勒索病毒WannaCry在5月的大規模網路攻擊好不容易落幕,本週惡夢再度重演!類似WannaCry的新型勒索病毒「Petya」(又稱Petrwrap),從週二開始在全球流竄,雖然災情主要集中在東歐和俄國,但現在這波網路攻擊正逐漸擴散至亞洲,目前中國和印度都已經傳出中標案例。
電力公司、機場、地鐵、中央銀行、核電廠都中標
在這波網路攻擊中,最嚴重的災情出現在烏克蘭,其有許多基礎建設都中標,包含電力公司、機場、地鐵、中央銀行等,而丹麥、西班牙、英法美等國也陸續傳出災情,甚至影響到車諾比核電廠的輻射監控系統(核電廠本身已停止營運),迫使其切換至手動模式。
就像WannaCry一樣,電腦感染後,病毒會加密電腦資料,並要求用戶用比特幣支付300美元,用戶支付贖金後才會替電腦解碼。
雖然許多烏克蘭政府單位和企業受到勒索病毒攻擊,但政府卻在Twitter上發文,希望用幽默感降低民眾恐慌。
Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue pic.twitter.com/RsDnwZD5Oj
— Ukraine / Україна (@Ukraine) June 27, 2017
加密能力比WannaCry更強、散播技術更多種
這款新型病毒是勒索病毒Petya的變種,也有人稱之為「Petrwrap」、「NotPetya」或「GoldenEye」。Petya最早在2016年出現,而今年出現的版本已經變種過,加密能力更強。防毒軟體公司卡巴斯基估計,至少已有2千名用戶受到此波網路攻擊的影響。
資安專家指出,該款新型勒索病毒和WannaCry一樣,都是利用網路漏洞EternalBlue快速在網路上流竄。EternalBlue利用Windows系統內伺服器訊息區塊(SMB)的遠端執行程式碼進行攻擊,據傳是由美國國家安全局(NSA)外洩。
根據《連線》雜誌報導,最麻煩的是,Petya勒索病毒在設計上比WannaCry更嚴謹,因此災情恐將比WannaCry更嚴重。WannaCry災情爆發後,有資安研究人員發現其中的程式設計錯誤,讓用戶無需支付贖金就可以修復檔案,另外也發現WannaCry病毒中的「銷毀開關(kill switch)」,才讓WannaCry得以停止擴散。
賽門鐵克:更新微軟漏洞修補並不能完全防堵勒索病毒
在WannaCry於5月大幅散播之前,微軟於3月就已經針對EternalBlue發布漏洞修補,甚至在之後也針對已經不再更新的Windows XP作業系統發布漏洞修補。不過從這次Petya傳出的大規模災情,可以知道仍有許多企業低估勒索病毒的嚴重性,仍未升級軟體。
不過,漏洞修補或許並非完全能防堵勒索病毒。賽門鐵克指出:「這種電腦蠕蟲(worm)用多種方法散播,這才能解釋為什麼有受害者明明已經安裝EternalBlue的漏洞修補,卻仍被感染。」
微軟對此表示,其正在調查該起攻擊。「初步調查發現,該款勒索病毒使用多種技術來散播,其中也包含日前我們提供給Windows XP到Windows 10(MS17-010)所有平台的安全更新。」微軟發言人提醒,由於勒索病毒一般是透過email散播,用戶在開啟未知檔案前應提高警覺。
