更新︰有专家发现,今次攻击很可能并非以勒索为目标,受害者将无法取得档案。详见〈Petya/NotPetya扮勒索,付多少赎金也无法救回档案〉。
上个月加密勒索软件WannaCry迅速扩散,令大量电脑受到感染。WannaCry所利用的Windows漏洞称为「EternalBlue」,由局(NSA)的黑客发现,但一直未有汇报给微软(Microsoft),以便在行动中利用漏洞入侵对象。
去年8月,另一黑客组织Shadow Brokers公开宣称盗取了NSA的入侵工具,包括多个软件的漏洞,并威胁公开。最终NSA决定把EternalBlue漏洞被盗一事告诉微软,也许这是微软突意推迟原订于今年2月释放更新档的原因,直到3月中微软发放更新档,修补了EternalBlue漏洞。
大约一个月后(4月),Shadow Brokers把得到的所有资讯公开,包括EternalBlue漏洞。再一个月后(5月),WannaCry爆发,显然是因为不少安装Windows的电脑未有更新。现在又过了一个月,另一勒索软件Petya的更新版同样利用EternalBlue漏洞攻击。
根据网络安全公司赛门铁克(Symentec)的资讯,Petya最早于2016年3月被发现。它不仅会像其他加密勒索软件一样把电脑上的档案加密,更会修改及加密主开机记录(Master boot record)——这是电脑开机后存取硬碟时必须读取的首个磁区。
最新版本的Petya昨日开始于乌克兰、俄罗斯以及西欧传播。根据网络安全公司卡巴斯基(Kaspersky Lab)的分析,新版Petya利用以下3个攻击方法︰
跟WannaCry一样使用修改过的EternalBlue漏洞 透过TCP port 445遥距针对Windows XP或2008的EternalRomance漏洞 针对乌克兰软件MeDoc的更新机制首两个漏洞均来自NSA以及由Shadow Broker公开,微软的MS17-010安全更新已经修补了这两个漏洞,还未安装更新的读者必须立即安装,安装后亦须为电脑设置複杂密码,减低入侵机会。
除了EternalRomance外,新版Petya还使用其他比WannaCry更先进的手段去攻击。根据卡巴斯基的分析,新版Petya成功佔据了一部电脑后,会使用入侵工具来取得网络上的电脑密码,取得密码后就可以感染其他电脑——即使那些电脑已经安装相关更新,不受EternalBlue或EterbalRomance漏洞影响。
WannaCry虽然传播力惊人,但其设计上的缺陷,令到一个简单方法就可以阻止散播。有研究人员担心,今次Petya不会犯上同样错误,攻击会更加有效。
现时Petya要求的赎金为价值300美元的比特币(bitcoin),不过网上所有感染Petya的图片显示,似乎有别于一般勒索软件,受害人都须支付给同一个地址,跟WannaCry类似。问题在于,这会令黑客难以确认受害人有否支付赎金,因此交了赎金也未必可以解锁档案。资料显示,该比特币地址收到35次汇款,共得到价值约8,730美元的比特币。
相关文章︰
WannaCry令多人中招,背后的黑客却无法赚大钱 韩国公司中勒索软件,讲价后付100万美元赎金解锁 勒索病毒肆虐,微软批情报部门「囤积」漏洞 加密勒索软件︰锁上你的档案 不付赎金打不开资料来源︰
NSA officials worried about the day its potent hacking tool would get loose. Then it did. (The Washington Post) Microsoft cancels February Patch Tuesday despite 0-day in wild (Ars Technica) Schroedinger's Pet(ya) (Securelist) Petya ransomware outbreak: Here's what you need to know (Symantec) A new ransomware outbreak similar to WCry is shutting down computers worldwide (Ars Technica) A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks (Wired) 'Petya' Ransomware Outbreak Goes Global (Kerbs on Security) Bitcoin Address 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX