WannaCry | wannacry分析
此條目介紹的是2017年5月12日開始流行的電腦軟體。關於有勒索行為的軟體,請見「勒索軟體」。WannaCry(直譯「想哭」[2][3]、「想解密」[4],俗名「魔窟」[5][6],或稱WannaCrypt[7]、WanaCrypt0r2.0[8][9]、WannaDecryptor[10])是一種利用NSA的「永恆之藍」(EternalBlue)漏洞利用程式透過網際網路對全球執行MicrosoftWindows作業系統的電腦進行攻擊的加密型勒索軟體兼蠕蟲病毒(EncryptingRansomwareWorm)。該病毒利用AES-128和RSA演算法惡意加密使用者檔案以勒索比特幣,使用Tor進行通訊[11],為WanaCrypt0r1.0的變種[12]。20...
此條目介紹的是2017年5月12日開始流行的電腦軟體。關於有勒索行為的軟體,請見「勒索軟體」。WannaCry(直譯「想哭」[2][3]、「想解密」[4],俗名「魔窟」[5][6],或稱WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一種利用NSA的「永恆之藍」(EternalBlue)漏洞利用程式透過網際網路對全球執行Microsoft Windows作業系統的電腦進行攻擊的加密型勒索軟體兼蠕蟲病毒(Encrypting Ransomware Worm)。該病毒利用AES-128和RSA演算法惡意加密使用者檔案以勒索比特幣,使用Tor進行通訊[11],為WanaCrypt0r 1.0的變種[12]。
2017年5月,此程式大規模感染包括西班牙電信在內的許多西班牙公司、英國國民保健署[13]、聯邦快遞和德國鐵路股份公司。據報導,至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊(截至2018年,已有大約150個國家遭到攻擊)。[14][15][16][17]俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電信公司MegaFon共有超過1000台電腦受到感染。[18]於中國大陸的感染甚至波及到公安機關使用的內網[19],國家互聯網應急中心亦發布通報[20][21]。
WannaCry被認為利用了美國國家安全局的「永恆之藍」(EternalBlue)工具以攻擊執行Microsoft Windows作業系統的電腦。[17][9]「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主[22][需要較佳來源]。「永恆之藍」利用了某些版本的微軟伺服器訊息區塊(SMB)協定中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修復該漏洞的安全修補程式已經於此前的2017年3月14日發布[23],但並非所有電腦都進行了安裝[24]。
此次爆發的電腦惡意程式對漏洞的利用基於「永恆之藍」(EternalBlue)工具。駭客組織「影子掮客」(The Shadow Brokers)在2017年4月14日發布了一批從方程式組織(Equation Group)洩露的工具,其中便包括「永恆之藍」[25][26][27];而方程式集團...