全球爆發史上最大規模的黑客騎劫電腦事件,源自美國國安局(NSA)、專門針對微軟視窗作業系統的勒索軟件WannaCry,前日不足24小時內在99個國家和地區發動了逾126,534次攻擊,兩岸三地都受影響。各國政府和網絡保安公司正爭取時間,希望趕在限期前破解這款惡意加密程序。
俄羅斯是受襲擊影響最嚴重的地方,銀行系統及包括內政部在內多個政府部門的電腦遭廣泛入侵,當局正全力搶救中;西班牙電訊商Vodafone Espana和Telefonica、西班牙對外銀行、畢馬威顧問公司、電力公司Iberdrola、葡萄牙電訊和美國快遞公司FedEx等都受到攻擊。
要解密須付比特幣
英國情況更棘手,因為當地國民醫療系統NHS有45間醫院中招,大批預約診症和手術要取消,部份急症亦要分流到其他不受影響的醫院。
遭WannaCry加密騎劫的電腦,螢幕會彈出一則訊息,通知用戶電腦資料已被加密,要解密就必須在3天內向黑客付上價值300美元(2,340港元)的虛擬比特幣(Bitcoin)做贖金,3天後贖金要翻倍,一星期後免問。不過,黑客又聲稱會有優惠給予窮人,半年後有機會免費恢復資料,但用戶能否享用,則要視乎運氣。
WannaCry反轉英國醫療系統後,內政大臣表盧綺婷表示正追查背後的主謀,防毒軟件「卡班斯基」(Kaspersky)直指這款能自我復製、快速散播的惡意程式是來自一個叫「影子經紀」(Shadow Brokers)的黑客組織,該組織去年聲稱入侵了NSA的網絡武器庫,揭發美國政府利用視窗系統的漏洞進行間諜活動。雖然微軟3月發佈了系統更新,可以修補相關安全漏洞,但大量用戶一直未有更新,加上過時但仍被廣泛使用的視窗XP,根本就沒有更新可用,導致WannaCry前日能肆虐全球。微軟事後讓所有視窗XP等舊系統用戶免費修補漏洞。
專家誤打誤撞阻擴散
這次攻擊原本可帶來更巨大的破壞,卻被一名叫@MalwareTechBlog的英國網絡專家誤打誤撞破解了其傳播方法。他指病毒是使用一個未註冊的域名散播,由於他事後註冊了該域名,便意外停止了WannaCry擴散,但他強調此舉對已中毒的電腦無補於事,而黑客只要稍作修改,WannaCry就可再次施虐,呼籲視窗用家趕快更新系統。防毒軟件商Symantec首席研究經理塔庫爾表示,全賴@MalwareTechBlog發現了WannaCry的漏洞,才令到各地感染數字大幅下降。
============================
WannaCry預防方法
安裝Windows更新
如久未更新作業系統,應立刻更新。Windows 7的用戶請安裝「KB4019264」、「KB4012215」或「KB4015549」更新檔、Windows 8.1的用戶則安裝「KB4019215」、「KB4012216」或「KB4015550」更新檔。另外,微軟又為已停止支援的Windows XP及Windows Vista用戶提供「KB4012598」更新檔。
離線備份檔案
拔除任何網絡連線,打開工作管理員檢查是否有佔用資源的異常情況,或是否出現任何名為「.wcry」或「WannaDecryptor!.exe」的可疑檔案。假如沒有,應立刻為重要檔案備份,但別儲存於本機或網絡磁碟內。
不允許遠端連線
用戶可前往控制台的遠端設定頁面,於遠端協助欄目取消勾選「允許到這部電腦的遠端協助連線」,並在下方選擇「不允許遠端連線到此電腦」。
封鎖連接埠
啟用「Windows防火牆」並在進階設定頁面按下輸入規則,點擊新增規則後,在新增輸入規則精靈按以下步驟封鎖「TCP 3389」、「TCP/UDP 445」及「TCP/UDP 137-139」連接埠。首先在「規則類型」選擇「連接埠」,於「通訊協定及連接埠」選擇TCP或UDP,並在「特定本機連接埠」輸入以上號碼,再選擇「封鎖連線」,把規則套用至「網域」、「私人」及「公用」,最後輸入名稱即可完成。
保持更新防毒軟件
微軟已為Windows Defender的用戶發布檢測「Ransom:Win32/WannaCrypt」的更新,可作有效偵測及清除。如欲作「深度防禦」措施,請安裝最新的防毒軟件並保持更新。