【科技專欄】陳迪源: You don’t WannaCry!

You don’t「WannaCry」

形容這個週末肆虐近100個國家及地區的黑客勒索程式為恐怖襲擊,相信一點也不誇張。這一波襲擊不僅為施襲者帶來金錢利益;在歐洲,因為WannaCry 2.0(以下簡稱WannaCry)入侵英國公營醫療系統(NHS),而令一些醫療服務,甚至手術無法進行。亦有大學生因為畢業論文被加密而無法進行辯論。亦有個案是一些利用Windows XP作為操作系統的公共裝置中伏,例如售票機,戶外廣告展示板等。這也是近年專家對物聯網(IoT)安全擔憂的現實版。

大規模中毒的原因

WannaCry進行勒索的方式和其他同類軟件相似。當電腦中伏後,程式會在背景執行,使用AES加密文件,並使用非對稱加密算法RSA 2048加密隨機密鑰,每個文件使用一個隨機密鑰,理論上不可破解。在加密完成後,就會彈出視窗告知用戶電腦檔案已被加密,除非繳交價值300美元的虛擬貨幣比特幣(Bitcoin)做贖金,否則檔案在一定時間後將永遠被加密。

但為什麼這次有這麼多電腦中伏呢?這是因為WannaCry用了不同的傳播方法。以往一般勒索程式是需要用戶在電郵去點擊問題連結或在瀏覽器下載軟件後才得以傳播。但WannaCry卻是在一台電腦中伏後,會使其自動掃描同一區域網絡內其他Windows電腦的SMB漏洞而自動於遠端安裝和執行。而且這個病毒有潛伏期,事前並未能有效被發現。這亦是為什麼在短短兩天就大規模爆發,而且在一些機構內可以同時癱瘓多部電腦。

 

利用比特幣收贖金

而施襲者為什麼利用Bitcoin去收費呢?因為雖然Bitcoin所有的交易記錄是公開的,但要追蹤Bitcoin收款人的身份卻非常困難。尤其是根據外國安全顧問公司的調查,涉及這次襲擊的三個Bitcoin帳戶的款項並未被提取,難以倚賴最終金錢走向去追查犯罪者。

加上,在大規模爆發的情況下。理論上Bitcoin的需求會大增,令其價格上升。犯罪者除了贖金收入外,亦會因為所持Bitcoin的升值而多賺一筆。可幸的是,一位22歲的英國網絡安全專家無意間發現勒索程式在傳播前都會訪問一個特殊域名是否存在,若果存在便會停止襲擊。這位專家發現這個域名並未被任何人登記,於是捷足先登,終止了這一場浩劫更大規模的爆發。這大概亦是施襲者僅僅收到約二萬美元(8.2 Bitcoin)贖金的原因。但我們不能掉以輕心,因為相信很快就有更新版本的勒索軟件會出現。作為使用者我們應該在此之前確保我們的電腦不會被感染。

如何確保電腦安全?

周一上班前亦緊記先將電腦的Wifi關閉或將LAN線拔掉,確保全公司同事的電腦沒有中伏,再重新連接上網。若果你的電腦已不幸中伏,建議盡快將未被加密的資料備份,然後重新安裝最新版本的作業系統並立即進行更新。繳交贖金並不能確保資料一定會被解密,所以行事前應審慎考慮。假如你的資料另有備份或已經儲存在雲端,則確保中伏的電腦不要連線上網,然後用另一台安全的電腦先把所有資料下載,再將資料備份到在外置硬盤中。

其實微軟早在三月就已經為仍然被支援的Windows版本提供補丁。用戶如果在爆發前已更新或將Windows設定為自動更新,其實是不會中伏的。如果你有一段時間沒有更新你的Windows,我會建議你立即進行更新。而由於這次襲擊的影響範圍龐大,微軟亦破例為已經不被支援的系統提供補丁,包括Windows XP、Windows 8,以及Windows Server 2003。

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

除了將作業系統及瀏覽器更新外,你亦可根據以下教學連結同視頻將較危險的連接埠、遠端連線功能和SMB功能關閉:

https://support.microsoft.com/en-hk/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

 

Common Sense最重要

任何時候將作業系統及瀏覽器更新到最新版本和安裝防毒及網絡安全軟件,固然能提供一定的保障。但這些安全軟件提供的更新除了是他們的網絡安全專家積極去測試及發現系統的漏洞之外,有很多其實是為中伏了的用戶而作出的修補。所以我覺得擁有使用電腦的common sense,才能更加保障你的電腦及珍貴的資料。以後在瀏覽網站或在閱讀電子郵件的時候,切記不要打開或點擊來歷不明的檔案和網址。