繼「想哭」之後,勒索病毒再次出沒 歐美企業成主要目標

by:泥仔
6167

從昨天開始,歐美國家許多企業再次出現電腦系統被勒索病毒綁架的情況,這是今年第二次出現大型的勒索病毒攻擊事件,也有網路專家擔心類似情況只會有增無減。

post title

烏克蘭的國營銀行在被勒索病毒攻擊後,就連ATM也顯示了綁架訊息。

路透社

烏克蘭首當其衝  各大機構都被影響

烏克蘭是首先受到波及的國家,當時烏克蘭政府、中央銀行、國家電力公司,位在基輔的機場、地鐵系統通通遭到癱瘓。車諾比核電廠的輻射監測系統也因此無法運作,讓員工只能用人工的方式測量輻射量。

根據烏克蘭網路警察的說法,這個病毒一開始透過某個會計軟體的更新機制擴散,而該會計軟體又是烏克蘭政府在使用的軟體,才會讓勒索病毒對整個烏克蘭造成極大影響。

很多大企業也被影響

除了烏克蘭以外,俄羅斯石油公司(Rosneft)、全球最大的英國廣告傳播集WPP、丹麥跨國物流集團馬士基(A.P. Moller-Maersk)、食品公司億滋國際(Mondelez)等大型企業均傳出電腦被勒索病毒綁架的狀況。

至少有2,000個使用者受影響

卡巴斯基實驗室指出,他們有 2,000個來自俄國、烏克蘭、波蘭、法國、義大利、英國、德國、美國的使用者受到病毒攻擊,其中俄國和烏克蘭是受到病毒影響最嚴重的地方。

post title

在烏克蘭的鮑里斯波爾國際機場內,數名工程師正在努力讓飛機時刻表恢復正常。突如其來的網路攻擊讓許多大企業措手不及。

路透社

勸使用者別浪費時間  

新版的勒索病毒一樣會在使用者的電腦留下訊息,要求受害者支付相當於 300美元(折台幣約 9,000元)比特幣的贖金,文中寫到:「也許你正忙著復原你的檔案,不過別浪費你的時間了。在沒有我們的解密服務下,沒有人可以復原你的檔案。」

聯繫帳號已經被關閉

訊息在最後留下一組郵件伺服器為「posteo.net」的email帳號,要求受害者用寄信的方式向他們確認贖金已經確實支付。

然而,這個email帳號在不久後就被posteo關閉,posteo在部落格寫到:「我們不會容忍任何濫用我們平台的舉動。」

要大家不要任意支付贖金

不過這也就代表那些想支付贖金的人,將沒有辦法跟攻擊者聯繫、或取得解鎖電腦的金鑰。對此,美國國土安全局(United States Department of Homeland Security, DHS)建議受害者在不確定能否取回電腦資料的情況下,不要任意支付贖金。

post title

今年 5月在加州網路安全公司賽門鐵克(Symantec)的總部,工作人員向外界展示要是中了名為「想哭」的勒索病毒,電腦螢幕會出現什麼樣的畫面,「想哭」在當時讓 23萬台電腦受到影響。

路透社

跟兩個月前使用的漏洞一樣

專家指出這次的勒索病毒應該是和近兩個月前,肆虐全球的勒索病毒「想哭」(WannaCry)一樣,是使用名為「永恆之藍」(EternalBlue)的漏洞利用程式。

23萬台電腦被「想哭」影響

這個漏洞利用程式是由美國國土安全局開發,並在今年 4月被駭客團體影子掮客(Shadow Brokers)洩漏,最終導致 23萬台使用微軟的電腦、合計超過 150個國家受影響,其中包括西班牙電信、英國國民保健署、聯邦快遞和德國鐵路股份公司。

攻擊目標是還沒更新的電腦

雖然只要把微軟作業系統更新就可以防堵這個漏洞,但是網路安全公司Veracode的首席技術長魏索帕(Chris Wysopal)指出,「想哭」當時很快就被控制住了,因此很多公司可能沒有意識到即刻更新的重要性。

魏索帕也指出,像航空地勤這種時時刻刻需要使用電腦的行業,可能在當時沒辦法即時更新電腦。

post title

在烏克蘭一家超市裡,可以看到收銀台的電腦全數遭到綁架。目前受到病毒影響的整體人數仍不清楚。

路透社

比「想哭」讓人更想哭

媒體在談起這次出現的病毒時,認為攻擊者僅靠單一email帳號來跟受害者聯繫是很業餘的舉動,而且相較來說,這次受到影響得規模遠小得多,然而,這次的病毒確實比「想哭」還要麻煩。

就算更新後也可能中招

一方面是部分科技專家相信它不像「想哭」一樣,有暫停病毒擴散的「Kill switch」;另一方面,就算使用者有透過更新電腦來圍堵漏洞,只要他是使用簡單的登入密碼,又剛好有一台共用相同網路的電腦中招,那麼這款病毒就能透過網路,直接安裝勒索病毒在這些更新過的電腦上。

post title

關於這款勒索病毒的種類,部分科技專家認為這款病毒是「Petya/Petrwrap」病毒的變體,不過卡巴斯基實驗室追蹤了電腦感染狀況,指出這是新型、從來沒見過的勒索病毒,他們稱該病毒為「NotPetya」。

路透社

在加密完之前切斷電源

至於要怎麼防堵呢?《衛報》引述Hacker Fantastic在twitter上的推文,指出此款病毒在加密資料時,會讓電腦跑出一個像在掃描檔案的畫面,並在約一個小時後讓電腦重開機,藉此完全加密電腦——使用者只要再重開機前關閉電腦,就能設法把部分檔案救回來,不過持續備份可能才是治本的方法。

勒索病毒就像「冬天的流感」

網絡犯罪中心負責人杜維納吉(Nicolas Duvinage)接受《美聯社》採訪時,認為這波攻擊就像「冬天的流感」,在接下來幾個月恐怕會越來越多。

有利可圖  不可能就此停止

英國網路安全公司「預測未來」(Recorded Future)的發言人巴里謝維奇(Andrei Barysevich)則認為,既然網路犯罪者意識到他們能透過勒索軟體大發利市,那這類網路攻擊就沒有停止的可能。

「一家南韓的公司先前才傳出支付 100萬美元(折台幣約 3,000萬元)來取回他們的資料,」巴里謝維奇說道:「...這對網路犯罪來說,是你能提供的最大誘因。」


延伸閱讀:《「一安裝就玩完了」墨國被控用惡意軟體監控記者、律師手機
斯諾登:美國才是網路戰爭最大輸家
電子郵件之父去世 不和@說再見

參考資料:
01 Cyber attack sweeps globe, researchers see 'WannaCry' link
02 'Petya' ransomware attack strikes companies across Europe and US
03 What is the Petya ransomware attack, and how can it be stopped?
04 Global ransomware attack causes turmoil