2017年5月12日,WannaCryptor(也稱為WannaCry和WCrypt)對全球電腦系統造成了前所未有的嚴重破壞,其利用Windows SMB的漏洞進行類似蠕蟲的主動式傳播行為,導致只要在區域網路中有一台主機中勒索病毒,會主動掃描區域網路中其他主機是否開啟445通訊埠,然後利用先前遭到外洩的美國NSA攻擊程式EternalBlue進行弱點滲透攻擊。
根據2020年第一季的ESET資安威脅報告,WannaCryptor依舊活躍並位居最常檢測到的勒索軟體之榜首,佔勒索軟體檢測到的40.5%。儘管它比上個月下降了不到一個百分點,但它在榜首的主導地位也沒有在4月消停。自2017年5月最大的爆發以來,至今已屆滿三年,其活躍程度著實令人十分不安,在2020年第一季的大部分時間裡,WannaCryptor的檢測歸因於廣泛認可的樣本,而這些樣本分佈於存在可能大量未更新設備的地區,例如土耳其,泰國和印尼。
圖1. 2020年1月至2020年4月前十名的勒索軟體排行榜(勒索軟體檢測的佔比)
導致整個WannaCryptor危機的漏洞:EternalBlue,在2020年第一季呈下降趨勢,但即便如此,EternalBlue仍具威脅,據Shodan稱,仍有大約一百萬台Windows設備使用SMBv1協議(請參考圖2),而這也意味著可能這一百萬台電腦將受到EternalBlue漏洞的攻擊。
*Shodan 是一個網路搜尋引擎,專門用來搜尋連上網際網路的各種裝置。Shodan 可搜尋的裝置和系統包括:網路攝影機、嬰兒監視器、醫療設備、工業控制系統 (ICS) 裝置、家用電器,以及資料庫等等。Shodan 會蒐集、彙整連網裝置所公開的一些基本資料和資訊,讓任何人都能輕易搜尋。
圖2. Shodan數據(截至2020年5月4日)
根據<圖2>顯示,今年美國依舊是擁有易受攻擊設備數量最多的國家,而俄羅斯則超過日本位居第二,值得關注的是南非,因為去年(2019年)它並沒有出現在名單上,現今卻排名第四。
除了WannaCryptor外,Diskcoder.C(又名Petya,NotPetya和ExPetya)和BadRabbit也都是利用EternalBlue漏洞進行攻擊的勒索軟體,但其實該漏洞早在WannaCryptor全球爆發前59天(2017年3月14日),微軟就已公佈了Windows系統修復修補程式,請用戶更新;儘管您可能認為WannaCryptor應該給大家提供了很寶貴的教訓,但不幸的是,事實並非如此….從去年(2019年)年中開始,網路安全專家就開始對BlueKeep發出警報,BlueKeep是遠端桌面協定(Remote Desktop Protocol,簡稱RDP)中發現的一個遠程代碼執行(RCE)漏洞,也提醒用戶應盡快修補漏洞、進行更新,而同年11月更爆發了針對BlueKeep漏洞的系統之首波攻擊。
結論
三年過去了,面對勒索病毒或資安威脅,擁有資安危機意識及積極的解決是很重要的,預防措施永遠更勝於後續補救,ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。
【ESET勒索病毒解決方案】
#個人用戶
建議採用ESET網路安全套裝(Internet Security)或ESET網路安全套裝旗艦版(Smart Security)
#企業用戶
建議採用ESET端點防護進階版(Endpoint Protection Advanced)
立即讓ESET資安專業團隊守護您的網路安全
服務電話:(02)7722-6899