. 不要開啟不明來歷的連結、下載不明來歷的檔案、打開不明來歷的郵件(這項是老生常談)
  3. 定期為電腦備份,尤其是重要文件
  4. 建議升級到有官方支援的系統(Windows XP、Windows Vista 請更新吧),以及開啟自動更新

新聞


據 Intel 的統計,到雜碎下筆的時候目前有 21 萬的電腦受影響,希望正在看文章的你並不是其中之一吧。



有網友以Wannacry 作測試樣本,配合 VirtualBox,測試了市面常見的 20 款防毒軟件,病毒更新檔維持在 Wannacry 未出生的2016年12月12日,結果只有 BitDefender Free、Kaspersky Internet Security、F-Secure Client Security、Cybereason RansomFree(這只能防勒索而己)、Emsisoft Internet Security、Dr. Web Anti-Virus 及 SandBoxie 7款而己,其餘的也大致上失敗,當中不少也是老牌的收費防毒,大家以後選擇防毒或者可以參考今次的結果。





可幸的是,一名英國的資訊安全研究員發現了在Wanna Cry上的一個隱藏開關,找到了刪除用的域名,可能是製作人百密一疏,居然未有注冊這個域名,於是花了 USD 10.69 去注冊購買這個域名,成功阻止問題繼續擴散,雖然已中招的用家並不會因此而得到救贖就是。


傳送門
【猖狂黑客】99國受勒索軟件攻擊 醫院急轉移病人 - 蘋果日報
本港有學校及教會受黑客病毒影響 - iCable
英男子找到隱藏開關可阻止勒索軟件傳播 - 驅動之家
WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試
WannaCrypt - Intel malwaretech 監察網站