勒索病毒 WannaCry 自上周五開始肆虐全球,令到大家都人心惶惶,正當以為已經被剎停散播之際,有保家專家已經發現病毒已經變種,並進化成「2.0 完整體」。換言之,現時威脅絕對還沒有消除,有機會會變得更差。明天星期一上班,相信才會見正章。
如果你還未對 1.0 了解過的話,先跟大家解釋一下為什麼會說已經被剎停。據 Solidot 報導,WannaCry 是借用了 NSA 的 SMB 漏洞利用代碼進行傳播。而 Malwaretech 的安全研究人員在分析惡意程序代碼時,發現它包含了一個當時沒有註冊的硬編碼域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com),推測是惡意程序作者想要阻止代碼被分析,當惡意程序成功查詢該域名後,它會認為自己在沙盒環境內,因此會退出防止被進一步分析。該域名可以充當阻止傳播的關閉開關,研究人員通過搶注和激活該域名後,已經阻止了勒索軟件的進一步擴散。
只不過,根據 The Hacker News 報導所指,現時 WannaCry 勒索病毒已經出現了變種,叫「WannaCry 2.0」。這個變種已經去除了可以被剎停的散播機制,即是說已經無法像 1.0 那樣搶註編輯域名來剎停病毒散播。即是說,現時不停還沒有解除威脅,而是威脅才剛剛開始。
要防止受感染的話,大家一定要盡快安裝 Windows 系統的安全升級檔。而且,由於這次病毒是利用 SMB 漏洞來擴散,The Hacker News 建議大家將 SMBv1 停用。方法如下:
1. 按開始,然後搜尋「Windows Features」,打開設定畫面後,把 SMB 選項取消打勾,並重新開機。
2. 或者:打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限。)
