勒索软件攻击99国‧Avast侦测到7.5万宗

Avast的网络安全专家科瑞斯特金大马时间周六凌晨4时在网志上表示，“侦测到7.5万宗勒索软件攻击……涉及99个国家”。

（英国‧伦敦/马德里13日讯）Avast的网络安全专家科瑞斯特金大马时间周六凌晨4时在网志上表示，“侦测到7.5万宗勒索软件攻击……涉及99个国家”。

俄罗斯防毒软件生产商卡巴斯基（Kaspersky）则表示，观察到在74个家的4.5万宗攻击，形容这种恶意软件是自我复制的“蠕虫”迅速扩张。

骇客勒索价值300美元（约1千304令吉）的比特币，若不支付3日后勒索金额会加倍，经骇客加密的资料更会在7日后被永久消除。安全人员观察到，一些受害者通过比特币交“赎金”。

有网上保安公司甚至侦测到每小时有近500万份勒索电邮。

据信这是目前为止规模最大的网络攻击，背后运作的恶意软体利用的似乎是微软Windows系统漏洞，美国国家安全局（NSA）可能因情报蒐集而发现这个名为“永恒之蓝”（EternalBlue）的漏洞，该NSA工具包随后被称为“影子掮客”（The Shadow Brokers）窃取且公布在网络上。

英医院被骇取消手术

受影响最严重的是英国的国家医疗保健服务（NHS），英格兰和苏格兰的多间公共医疗机构受影响，据悉包括医院病理报告、电话系统、病人管理系统等都被骇客封锁，有医院因而要取消病人手术，甚至将病人紧急运送去其他医院。

当局呼吁民众如非紧急事故，应避免前往医院。

一名NHS职员说，不排除有病人在这种情况下延误诊治而死亡。英国国家网络保安中心与警方已手调查事件，希望可以找出解决方法。

在亚洲，有医院、学校、大学和其他机构遭到攻击。

印尼有至少2家主要医院受袭。韩国也有一家大学医院受影响。

广告

Avast电脑病毒小组主任克劳斯特克表示，勒索软件攻击像医院这种机构，置民众性命于危险，这特别恶毒。

俄受逾4万次攻击

据卡巴斯基实验室的数据显示，俄罗斯受到至少逾4万次攻击。内政部称约1000部电脑受攻击，但伺服器运作未受影响。有报道称当地检察部门也受到勒索，不过当局否认。俄国第2大行动电话网络Megafon，也都表示受病毒影响。

香港有机构受到这次网络攻击，还有瑞典的一个地方政府、葡萄牙电讯、美国联邦快递（FedEx）等公司，亦有多部电脑受感染。越南、比利时、乌克兰、法国、德国、墨西哥、土耳其等也传出受到影响。

雷诺生产线停摆

法国汽车制造商雷诺周六说，由于受到恶毒软件攻击，它在法国及斯洛文尼亚的生产线已停止运作。

德国国家铁路网络亦受到攻击，但未影响到它的铁路服务。

踢爆美国大规模监控计划的史诺登指责国家安全局应为事件负责。

防大选前遭网攻
英国严阵以待

目前还未有组织声称负责。这次勒索发生的时机正值欧洲正对网攻感到敏感的时期。上周法国总统大选次轮投票前，就发生热门候选人马克龙电邮和资料外泄，周三法国数家媒体机构和航空巨擘空中巴士的网站亦遭迎击。

英国下月举行大选，当局对选前可能遭网攻严阵以待。英国外交部长约翰逊表示，“有现实可能性”俄罗斯可能会试图干预下月的英国大选。

英国成周五恶毒勒索软件网络攻击的重灾区，国家医疗保健服务（NHS）陷瘫痪。内政部长部长拉德说，政府还不知道幕后黑手是谁，也不清楚袭击是否由外国政府指使，目前还在追查中。

台第二重灾区

台湾亦是重灾区之一，凌晨有网民在“批踢踢实业坊”（ptt）上反应，中了勒索软体的毒。

国外资安组织《Malware Hunter Team》在推特发文指出，受到此勒索软体影响的国家英俄最为严重，而台湾也位居第二。许多研究人员指出，勒索软体并没有针对特定目标攻击，但各攻击事件疑似有所关连。

网路安全厂商赛门铁克指出，勒索软体已成为肆虐全球的问题，光是勒索软体的平均赎金，去年就比前年激增266%，且在去年就监测到超过100个肆意传播的新型恶意软体家族，数量是过去纪录的3倍之多。

去年，美国洛杉矶1家医院的电脑系统遭骇客入侵，院方不得其门而入超过1周，被迫付出相当1.7万美元（约7.4万令吉）的比特币赎金，才让电脑系统恢复正常。

制止勒索病毒
英找到暂阻扩散方法

勒索病毒“WanaCrypt0r2.0”（也称Wanna Cry“想哭”或Wanna Decryptor“想解锁”）袭卷全球，然而根据外媒报道，来自英国的网络安全研究员声称找到方法能停止这个病毒扩散，但却也警告这只是暂时性质。

Twitter上自称@malwaretechblog的英国信息安全研究员表示，他在信息安全公司Proofpoint的达里恩．哈斯（DarienHuss）的帮助下，发现了隐藏在WannaCry中的一个“删除开关”。

他表示这一开关被编码在WannaCry之中，如果恶意软件的制造者希望停止其传播，那么就可以激活开关。根据开关机制，恶意软件会向长域名发送请求，如果请求得到响应，表明该域名已经上线，那么删除开关就会生效，恶意软件就将停止传播。

“我发现这个域名没有注册，我的想法是，‘我可以去试试看。’”购买这个域名花了他10.69美元的费用。在上线后，该域名收到了每秒数千次的连接请求。

无论如何，他表示这一删除开关只是暂时性的，骇客只要更改病毒的程式码，那个病毒就能继续扩散，感染更多的电脑系统。

此外，这对于已被感染的电脑无法起到帮助，而也很有可能的是，携带其他类型删除开关的恶意软件仍在继续传播。

针对全球约100个国家和地区的电脑周五被勒索软件攻击，微软表示，已开始推出Windows自动更新，保护客户免受恶意软件WannaCry攻击。微软称，这款勒索病毒的文件名是“Ransom:Win32.WannaCrypt”，而微软已开始推出Windows自动更新以保护客户，另外，微软在3月14日曾推出修补程式保护他们免受Eternal Blue影响。（图：网络照）

中文版勒索信行文流畅
骇客疑有中国人

据报道，不少中国大专院校电脑亦遭受攻击，甚至有大学四年级生的毕业论文被加密勒索。事件在中国网络引起热议，有网民认为骇客所留下的中文版勒索信行文流畅，怀疑骇客可能有中国人。

大学生论文被锁

南昌大学、山东大学、东北财经大学等十多家大学突然遭勒索软件病毒攻击，有毕业生论文被锁，要胁要付款才能恢复文件，受影响学生或未能如期毕业。当局呼吁学校和师生做好防范工作。

但与其他国家有所不同的是，骇客针对中国还制作中文版，有中国网民对比中英版本的勒索软件，称中文版文笔流畅，英文版反而较为生硬且句式变化少，怀疑有华人骇客参与其中。

网传照片可见，骇客在中国高校电脑留下的勒索讯息是用中文写成，且行文流畅，不像使用翻译器由外文转成中文。有网民推测：“看了中英文版本的勒索信，我有一个怀疑，骇客是中国人，或者至少团队中有一个中国人。中英文的病毒勒索信，中文版文字流畅自然，还带点独创的‘幽默’，英文版却十分生硬，句式变化也很少，还有好几处句法和语法错误……”

骇客大规模发动网络攻击，引起中国网民人心惶惶，担心自己的电脑也会“中招”，甚至有网民声言近期将不会开启电脑，以免电脑被攻击。

有自行网路扩散能力
WannaCry会寻其他电脑

称为“勒索软体”（Ransomware）的恶意软体在全球百国家肆虐，造成最新一波攻击的勒索软体WannaCry也是一种蠕虫，进入受害电脑后还会寻找其他电脑，尽其所能地散播。英媒整理迅速蔓延的这一波网络攻击重点如下：

●如何运作？

WannaCry是种“勒索软体”，会锁住你电脑中的档案并予加密，程式对你的档案加密并要求以比特币（Bitcoin）支付赎金才可解锁。不过资讯安全专家警告，即使付款也不保证能够解锁。有些恶劣的勒索软体甚至会在几天后威胁删除整个档案，要求支付更多赎金。

与其他恶意程式不同的是，这个病毒具有自行在网路扩散的能力，而大部份其他恶意程式均是透过人们点阅附有病毒码的附加档案来传播。

●已在哪些地方散播？

据报道已有99个国家地区传出感染事件，包括英国、美国、中国、俄罗斯、西班牙、意大利、台湾及香港等。

网络安全公司“Avast”表示，全球已有7.5万起这类勒索软体攻击事件，专家形容“灾情很惨重”。许多研究人员认为，这些网攻显示有某种连结，但可能不是一起针对具体目标发动的协同攻击。

●有何特殊之处？

WannaCry不只是一个勒索程式，它也是种蠕虫，意思是它入侵你的电脑，并且寻找其他电脑，尽其所能地散播。

勒索病毒有突变的习惯，会与时俱进找出不同方法入侵电脑或让修补程式无用武之地。许多资讯安全公司已知道过去的WannaCry型态，大部份都在研究现在这个WannaCry，以找出阻挡它蔓延的破解之道。

●病毒肆虐幕后黑手是谁？

部份专家表示，这些网攻可能是用以发掘微软系统的漏洞，美国国安局确认，被用做攻击的是名为“EternalBlue”的软体。美国国家安全局（NSA）这些网络软体工具先前被骇客“影子掮客”所窃并在网上发布。当时部份资安专家表示，有些恶意软体是真的，但很老旧。

文章来源：星洲日报／国际·2017.05.13