Sunday , 11 April 2021
Home / 科技 / 勒索软件病毒肆虐

勒索软件病毒肆虐

星期四,29/06/2017

全球周二再遭到新一轮勒索软件的攻击。病毒在欧洲肆虐,并蔓延到美国、澳洲和印度等地,多家跨国企业、政府机构、医院皆中招,其中乌克兰和俄罗斯为重灾区,连切诺拜尔核电厂亦遭攻击。

这是继上月“想哭”(Wannacry)在全球肆虐攻陷三十多万部电脑后,另一波大规模电子袭击事件。在如此短时间内再次爆发勒索软件攻击事件,不得不让对当前政企机构的网络安全性产生了质疑。

今次病毒名为“Petrwrap”或“GoldenEye”,是去年肆虐的“Petya”勒索软件的变种。与“想哭”一样,同样源自于美国国安局(NSA)之手。被攻击的电脑会无法正常运行,骇客藉此索要一笔赎金,换取数字钥匙让电脑能够恢复作用。

专家发现“Petrwrap”的部份原码,在“想哭”内也找得到,正追查两次袭击是否有关连。

据卡巴斯基初步统计,今次的勒索软件袭击超过60%发生在乌克兰,俄罗斯占30%多,其余依次为波兰、意大利和德国等地,情况正向全球蔓延。美国、印度和澳洲也受到了同样的攻击。香港、中国也有用家中招。

乌克兰切尔诺科尔尔核电厂灾区的电脑系统也受到攻击,迫使科学家不得不手动检测辐射水平。

此外,乌克兰的供电网、政府办公室、包括中央银行、能源公司、油站、超级市场、铁路公司和电讯公司也受到袭击。乌克兰总理格罗斯曼指是次袭击“前所未见”,副总理帕夫洛称职表示,他和乌克兰政府的其他成员无法使用电脑。

丹麦航运公司马士基还报告了多个站点的系统遭遇破坏,总部位于伦敦的全球最大广告公司WPP,是英国第一家被爆受到波及的公司,员工已经被告知关闭电脑,并且不要使用公司WiFi。法国Saint-Gobain集团都表示,他们遭到网路攻击,并已采取防护措施避免数据受损。

俄罗斯石油公司Rosnoft的侍服器也受影响,尽管目前还不清楚发生了多少破坏。另据今日俄罗斯通讯社报道,俄罗斯央行发布警告称,未知的勒索病毒正在对俄金融机构的信贷系统发起攻击,一些银行的伺服器已被侵入。

美国制药巨头默克公司(Merck)证实受网络攻击后,宾夕凡尼亚州一间医院及其医疗系统亦成为骇客目标,一些手术被迫改期。邻近的俄亥俄及弗吉尼亚州也受影响。

另外,澳洲塔斯马尼亚州一家吉百利巧克力工厂,在电脑系统当机后于周二晚间陷入停顿状,成为澳洲第一家受到全球最新一波网络攻击的受害企业,凸显出这波最新勒索软体的快速蔓延。

现时仍未知道勒索软件的源头,只知道它蔓延的速度很快。据报由于勒索软件要电脑网络之间直接接触才能传播,是故与乌克兰较少接触的地区影响有限。

目前尚不清楚病毒是如何传播的,尽管有些公司报告说这种攻击利用了Windows的SMB弱点。4月份,影子掮客公司发布了一个名为EternalBlue的系统工具包,它利用了被美国国家安全局开发的一系列Windows漏洞。微软已经修补了这些漏洞,但是许多用户仍然很容易受到攻击。但是相对于5月份的勒索病毒来讲,这次病毒攻击的强度显然并不是太强。

电子保安公司Secure Ideas的行政总裁约翰逊称:“此类电子袭击行动,可以轻而易举地摧毁我们。许多公司都没有做应该要做的事,去应付这个问题。”

其他专家也指出,接二连三发生这么大规模的电子攻击事件,反映出许多公司和机构都没有从上次“想哭”事件中汲取教训,仍未做足防范措施。

腾讯安全团队表示,中国已有用户中招。Petrwrap和“想哭”一样通过“永恒之蓝”(EternalBlue)漏洞传播,而且比“想哭”传播速度更快。

腾讯反病毒实验室表示,此次Petrwrap勒索病毒还会利用“管理员共享”功能在内网自动渗透,比“想哭”传播速度更快。据了解,Petrwrap病毒锁住大量的电脑,与“想哭”一样,亦要求用户支付300美元的比特币后才能解锁。

不过,如果用户的电脑正在运行最新的Windows7SP1或者Windows10系统,并升级到最新更新,就不必担心受Petrwrap勒索网络攻击。因为Petrwrap勒索病毒只影响没有最新更新的旧版Windows PC系统上。更新或安装电脑病毒防护软件就可以抵御大部份NSA武器库泄漏的漏洞的攻击。

病毒可能更难控制安全专家称,他们认为周二爆发的勒索病毒,不会像上月肆虐全球的勒索病毒一样拥有销毁开关(kill switch),意味着这次病毒可能更难控制。

香港资讯科技商会荣誉会长方保侨指出,新勒索软件与“想哭”最大分别,在于“想哭”只将部份档案封锁,但用家仍可登入至桌面;但今次情况是,用户连桌面也无法登入,迫使他们向不法之徒支持比特币来换取解锁码。他又指,相信不法之徒吸取了上次“想哭”的经验,再针对微软程式的漏洞来加以改良。

网路资安厂商趋势科技建议采取3个防范措施来避免感染:套用MS17-010修补更新、停用TCP连接埠445、严格管制拥有系统管理权限的使用者群组。

该病毒已知会使用EternalBlue漏洞攻击套件搭配PsExec工具来感染电脑。

趋势科技表示,相比上个月造成全球大恐慌的“想哭”勒索病毒,Petrwrap散播的管道主要有两种:其一为同样利用透过微软的安全性弱点MS17-010–Eternalblue,针对企业及消费者进行勒索攻击。

Petrwrap入侵电脑后,会修改电脑硬碟中的主要开机磁区(Master BootRecord,MBR)设定,并建立排程工作于1小时内重新开机,一旦受害者重开机后其电脑荧幕将直接跳出勒索讯息视窗,无法进行其他操作。

趋势科技指出,另一个值得注意的攻击管道为其骇客利用微软官方的P s E x ec远端执行工具,以APT(目标式)攻击手法入侵企业,一旦入侵成功,将可潜伏于企业内部网路中并感染控制企业内部重要伺服器,进一步发动勒索病毒攻击,对企业内部机密资料进行加密勒索,以达到牟利之目的。

截至目前为止,世界各地遭受攻击的机构:
俄罗斯: 该国最大油公司Rosneft
乌克兰: 电网、政府办公室、乌克兰国家银行等银行
美国: 该国第二大药厂默克公司(Merck)、食品及饮品公司Mondelez International、医疗机构Heritage Valley Health System
荷兰: 运输公司TNT Express
丹麦: 石油及船运公司马士基(APMoller-Maersk)
英国: 全球最大广告公司WPP
法国: 工业集团圣戈班(Saint-Gobain)
跨国机构: 欧华律师事务所(DLA Piper)

 

图文来自:网路

 

Leave a Reply

WooCommerce Themes Free