WannaCry(想哭)勒索病毒/勒索蠕蟲 以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,短時間內全球大量擴散爆發災情,大量未更新和已終止支援的 Windows 作業系統使得 WannaCry 可以得逞,WannaCry 哭聲尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來,趨勢科技提供漏洞檢查工具,此工具會幫消費者在windows電腦上執行以下兩項工作:
1. 檢查電腦上是否存在MS17-010的漏洞
2. 檢查電腦上的SMB v1是否關閉,如為開啟,亦可協助用戶停用SMB v1(SHA-256: 6f8e6dd35155f68f0c20acf214e2d3523bde25cb65ed922832d76542107bad24)
工具下載點擊後,詳細執行畫面如下:
步驟一:請點擊”是“,開始執行檢查
步驟二:點選是之後,工具會開始執行。
若電腦已更新會出現以下訊息: 繼續閱讀
傳統經由資料外洩來賺黑心錢的模式已不流行,勒索病毒 WannaCry以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統,在短短 48 小時內就已喚醒了大家的意識,是時後面對日益壯大的網路犯罪地下市場及網路犯罪分子了….
作者:Ed Cabrera (趨勢科技網路安全長)
上週,美國白宮發表了一份行政命令,標題為「強化聯邦網路與重大基礎建設的網路資安」(Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)。諷刺的是,同一週,全球遭到了有史以來最大規模的單一勒索病毒攻擊(WannaCry(想哭)勒索病毒/勒索蠕蟲),據估計,全球已有 150 多國 20 多萬名受害者。本文的用意在於提醒大家注意星期五的行政命令,因為其中有一些不錯的規定,也順便點出其中不足之處,尤其是面對日益壯大的網路犯罪地下市場及網路犯罪分子。相信關於這一點,此次攻擊在短短 48 小時內就已喚醒了大家的意識,而且效果遠超過上千篇的部落格文章。
正當 Pawn Storm 的網路間諜與網路宣傳活動引起眾議之際,一波新的勒索病毒攻擊讓大家真正見識到當前全球最大的網路安全威脅,也就是:跨國網路犯罪。傳統經由資料外洩來賺黑心錢的模式已不流行,現在,網路勒索更有賺頭。勒索病毒攻擊基本上就是「快又狠」。網路犯罪集團幾小時或幾天之內就能海撈一票。這波攻擊利用了一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,再加上全球目前仍有大量未更新和已終止支援的 Windows 作業系統仍在使用當中。儘管資安產業大多專注在感染症狀、漏洞管理的重要性、良好的網路使用習慣,以及國家級的駭客攻擊等等,但真正迫切的毒瘤是全球虛擬與實體犯罪天堂數量龐大的跨國網路犯罪人口。
看看美國的這份行政命令,再對照此次的攻擊,其有些規定確實能幫助聯邦政府適當評估其部門和機構的網路攻擊風險。而更重要的是,管理這些風險的責任和預算將交由部長級與局長級的人員來負責。在聯邦政府資安長 (CISO) 們的努力下,聯邦政府的資安情況已經獲得改善,但這項轉變若要持續下去,他們就必須獲得所需的資源。所以問題是:聯邦政府的資安長們 (或權責單位) 是否將掌握充分的資源來面對不斷變化的威脅情勢。這又回到我對這份行政命令的最大質疑:該命令只是治標而不治本。它並未充分發揮團隊合作的力量。俄羅斯地下市場的網路犯罪分子在這波攻擊當中展現了相當程度彼此信賴。過去 17 年來,他們創造了一個讓各技術層次的網路犯罪分子都能共同策劃、發動攻擊並共享利潤的機制,其受害者遍及各國的公家機關和民間企業。反觀我們,目前就連達成自我防衛的最基本互信都還做不到。
不過好消息是,經過了這次的事件,事情開始有所轉變,全球各地的資訊分享分析中心 (Information Sharing Analysis Center,簡稱 ISAC) 與資訊分享分析機構 (Information Sharing Analysis Organization,簡稱 ISAO) 以及其會員和資安產業合作夥伴們,一直不眠不休地提供一些可採取行動的情報。我要特別恭喜 HITRUST 成功地將訊息傳達給美國的醫療機構來協助發掘並分享一些偵測指標與災情評估。此次的合作讓我們不僅能保護我們自己的客戶,更對整體產業的防禦能力帶來正面影響。
在我們建立一套全面的機制來解決跨國網路犯罪問題、讓歹徒無法來去自如、無利可圖之前,同樣的情況還會繼續發生。目前我們可以做的就是:繼續保持合作,透過一次一次像這樣的事件來建立彼此的信任,最終就能提升我們全體的防禦能力。
[編輯備註:如需最新的 WannaCry 資訊與相關的趨勢科技產品訊息,請參閱。]
WannaCry 勒索病毒竟有個「關閉開關」,可讓該病毒就算已經進入電腦也不會執行?!
IT 系統管理員針對三種不同情況該採取什麼步驟:
o 電腦處於睡眠模式
o 電腦已被「喚醒」
o 惡意檔案或元件已進入系統當中
WannaCry(想哭)勒索病毒/勒索蠕蟲 的疫情或許哀鴻遍野,但仍有一絲曙光:勒索病毒當中有一個「關閉開關」可讓該病毒就算已經進入電腦也不會執行。
若上週末 WannaCry 病毒肆虐時,您的電腦正處於睡眠狀態,那麼您的電腦有很大的機會可以躲過 WannaCry 這次的災情。但萬一您的電腦已經醒來呢?簡單來說,您還是有機會避免勒索病毒加密您的檔案。其實,這是 IT 系統管理員和資安人員修補、更新系統的大好機會,既能防止 WannaCry,又能防範未來可能出現的類似威脅。
您可採取以下步驟來檢查您的系統和網路是否在週末期間遭到該病毒攻擊。
[延伸閱讀: 趨勢科技最新的 WannaCry 防護更新]
根據趨勢科技的模擬分析,WannaCry 勒索病毒無法攻擊正處於睡眠狀態的電腦,就算其 TCP 連接埠 445 已開放且系統漏洞仍未修補也不會有事。
WannaCry 勒索病毒在感染及散布過程當中必須連上其攻擊的電腦。因此,如果電腦正處於睡眠狀態,病毒就無法連上電腦。此時,病毒會繼續嘗試下一個 IP 位址,看看能不能連上其他電腦。
換句話說,IT 系統管理員可趁機趕快修補 WannaCry 所攻擊的漏洞,就能盡量遏止感染。
[資安部落格文章: WannaCry/Wcry 勒索病毒技術層面分析]
史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!由於該病毒會掃瞄區域網路 (LAN) 和網際網路上的電腦是否開放 TCP 445 連接埠,然後再利用系統漏洞將自己植入電腦中執行,散播相當快速。
相關報導:
WannaCry”想哭”勒索病毒的勒贖訊息,帶著嘲諷意味說:「 對半年以上沒錢付款的窮人,會有活動免費恢復,能否輪到你,就要看你運氣怎麼樣了…. 」不想在你上網正開心時,電腦跳出這個勒索訊息,才發現檔案被鎖了,現在就讓 趨勢科技 PC-cillin 2017 雲端版協助您立刻啟動防禦 !
以下為勒索病毒 WannaCry中毒畫面與趨勢科技 PC-cillin 2017 雲端版成功移除該病毒的畫面:
PC-cillin 2017雲端版最新病毒碼成功移除WannaCry (想哭) 勒索病毒
在面對網路犯罪的無止盡戰爭中,有一半以上的關鍵在於提高大眾對威脅本質的認識。如果電腦使用者能夠更加關心自己在網路上所面對的安全和隱私問題,就更有可能採取行動來降低風險。但總會出現更多需要學習的地方,這是面對像網路犯罪這樣快速發展行業時所會遇到的問題。
比方說,你知道駭客更可能看上你的個人資料(如電子郵件地址、身分證號碼)而不是財務資料嗎?所以隨時保護好這些資料安全是相當重要的事情。
地下網路犯罪市場,偏好沒有使用期限的搖錢樹,比如身分證件
趨勢科技研究發現,近三分之二(65%)的電腦感染了惡意軟體。許多人認為這些惡意軟體是為了要竊取財務資料, 的確有電腦病毒被設計來專偷信用卡和銀行帳號等資料 ,但網路詐騙集團發現竊取來財物資料,可當搖錢樹的有效期限很短。因為一旦受害者發現蛛絲發跡,他們就會打電話給銀行/信用卡組織的詐騙部門,讓駭客/詐騙分子試圖賺錢的行動被阻止。
但另一方面,如果同一個駭客花時間找出並取得可以證明出生日期的證件等個人資料,就可以建立起你全面的「數位身份」。這些在暗網(dark web)上會更有價值,因為這些資料對受害者來說很難變更,沒有辦法可以改變你的出生日期,因此就更有機會可以從身份詐騙中賺錢。
加入了從地下網路犯罪市場所購買的各種個人資料,詐騙分子可以用你的名義申請信用卡和貸款,提交假報稅單據來退稅,甚至是申請醫療保險,就如同趨勢科技所報告的那樣。毫無疑問的,這裡需要一個非常進步和專業的網路犯罪黑市,讓駭客可以竊取你的資料後賣給詐騙分子用來進行身份詐騙。
這也是為什麼我們所採訪過的家庭有三分之一(36%)聲稱自己遭受網路攻擊並造成個人檔案損失。
有四分之一(24%)的人失去珍貴的照片後,才知道勒索病毒是怎麼回事
同樣的,勒索病毒 Ransomware (勒索軟體/綁架病毒)已經變成網路犯罪分子用來從受害者身上快速非法獲利的熱門技術。如果你不幸下載到這惡意軟體,它會搜尋你的個人檔案並進行加密。這代表你永遠無法打開自己的文件和檔案,除非你支付贖金 – 通常是幾百美元。有估計指出勒索病毒去的不法獲利超過10億美元。 繼續閱讀