Wannacry擴散急煞 歸功美專家發現殺着 英工程師意外一click!
Wannacry病毒衝擊全球,據網絡安全公司表示,多達99個國家、逾7.5萬台電腦遭受感染。但災情在周六(13日)晚突然停止進一步擴大,全歸功美國網絡保安專家發現它的「殺着」,而一位不知名英國工程師,則按下了病毒的「緊急煞車掣」。
勒索軟件Wannacry病毒在香港時間周五(12日)清晨時間開始肆虐,至周六(13日)中招的機構或電腦不斷增加,英國、西班牙、俄羅斯、台灣等地成為重災區。但病毒在周六晚上突然「被煞車」,災情停止進一步擴大,背後歸功一位美國網絡保安專家,和一位22歲的英國工程師。
意外找出病毒發作出「連線動作」
一名不願公開姓名僅自稱「MalwareTech」的22歲工程師,住在英國西南部,任職Kryptos logic研究工作。他表示當日和朋友吃飯後,聽到Wannacry肆虐的新聞:「我找到了一個病毒的樣本,發現病毒發作前會尋找一個未被註冊的網址,當時我不知那有甚麼用。」
經仔細研究後MalwareTech發現病毒內碼在攻擊前會先做一個步驟,發送信號到一個指定網址:若有回應會停止動作,相反就會開始攻擊。因網址並不存在,因此病毒必然會進行攻擊。這個「漏洞」似乎是病毒作者預先設計,用作病毒的「緊急煞車掣」。
該網址由一串無意義的字母組成:「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea」
延伸閱讀:Wannacry肆虐港家庭電腦中招 保安中心:即拔除Lan線 教4招預防
▲MalwareTech的發現很快流傳開去,上圖是網民轉述有關記載「煞車掣」的內碼。
買下網址作研究 誰知停止了病毒攻擊
「最初我們不肯定那網址有甚麼用,但因我們是專門研究黑客『殭屍網絡』的,所以決定以10.69美元(約80港元)買了這網址。」他們註冊後隨即留意到網址每秒有數以千計的點擊:「我們不知這樣做會加速傳播還是怎樣,我們只想繼續監視再研究下一步行動,誰知我們讓病毒停止攻擊了。」
因病毒發作前會先向上述網址發訊號,現網址已被註冊可作回應,所以病毒亦停止了攻擊。但此舉只能在病毒攻擊前有效,若病毒已執行攻擊造成損毀,是不可逆轉的。
MalwareTech警告這不代表可以鬆懈:「散播病毒的人很快會知道為何攻擊會停止,他們很可能會修改內碼並再一次施襲,所以現在要做的就是盡快更新電腦。」
延伸閱讀:Wannacry網絡攻擊罪魁禍首是美國? 斯諾登譴責國安局隱瞞漏洞
延伸閱讀:勒索軟件WannaCry「極危險」 舊視窗易中招 港與近百國家受攻擊
老闆以放假獎勵 無名英雄:我想返工
英國《太陽報》披露成功阻止災情的無名英雄MalwareTech的照片(右圖),並成功聯絡他進行訪問。他說老闆為了獎勵他,讓他再放多一星期的假期。不過他卻想返工:「我不需要任何東西,我真的只想回去工作。我的老闆提出以『真・一周假期』,取代這不是真的一周假期。」
他在Twitter上推文寫道「我承認,直至註冊域名前,我不知道此舉會令它停止運作,所以這是意外之舉。」他同時再次呼籲網民更新系統以保障自己。
MalwareTech的老闆之所以要還員工一個「真・一周假期」,是因他是放假期間於家中工作時無意中破解這一波攻擊。這名自學成材的年輕專家,在接收美國另一名網絡保安專家的資料後,花了數小時便找到它惡意程式的「死穴」。
這位不願公開姓名的青年在回應《星期日郵報》訪問時表示:「說我救命是有點誇張了,不過我倒幫一些人省了點錢。」他的意外之舉讓不少用家或企業免於支付贖金,那麼這一波攻擊背後的黑手又有賺多少?有專家向英國《衛報》表示,黑客通過今次大規模勒索,僅賺得1.55萬鎊(約155,703港元)
美國網絡保安研究員 越洋攜手建功
事件中還有另一位幕後功臣,現年28歲,任職美國網絡保安公司Proofpoint的網絡保安研究員赫斯(Darien Huss)亦在事件中出了不少力。他說,對於情況表示開心,但擔心未來數天會有另一次攻擊。
赫斯在上周五發現惡意軟件的「殺着」(kill switch)之後,將資料跟身在英國的MalwareTech分享。而後者無意中採取的行動(將域名註冊),成為制止攻擊繼續擴散的關鍵。
赫斯表示,幸好發現如個制止攻擊的人,不是一個心術不正的人。不過他也呼應英國的無名英雄所講,對於幕後黑來來說,再度發放新版程式,或是其他人模仿犯罪,都不是難事。
他接受英國《星期日電訊報》訪問時表示,基於它的機制簡單,模仿犯罪者可能很快出擊。
赫斯沒有邀功,反正盛讚英國青年才是英雄。MalwareTech跟他說,在成功剎停病毒進一步擴散時,令他開心得跳來跳去!
企業習慣不更新 容易中招
Wannacry病毒針對舊版本的Windows系統漏洞進行攻擊,且有別於以往的攻擊模式,用戶無需打開特定網頁或檔案,亦會自動受到感染,因此不少使用盜版或忽略系統更新的用戶均受到影響。
但為何不少企業用戶,包括英國國家衛生事務局(NHS)、法國大型通訊商Telefonica等都中毒癱瘓?他們當然不會使用盜版軟件,但因不少企業以系統穩定為由,不會隨便更新,以免與軟件造成不兼容問題。所以當遇上這隻會「主動攻擊」的病毒,就很容易無招架之力。
微軟緊急發布更檔 Windows XP用戶可下載
鑑於事態嚴重,微軟決定緊急發布更新下載,讓包括本來已停止支援的Windows XP、8、Server 2003的用戶更新。現在舊版視窗用戶只要開啟自動更新功能,可自動下載到最新更新,堵塞漏洞。
至於最新版本的Windows 10用戶,微軟表示只要有開啟自動更新功能,已下載今年3月發布的更新檔,便可對病毒免疫。
延伸閱讀:「Wannacry」病毒勒索全球近百國 英醫療系統、俄內政部成重災區
▲MalwareTech呼籲盡快更新電腦,防範可能出現的新一輪攻擊。
(綜合報道)