2018年1月3日 星期三

新型勒索病毒來襲!「壞兔子」攻擊歐洲向美擴散

〔即時新聞/綜合報導〕還記得五月份時席捲全球的勒索病毒「想哭」(WannaCry)嗎?如今又有一個名為「壞兔子」(BadRabbit)的新型勒索病毒發動攻擊,目前俄羅斯的通訊社、烏克蘭的機場,以及多個歐洲國家的電腦系統遭到破壞,而且該病毒正在向美國擴散。

    綜合媒體報導,「壞兔子」與「想哭」一樣都是勒索軟體,若電腦中了毒,病毒會將電腦的檔案加密,並讓電腦使用者無法進入系統,除非支付0.05枚比特幣(約新台幣8153元)贖金,否則無法使用電腦,但支付後能否解毒也不得而知。而這次「壞兔子」偽裝成Adobe的flash軟體更新,只要一下載就會中毒,病毒還會試著擴散出去。

    「壞兔子」於昨(24)日發動攻擊,目前受害者包含俄羅斯的Interfax通訊社、烏克蘭Odessa機場,且蔓延到保加利亞、土耳其及德國,而美國國土安全部也指出,美國境內也已接獲多個感染報告。
    By 自由時報

    立馬搞懂勒索病毒

    週一上班日才剛開始,網路坊間已充斥著勒索病毒的緊急警訊。究竟什麼是勒索病毒?它對全球影響有多大?我們又該如何預防?

    以下重點總整理,讓你立馬搞懂勒索病毒、快速防範駭客攻擊!


    什麼是勒索病毒?

    勒索病毒軟體在全球肆虐,外媒報導台灣名列第4大重災區。圖/歐新社
    勒索病毒軟體在全球肆虐,外媒報導台灣名列第4大重災區。圖/歐新社

    惡意軟體鎖住檔案 讓你「想哭」

    勒索軟體是一種程式,它經由民眾不經意點擊的惡意連結、或是不小心下載的惡意附件,入侵電腦。緊接著,它會鎖住電腦中的檔案並予加密,讓你無法再開啟檔案。

    此惡意程式名為「想哭」(WannaCry),也叫做WanaCrypt0r 2.0、WCry、或以該字變化出來的名字。許多資安公司已知道過去的WannaCry型態,大部分都在研究現在這個WannaCry,以找出阻擋它蔓延的破解之道。

    勒索比特幣 不付錢就「撕票」?

    這項惡意軟體鎖住檔案後,會向受害者勒索300美元(約台幣9000元)的比特幣,而後每兩小時增加100美元,一路增至600美元。

    有報導指出,比特幣虛擬錢包自12日起便湧入大量虛擬現金。

    但是,如同各種型態的勒索案件,把贖金交給綁匪,也無法保證能安全贖回檔案,且對方說不定早已「撕票」。

    >>勒贖軟體是什麼? 一旦中招就鎖死螢幕 不付錢毀文檔

    幕後黑手是誰?

    這波全球網攻,歐洲受害嚴重,各國警方聯手追兇,但駭客仍躲在幕後,尚未查明。圖/路...
    這波全球網攻,歐洲受害嚴重,各國警方聯手追兇,但駭客仍躲在幕後,尚未查明。圖/路透社

    美國國安局疑禍首 挖出微軟系統漏洞

    勒索病毒號稱為目前規模最大的網路攻擊,其惡意軟體似乎為利用微軟Windows系統漏洞。據悉,美國國家安全局(NSA)可能因情報蒐集而發現這個名為「永恆之藍」(EternalBlue)的漏洞。

    系統來不及更新 駭客早已竊取

    美國國家安全局(NSA)的情報工具包立刻被名為「影子掮客」(Shadow Brokers)的駭客組織竊取,並於今年4月公布在網路。

    微軟公司(Microsoft)今年3月已發出更新修補漏洞,但許多系統可能未及時完成更新。

    現在勒索病毒的全球災情如何?

    受到勒索病毒攻擊的全球機構與企業。 圖/聯合報提供
    受到勒索病毒攻擊的全球機構與企業。 圖/聯合報提供

    根據統計,目前已超過150個國家遭受「勒索軟體」攻擊。而15日適逢週一上班日,疫情估計恐將加深擴大。

    中國大陸:加油站、教育網為病毒重災區

    北京、上海、成都、重慶、南京、杭州、武漢、廈門等多個城市數十個中石油加油站近2萬座加油站,於13日凌晨1時突然斷網,消費者無法刷卡和使用網路支付,只能採現金支付油費。

    中石油表示,截至14日12時,「中國石油80%以上加油站已經恢復網路連接」。

    另外,根據大陸梨視頻和微博報導,不少大陸大學生表示學校的電腦被病毒攻擊,致使很多實驗數據及畢業設計被加密。

    目前包含清華、北大、上海交大、山東大學等大學,都出現病毒感染情況。尤其現在正值畢業季,勒索病毒已造成一些應屆畢業生的論文被加密篡改,直接影響到畢業前的論文口試。

    俄國:感染最嚴重

    一些報導指出,俄國是惡意軟體感染最嚴重的國家。俄國內政部表示,「病毒已在當地流行」,而後「許多使用微軟操作系統的個人電腦都遭到攻擊」。

    英國:醫院看診受波及

    英國國家醫療保健服務(NHS)系統12日遭「勒索軟體」網路攻擊,影響醫院看診和手術,只得停止門診和取消預約。NHS的電腦部門表示,據信病患資料並未遭到破壞,NHS網站也公告正在初步調查。一名NHS員工告訴BBC,幾乎可肯定的是,病患會因此「受苦和死亡」。

    西班牙:電信公司受影響

    一些西班牙的公司,包括電信巨擘Telefonica、電力公司伊維爾德羅拉(Iberdrola)及公用事業的天然氣公司,都受到影響。有報導稱前述單位的職員被告知關閉電腦。

    美國:快遞也受害

    美國聯邦快遞公司12日表示,該公司使用的微軟系統因惡意軟體而「遭干擾」,將盡快修復。

    台灣有人中鏢嗎?

    三峽恩主公醫院今天清晨有1台護理人員使用的醫療推車筆電,發現受到勒索病毒軟體攻擊...
    三峽恩主公醫院今天清晨有1台護理人員使用的醫療推車筆電,發現受到勒索病毒軟體攻擊。 圖/本報資料照片

    新北醫院 電腦遭勒索

    新北市恩主公醫院一台醫療推車電腦遭「想哭(WannaCry)」病毒勒索,衛福部技監許明暉昨天表示,目前了解是單一醫療推車出現病毒,並不影響住院、急診。

    由於病毒於全球肆虐,國內醫療院所數位化程度高,不排除國內還會遭受零星攻擊,衛福部已提醒全台醫療院所提高警覺。

    桃園、新北 皆有民眾報案

    目前台灣陸續傳出零星受害個案,目前警方共受理兩件報案,桃園及新北市都有民眾報案。

    桃園市1名男子瀏覽臉書時出現亂碼,強迫他執行勒索軟體,威脅支付美金6百元的比特幣,否則將持續加密電腦檔案;新北市一名被害人指稱,電腦忽然跳出警示頁面,勒索美金3百元的比特幣,不知為何中毒。

    中油證實受害

    中石油證實,因全球比特幣勒索病毒爆發,中石油所屬部分加油站營運受到波及,中石油進行緊急應對後,目前受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。

    大林發電廠中鏢

    勒索病毒WannaCry肆虐全球,進行機組更新工程的大林電廠也無法倖免。台電表示,該中毒的電腦是行政電腦,非控制電廠機組運轉的電腦,已立即隔離,供電與更新工程皆不受影響。

    台電表示,因應勒索病毒,全公司員工上班前,皆要於電腦開機前拔除網路線並進行系統更新;今天上午也由資訊處進行擴大會報,研擬進一步因應措施。

    證交所未受影響

    台灣證券交易所今表示,證交所證券交易相關系統均非使用Windows 作業系統,不受本次勒索病毒影響,證券市場交易安全無虞。

    證交所指出,有關本次攻擊利用之 Windows作業系統漏洞,微軟已於 2017年3月14日發布安全性更新,證交所已於3月辦理完成Windows個人電腦作業系統漏洞修補作業。

    我該如何預防勒索病毒?

    「WannaCry」勒索病毒肆虐全球,目前印度受到的影響較小,但由於印度大多仍都...
    「WannaCry」勒索病毒肆虐全球,目前印度受到的影響較小,但由於印度大多仍都使用Windows XP系統,其恐受到嚴重打擊。圖/歐新社

    作業系統快更新

    刑事局科技犯罪專責官警說,這次主要攻擊目標為Windows 7、Windows 8、Windows 8.1、Windows XP等作業系統,今年3月微軟公司已推出「修補漏洞程式」,呼籲民眾儘速更新相關作業及應用程式,並備份電腦內的重要資料。

    文件定期備份

    立即使用隨身碟、外接硬碟或者雲端空間,備份重要資料。

    不要亂點網址

    資安專家提醒,很多勒索軟體都是透過電子郵件,引誘民眾去點,只是要來路不明的郵件或是疑似釣魚郵件,都不要去點。

    如果中毒了怎麼辦?

    專家指出,由於目前安全機構尚未有效破除該惡意軟體的加密行為,因此,用戶只能進行預防。

    如果真的不幸中毒了,民眾可以通過重裝操作系統的方式來解除勒索行為,但被加密的重要數據文件已不能直接恢復。

    另外,根據微軟官方臉書粉絲團的建議,民眾可前往微軟官網下載Windows Defender,將有效偵測並清除惡意軟體。

    >>電腦中勒索病毒 重裝系統可解除

    >>周一上班防勒索蠕蟲 六步驟可自保

    >>勒索病毒災情失控主因看這!緊急應變SOP有7步驟

    by UDN

    [防毒]WannaCry (想哭) 勒索病毒防範方式

    [防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具)


      made by Kermit

      觀念釐清

      這次的勒索軟體「WannaCry (WanaCrypt0r 2.0)」是利用作業系統漏洞「主動」進行攻擊,只要電腦開著且連線到網路,尚未安裝修補檔把 EternalBlue 漏洞補起來的就有機會中獎,不是需要使用點選惡意連結或病毒檔案才中。

      made by Kermit

      防範步驟

      01.檢查電腦是否已感染病毒:

      • 先拔除網路線再開機,以免萬一中毒後擴散(若原先使用WIFI無線上網,請先將分享器關閉)
      • 開機後按下「Ctrl + Alt + Del」鍵啟動 Windows工作管理員,Win7 以下版本選擇「處理程序」;Win8 以上版本選擇「詳細資料」,若看到 tasksche.exe 或 mssecsvc.exe 執行檔,表示可能已經感染病毒,此時請跳至Step 3 進行感染後的處置;若否,請繼續 Step 2 的預防處理措施

       

      made by Kermit

      02.病毒感染前預防處理措施:關閉 SMB 服務、關閉 445 連接埠、及下載修補檔

      • 下載網友提供的 強制關閉SMB服務 (點圖示即可,會被誤判為音樂檔)後執行匯入登錄

      • 下載批次檔 BLOCK.ZIP解壓縮後在批次檔按右鍵以系統管理員身分執行,執行完成即可關閉 445 連接埠(Win7以上版本適用)
      • 載 Windows 修補檔
        a.請按「Win+R」,輸入 msinfo32 後按 Enter

        b.在跳出的「系統資訊」視窗中,請注意
        「OS名稱」以及「系統類型」


        c.依據「OS名稱」以及「系統類型」下載對應的更新檔並安裝
      • 安裝更新檔時若出現『不適用』,需開啟Windows Update針對之前缺失的補丁先更新才能安裝
      • 後出的更新會包含前面的修正,以Winodws 7 為例,已經安裝5月份更新 (KB4019264),則無須再安裝3月份更新 (KB4012215)
      • 除了上方重要更新外建議使用者開啟Windows Update自動更新,以便日後提早預防

      OS名稱\系統類型

      x86

      x64

      Windows XP

      KB4012598

      KB4012598

      Vista

      KB4012598

      KB4012598

      Windows 7

      KB4019264 

      KB4019264 

      Windows 8

      KB4012598

      KB4012598

      Windows 8.1

      KB4019215

      KB4019215

      made by Kermit

      03.萬一感染病毒後的處置方式:

      • 立即關機(拔掉電源),因為病毒加密檔案需要時間,越早關機受害程度越輕
      • 看電腦中資料重要程度決定是要

      a.放棄重灌--將硬碟格式化,重新安裝作業系統後將安全性更新至最新版,並檢視 Step 2 的預防處理措施是否落實
      b.找外面公司資料救援--以SET復得科技為例

      c.(2017/0
      5/23新增)使用「終極解密工具:WanaKiwi」

      https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm

      • 如硬碟尚未格式化清除資料,請勿自行將硬碟拿至別台電腦連接以防止病毒蔓延至其他電腦

      made by Kermit

      資料來源: