幾個月前造成全球資安危機的 WannaCry 勒索病毒,台灣也成了重災區,隨著病毒逐漸被消滅,看似又回復了平靜,但就在大家快要淡忘的時候,新的勒索病毒又來啦!這次,連更新過的 Windows 10 也有可能中招,該怎麼辦啊?
這次的勒索病毒稱為 Petya,目前在英、美、法、德國估計有超過 2,000 台電腦遭受感染,而烏克蘭甚至連國有銀行與電力公司都中標!Petya 勒索的金額同樣為價值 300 美元的比特幣,跟之前的 WannaCry 相同。
Petya 和 WannaCry 都同樣透過 Windows 漏洞進行主動攻擊,當成功入侵某一台電腦後,就會再利用 Windows 客戶端 (CVE-2017-0199) 主動攻擊區網內的其他電腦,之前如果逃過一劫的電腦,這次不可再掉以輕心,因為即使是安裝了 Eternalblue 漏洞 (WannaCry) 的修正檔一樣會中毒,所以這次 Windows 10 用戶恐怕也難逃一劫。最理想的防範方式就是讓所有電腦都更新或修正 Windows 的 SMBv1 漏洞。
Petya 會主動破解電腦的登入密碼,所以千萬不要再使用無密碼登入,或是簡單短密碼,這些都會讓 Petya 輕易攻破。
怎麼發現中毒?
Petya 入侵後,會自動將 Windows 重開機,並且進入 Dos 畫面,進行全機硬碟加密程序,加密時會假裝成掃瞄或修護硬碟的程序,讓使用者不敢打斷,但是加密過程超快,所以當你看到電腦在非人為情況下自動重開機並進入硬碟維護程序時(如上圖所示),請直接將電腦斷電。
當電腦被 Petya 綁架後,畫面上只能看到一個紅色骷髏頭,按下一頁後,會看到支付 300 美元等值比特幣的勒索資訊,此時,連 Windows 都無法進入,可說比 WannaCry 還難對付。
預防方法:
首先,確保所有電腦都有完成最新版 Windows 安全性更新,避免任何一台電腦變成系統漏洞。
第二,如果要確保自己的電腦在其他電腦被入侵後,不至於被感染,那麼請務必開啟登入密碼,並且盡量使用複雜密碼(多字元、大小寫、英數、符號等混用)。
第三,關閉區網互連等功能,避免區網其他電腦進行攻擊。
第四,預先製作 Petya Kill
如同 WannaCry 一樣,Petya 也有 Kill-Switch 的機制 ,製作方法雖然很簡單,但只能預防目前版本的 Petya。作法詳見資料來源。