2017-05-17 SOPHOS NEWS:WannaCry-目前我們掌握的疫情資訊
2017-05-17

毫無疑問的,上個星期五的 WannaCry 勒索軟體攻擊像野火一樣快速擴散。利用 Microsoft 弱點來傳播蠕蟲的能力肯定是勒索軟體攻擊的新手法。但這幾天來,這個攻擊已經造成了許多恐懼 (和炒作)。我們應該有系統的檢視這一個事件。

以下是 Sophos 最新調查的資訊,包括應該如何保護客戶。由這裡開始,我們來逐步檢視如何利用它來宏觀地防範整體攻擊的趨勢。這次事件並不是世界末日。

星期一更新

隨著上個星期五該程式碼出現,我們認為模仿者將來會出現並自行發動攻擊,以搶佔牟利的機會。

在上周末,與這種規模的攻擊相比,設立用來收取贖金的帳戶收到的款項數量比預期少。但在星期一上午,數字上升了,表示有更多人在星期一交付贖金。在上個星期六,3 個贖金帳戶已經收到了 92 比特幣,總額為 26,407.85 美元。截至上個星期天,3 個帳戶內的贖金高達 30,706.61 美元。到這個星期一上午,共付款數為 181 筆,總額為 29.46564365 比特幣 (50,504.23 美元)。

分析證實上星期五的攻擊似乎是使用被稱為「影子經紀人」("Shadow Brokers") 的一群駭客所外洩的可疑 NSA 程式碼發動的。它使用了 Shadow Brokers 的 APT EternalBlue 入侵程式 (CC-1353) 的一個變種,並對檔案、圖片和影片等文件進行了增強式加密。

根據 SophosLabs 在上週末的研究,這個攻擊並不具有精密型攻擊的特點。相反的,攻擊者是使用 NSA 資料傾印的精密手法來發動的。

導致這種攻擊擴散如此之快有三個關鍵因素:

  1. 引起威脅的程式碼可以如蠕蟲般迅速傳播到網路上,而不需要在初始感染後進一步誘使使用者採取行動。
  2. 它利用了許多組織未修補的弱點。修補作業系統是安全策略的第一線,但是許多人仍然很難在自己的環境中實現定期更新。
  3. 部分組織仍在運作 Windows XP。Microsoft 已經停止了對 Windows XP 的支援,並且沒有為此系統發佈修補程式,但 Microsoft 隨後針對此次攻擊為 Windows XP 發佈了修補程式。Microsoft 確實支援舊版本的 Windows,但需要支付額外的費用。

Sophos 技術長 Joe Levy 表示:

完美的攻擊會自我傳播,但會緩慢、隨機和不可預測地做到這一點。但這次是一個全油門式的攻擊,但卻無損於它造成的損害。我們發現這個攻擊像野火一樣快速擴散,但受影響的機器可能還會受到第二波攻擊,因為潛在的弱點可能尚未被修補。

問題在於弱點和攻擊裝載是分開的。我們可以快速阻擋攻擊裝載,但如果系統沒有修補弱點,還有無限種方法會讓疫情擴散。

仍然使用 Windows XP 的企業特別容易受到這種攻擊。這個作頁系統在 2001 年首次推出,至今已經 16 年,已被 W​​indows Vista 和 Windows 7、8 和 10 所取代。

仍然有待觀察的,是誰是這次襲擊的背後主使者。Sophos 正在與執法機構合作,提供關於攻擊起源和媒介的任何情報。該公司認為,最初的感染可能已經是透過一個包含惡意攻擊裝載的電子郵件送達,然後由一個受騙的使用者開啟該郵件。

客戶保護

Sophos 繼續更新針對該威脅的保護措施。使用 Intercept X 和 Sophos EXP 產品的Sophos 客戶也將看到 CryptoGuard 技術能成功阻擋這個勒索軟體。請注意,雖然 Intercept X 和 EXP 可以阻擋其行為並在所有情況下還原已被刪除或加密的檔案,但我們發現勒索軟體宣告畫面和註解可能還是會出現。

Sophos 正在不斷更新關於該主題的知識庫文章,提供如何阻擋特定病毒家族的更新資訊。

同時,我們強烈建議所有人都按照 Microsoft 安全公告 MS17-010 - Critical 的指引更新 Windows 環境。對於使用較舊版本 Windows 的使用者,Microsoft 已經為 WannaCrypt 攻擊提供了客戶指引,並決定為自訂支援的平台提供安全更新 - Windows XP、Windows 8 和 Windows Server 2003,已經可以下載。

不是世界末日

和這次攻擊同樣重要的是,我們必須注意整體攻擊趨勢已經轉變。這種攻擊是融入舊手法而創新的一場完美風暴。SophosLabs 副總裁 Simon Reed 表示:

這次攻擊顯示出商業惡意軟體作者重新使用最強大的入侵攻擊手法來推動機會主義性質的目標,最終目的就是為了賺錢。

歸根究底,以下建議永遠適用於想要防範這些攻擊的人。

防範入侵 Microsoft 弱點的惡意軟體:

  • 保持所有修補程式為最新版本,並迅速套用它們。
  • 如果可能,請使用最新版本替換舊的 Windows 系統。

防範勒索軟體的一般作法:

  • 定期備份,並在異地保留最近的備份副本。除了勒索軟體之外,檔案可能會任何理由突然消失,如火災、洪水、竊盜、遺失筆記型電腦甚至意外刪除等。加密您的備份,如此一來就不必擔心備份裝置落入他人之手。
  • 對不請自來的附件保持謹慎。騙徒都是利用您不知道是否應該開啟檔案的矛盾。除非打開它,否則您不確定它是否是想要的。如果懷疑,就刪掉它。
  • 使用 Sophos Intercept X ,對於家庭 (非商業) 使用者來說請註冊 Sophos Home Premium Beta,它可以阻擋未經授權的檔案加密來防範發動攻擊的勒索軟體。

付還是不付?

最後還有一個問題是,受害者應該支付贖金還是置之不理。Sophos 在這個問題上大多採取中立立場。在一個完美的世界裡,沒有人願意付錢給壞蛋。但是實際上各組織情況不同,部分人可能別無選擇,認為只能付出代價才能重新開始業務。

在這次攻擊中,到目前為止支付贖金似乎沒有幫助。所以,Levy 認為支付贖金是不明智的:

一般來說,付錢是一個壞主意,除非組織真的覺得資料是不可替代的,而且確知贖金支付真的有效。在這次攻擊中,它似乎沒有什麼效果。

◎要了解更多相關訊息,請洽中飛科技 02-2658-1818