上個月加密勒索病毒 WannaCry 全球大爆發,令到各地使用 Windows 系統的用戶以及公司企業無不人心惶惶。正當大家以為病毒已被制止之制,近日一款叫 Petwrap / Petya / NotPetya / Nyetya (變種名稱暫時出現此四個),據說比起 WannaCry 更加強的勒索病毒再度大爆發,現時已經在歐美大規模擴散,在香港有分公司的跨國丹麥航運公司馬士基,亦因電腦中毒而緊急要求員工關閉所有電腦。
(上圖是烏克蘭東部一間超市電腦的中毒情況,來源:the hacker news)
新型勒索 Petwrap / Petya / NotPetya / Nyetya 就是 WannaCry 的變種,因使用了跟 WannaCry 一樣的 Windows EthernalBlue、SMBv1 漏洞進行攻擊勒索,中毒的電腦檔案更是被整部加密,解鎖要求贖同樣為價值 300 美元的比特幣。
中毒過程是怎樣?
用戶個人電腦或公司任何一部電腦中毒後,病毒會自行掃瞄同網絡下所有 Windows 系統電腦,然後極速感染至所有電腦上。而中毒的電腦會出現一個「即將重新開機」的提示,如果這個提示消失之前你沒有來等及中斷電源的話,電腦在重開後就會出現上圖畫面。這個畫面就像是磁碟重組檢查,感覺跟正常的程序一樣,其實背後正是在進行全電腦檔案加密的恐佈步驟。這個畫面的過程很快,如果你還是沒來得及關機中止的話,那就太遲了。
▲ 一旦中毒後,你就會看到如上圖的畫面,表示你電腦的所有檔案已經被加密,不能存取。如果要重新取回檔案,就要按指示「交付贖款」。
如何預防?
香港電腦保安事故協調中心 (HKCERT) 今日發出警告,定義新型勒索 Petya / Petwrap / NotPetya 為最嚴重危險性級別,提醒大家要做好預防措施,以免個人或電司電腦中毒而招致損失。以下是一些該心中提供的措施,大家可以照做:
- 使用 Windows Update 安裝最新的保安更新程式。
- i) 以下提供各版本修補程式下載連結 (亦提供視窗 XP、視窗伺服器 2003 及視窗 8 特別修補程式):
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (捲動至頁底)
- i) 以下提供各版本修補程式下載連結 (亦提供視窗 XP、視窗伺服器 2003 及視窗 8 特別修補程式):
- 確保已設置防火牆或寬頻路由器,且沒有開放SMB服務(技術上要關閉TCP 139和445端口)。
- 安裝防毒軟件或互聯網保安應用程式並更新病毒資料庫。
- 進行離線備份 (即是使用其他儲存裝置,備份後立即移除)。
- 不要打開任何可疑電郵內的連結或附件。
- 確保電腦已有基本保護,包括啟用及執行視窗更新、安裝已有最新病毒資料庫的防毒軟件及啟用視窗防火牆。
要防止病毒擴散或公司內聯網其他電腦受感染,可以先行關閉 SMB 服務,詳細設定方法可以按此參考微軟官方說明。