去年襲捲全球的勒索蠕蟲WannaCry仍潛伏在全球電腦上
https://www.ithome.com.tw/news/127902
去年WannaCry肆虐,造成150國家數十萬台電腦被感染,安全研究人員指出,雖然現在
WannaCry攻擊看似已經事過境遷,但其實仍蟄伏在世界各地的電腦上。
文/陳曉莉 | 2018-12-26發表
資安業者Kryptos Logic負責安全與威脅情報研究的Jamie Hankins上周透過Twitter指出
,造成全球重大經濟損失的勒索蠕蟲WannaCry迄今仍蟄伏在世界各地的電腦上。
WannaCry利用美國國安局(NSA)所開發的EternalBlue攻擊工具針對微軟Windows作業系
統的伺服器訊息區塊(SMB)漏洞展開攻擊,它在2017年5月12日於歐洲市場率先發難,加
密被駭系統上的檔案並勒索贖金,亦能主動偵測及入侵網路上存有該漏洞的裝置,在短短
的兩天內便迅速感染全球超過150個國家的數十萬台電腦。而今年造成台積電大當機的元
兇也是WannaCry的變種。
減緩WannaCry肆虐的主要功臣是Kryptos Logic安全研究人員Marcus Hutchins發現了
WannaCry的勒索元件有一個「銷毀」機制,它會連至一個網域名稱,如果未發現就會加密
電腦資料,而且該網域名稱竟然沒人註冊,隨後Hutchins便註冊了該網域,維持該網域的
運作,成功阻止了它的勒索能力。
目前此一用來支撐「銷毀」機制的網域由Cloudflare負責維護,有鑑於那些已感染
WannaCry的電腦還是會定期存取「銷毀」網域,而讓Kryptos Logic得以持續觀察感染情
況。
根據Hankins在12月21日所張貼的數據,他們當天的前24小時偵測到184個國家的22萬個獨
立IP傳送了超過270萬個連結到該「銷毀」網域,前一周則是有來自194個國家的63萬個獨
立IP傳送出逾1,700萬次的連結。
不過,Hankins也說明這些獨立IP並無法代表實際的感染數量,只是這樣的流量仍然很驚
人。前五大流量來自中國、印尼、越南、印度及俄羅斯。
依然潛伏在電腦中的WannaCry還是有爆發的風險,例如一旦網路斷線了,或是無法存取「
銷毀」網域了,WannaCry的勒索元件就會再度執行。企業或使用者可透過Kryptos Logic
免費提供的Telltale服務來偵測電腦上包括WannaCry在內的安全威脅。