新一波勒索軟件攻擊潮周二(27日)起席捲歐美,專家初步推斷涉案軟件是Petya及其升級版Petrwrap,又或是跟其相似的全新軟件,與上月肆虐的WannaCry利用相同的微軟Windows作業系統弱點,有專家指程式較完善和「更致命」。首先受到攻擊的烏克蘭,目前情況已經受控,但攻擊已由歐美蔓延到亞洲,中國亦偵察到勒索程式蹤跡。俄羅斯總統普京指,網絡攻擊是由外國情報機構發動,受感染電腦會被索取價值300美元的比特幣,香港昨接獲一宗感染個案查詢。
今次攻擊首先是在烏克蘭收到報告,政府、銀行、國家電力設施以及基輔機場和地鐵系統都受感染,病毒感染電腦後會潛伏約一小時,才重新啟動和顯示勒索信息,索取價值300美元的比特幣,換取解鎖電腦硬碟。
其後災情擴散到歐美其他地方,中招者不少都是頂尖企業,包括丹麥航運巨擘馬士基集團(Maersk)、英國廣告界巨擘WPP、法國建築材料生產商聖戈班(Saint-Gobain)、歐華律師事務所(DLA Piper)、西班牙食品加工業巨頭億滋國際(Mondellz)、俄羅斯石油公司(Rosneft)和俄羅斯鋼鐵企業Evraz等。
昨日輪到亞洲部分地方受波及。由馬士基集團在孟買營運的全印度最大貨櫃碼頭,因受攻擊未能裝卸;WPP在香港的廣告公關分公司亦有中招。
多藉內聯網傳播 鎖硬碟
俄羅斯電腦防毒保安公司卡巴斯基(Kaspersky Lab)稱,據其分析顯示共有逾2000宗攻擊,大多集中於烏克蘭和俄羅斯,波蘭、意大利、德國、法國和美國也有一定數量的個案。今次攻擊大多透過內聯網傳播,而且會鎖上整個硬碟,與WannaCry有所不同(見表)。烏克蘭當地星期三仍有銀行關閉,地鐵和郵局服務則逐漸回復正常。當局指,勒索軟件攻擊情況已全面受控,戰略設施等運作正常。
聯邦快遞亦指,他們旗下的TNT快遞亦因為被勒索軟件攻擊,導致全球運作受到影響。法國巴黎銀行旗下負責地產及投資管理的分公司亦成為勒索軟件受害者,公司表示已採取必要措施。
傳媒引述的專家普遍相信這次勒索軟件名為Petya或其升級版的Petrwrap,但卡巴斯基相信是全新的勒索軟件,只是與Petya相似,稱之為NotPetya。基本上可確定的是,今次肇事勒索軟件與WannaCry都是利用一項由美國國家安全局泄漏、名為EternalBlue和EternalRomance的漏洞。Windows XP到Windows 2008的微軟作業系統都有中招風險。
Win XP至Win 2008有中招風險
微軟昨表示,完成最新升級的使用者,安全防護軟件將自動檢測並保護使用者,免受此次攻擊影響。
專家對黑客目的仍未有頭緒,因為勒索金額偏低,有可能只是想製造廣泛混亂或發出政治信息。
研究人員迄今還未找到「緊急煞車掣」(kill switch)。
專家指新勒索軟件比WannaCry更有殺傷力,因為前者有不止於EternalBlue的攻擊工具,助其加快在網絡間的移動速度,尤其會在受感染電腦找到密碼,然後攻擊其他系統。與此同時,新勒索軟件還會鑽PsExec技術的漏洞,令其加速擴散,故一旦受感染電腦對網絡有管理員權限,則網絡堛漕C一部電腦都可能受感染。
香港電腦保安事故協調中心昨建議7招預防,主要為安裝最新保安更新程式、減少組織內擁有管理員權限人數、離線備份、勿打開可疑電郵連結或附件等。(綜合報道)