文章來源:
翻譯整理:叡揚資訊資訊安全事業處
2017年五月份,一個名為“WanaCryptor”的惡意軟體突襲NHS(英國國民健保署)。勒索軟體導致英格蘭和蘇格蘭的醫院營運異常,影響救護車派遣與例行操演,而患者資料被鎖定除非受感染的電腦交付贖金得以解鎖。
其他知名的目標包括聯邦快遞、德國國家鐵路、西班牙電信及許多大型企業、以及世界各地的個人電腦。PC受到感染後,勒索軟體會鎖定資料和設備,並等待收害者交付贖金。
糟糕的是,勒索軟體能夠在PC之間藉由網路互相感染。經統計全球約有99個國家及超過23萬台電腦受到感染,雖然二十二歲的英國資安研究人員MalwareTech觸發kill-switch大大減緩了勒索軟體的傳播速度,但受感染的設備數仍持續上升。
WannaCryptor也被稱為“WannaCry”,利用Windows SMB漏洞於未更新或過時的Windows作業系統。SMB漏洞由駭客工具提供,據說是由NSA創建,並在上個月被駭客攻擊組織“The Shadow Brokers”揭露在data-dump中。
這漏洞針對Windows使用者進行感染,將資料加密、鎖定設備並要求付款以提供解密金鑰。WannaCry具有強大的加密功能,它使用RSA 2048位元加密文件,這是一種難以破解的演算法
若不幸在PC上被WannaCry鎖定設備、加密資料,其要求支付比特幣。據報導,付款金額為300美元起跳,如果未收到付款,勒索軟體會在數小時內破壞文件
微軟在3月份發布了一個更新來解決此漏洞,但尚未更新系統的用戶和網路管理者將面臨巨大的威脅。自攻擊發起,微軟宣布將對舊版作業系統的進行快速修復,但須留意的是:請小心執行/抓取任何軟體的更新作業,因為它可能是惡意軟體偽冒而成。
這不是第一次勒索軟體攻擊,也肯定不會是最後一次。可以採取必要的安全措施來降低被勒索軟體感染的風險,例如將軟體和作業系統更新至最新。但現在的重點是確保所有系統都針對MS17-010漏洞進行修補。
並阻擋來自不受信任系統的TCP / 445 port,或者全面阻擋445 port的所有連線。此外可以關閉Windows SMB服務阻止惡意軟體執行分享資源和通信的功能。
進行系統備份是確保防範勒索病毒攻擊的另一種有效的方法。但請留意在雲端平台進行備份可能不是正確的選擇,因為是對外開放的平台,資料可能很容易被竊取或被刪除。
對於希望落實安全政策免受勒索軟體來襲的企業而言,最有效的方法是將安全議題整合到軟體開發生命週期中。通過這樣做,發布的應用程式將會依循安全性而進行開發的,確保應用程式發佈時是足夠安全的。
