勒索病毒大範圍傳播，安全專家發出警告

騰訊科技訊 據《連線》雜誌報道，新一波勒索軟體攻擊正在全球範圍內迅速傳播，導致了英國國家醫療服務體系（NHS）多家醫院的危機，並在西班牙造成大範圍影響。西班牙電信、天然氣公司Gas Natural，以及電力公司Iberdrola均未能倖免。

這一勒索軟體被稱作WannaCry（也被稱作WanaCrypt0r或WCry），似乎是3月底時曾經出現過的勒索軟體的變種。截至本文發稿時，新版本勒索軟體已波及了至少74個國家的數萬台計算機。受影響地區包括俄羅斯、中國、法國和日本等。

WannaCry的爆發為何如此猛烈？這一惡意軟體似乎利用了Windows中被稱作「EternalBlue」（永恆之藍）的漏洞，而該漏洞的發現者據稱是美國國家安全局（NSA）。一家名為Shadow Brokers的組織上月發布了多款來自NSA的黑客工具，其中就包含針對該漏洞的工具。微軟已於今年3月通過MS17-010補丁修復了該漏洞。不過很明顯，許多組織並未及時安裝補丁。

作為最初版本WannaCry的發現方，Malwarebytes惡意軟體情報總監亞當·庫加瓦（Adam Kujawa）表示：「傳播非常猛烈。我從未見過這樣的傳播。」

醫院成為攻擊目標

勒索軟體會感染用戶的計算機、鎖定系統（通常會給硬碟數據加密），隨後要求用戶支付贖金換取解密密鑰，而贖金通常會要求通過比特幣形式來支付。在此次攻擊事件中，NHS的計算機和電話系統遭遇了大規模攻擊，系統出現故障，多家醫院的計算機都彈出消息，要求用戶支付300美元比特幣的贖金來解鎖計算機。

由於周五的攻擊事件，倫敦和英格蘭北部的多家醫院、診所和醫療機構都取消了非急診服務，切換至備份流程。英格蘭多家醫院的急診室都發出通知，希望病人在非必要情況下不要前來就診。不過到目前為止，攻擊尚未造成病人數據的泄露。

在英格蘭，NHS表示，正在對這起攻擊事件進行調查，並採取應對措施。英國媒體報道稱，醫院工作人員被告知關閉計算機和IT網路服務。另一些受害者，例如西班牙電信，也在採取類似的防範措施，包括告知員工關閉受感染的計算機。

醫院常常會成為勒索軟體攻擊的目標，因為醫院必須儘快為病人恢復服務。因此，醫院也更有可能向犯罪分子支付贖金，使系統儘快恢復正常。此外，醫院的系統在攻擊時往往也更簡單。

醫療信息管理系統協會隱私和信息安全負責人李·金（Lee Kim）表示：「在醫療和相關行業，我們在解決這些漏洞時動作非常慢。」

WannaCry並非僅僅瞄準NHS。NHS在聲明中表示：「此次攻擊並非特別瞄準NHS，而是影響了多個行業的許多機構。我們專註於為受影響機構提供支持，迅速而果斷地管理好這起事故。」

從某種方式來看，這導致情況更糟糕。WannaCry並非僅僅瞄準醫院，而是瞄準了所有一切可能的計算機。這意味著，在好轉之前，情況還會進一步惡化。

波及更多行業

NHS遭到的攻擊最引人關注，因為這導致了病人的生命安全面臨風險。不過，WannaCry可能會繼續擴大攻擊範圍，因為這利用了許多計算機系統中的漏洞。微軟於兩個月前發布了該漏洞的補丁，但很多計算機尚未安裝。消費級設備安裝補丁的情況可能較好，因此Malwarebytes的庫加瓦表示，WannaCry主要將給企業基礎設施帶來危險。

WannaCry的開發者似乎希望這款惡意軟體能廣泛傳播。MalwarebytesHunterTeam組織研究員MalwareHunter表示，除了利用來自Shadow Borkers的Windows漏洞之外，這一勒索軟體還可能使用了更多的漏洞。該組織發現了第二代的WannaCry。此外，軟體可以支持27種語言。如果攻擊者只希望瞄準某家醫院或銀行，或是某個單一國家，那麼原本不必如此麻煩。

從微觀角度來看，情況同樣糟糕。在WannaCry進入某一網路後，可以迅速傳播至同一網路的其他計算機。最大化給企業和其他機構造成破壞，這是勒索軟體通常的特徵之一。到目前為止，尚不清楚此次攻擊發源於何處，因此在更大範圍內應對攻擊也變得更難。信息安全分析師將利用受害者信息，判斷攻擊者最初從何處下手（例如釣魚、惡意廣告，或是更個性化的有目標攻擊），從而追蹤惡意軟體的起源。

對於已受影響的計算機用戶來說，各種保護措施為時已晚（對他們來說，問題是是否要支付贖金）。不過，對於尚未遭到攻擊的用戶來說，至少可以採取一項措施：儘快安裝微軟的補丁。由於這是伺服器級別的補丁，因此用戶也可以求助最近的系統管理員。

MalwareHunter表示：「我會說，此次攻擊非常成功，因為用戶和企業沒有及時給系統打補丁。」

在補丁全面安裝之前，預計WannaCry還將繼續傳播。（編譯/昱燁）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！