前幾天在網路上最熱門的新聞不外乎應該就是「WannaCry」勒索病毒,搞的人心惶惶,拔網路線的、更新的、關 Port 的,但結果我只聽到我朋友說,他看了網路文章寫半天,不知道這是殺小,也不知道該怎麼辦,阿湯並不是資安專家,所以接下來的發言如果有任何錯誤,歡迎糾正,當第一時間看到新聞在報導勒索病毒 WannaCry 時,我其實覺得應該還好吧,沒想到隔一天網路上就滿滿的消息,且引來了非常大一波的更新潮,往下來我們來稍微更了解一下這次的病毒,真的不用那麼惶恐(突然很想說句台詞:臣惶恐)。
WannaCry 勒索病毒的運作原理
很多人只有說這次病毒是利用 Windows Samba(SMB) 服務的漏洞所攻擊的,所以目前阿湯看到最安全的做法是:拔網路線、關閉 SMB 服務、更新 Windows。其實這做法是對的沒問題,不過我們應該更深入的來了解一下,WannaCry 主要是針對 SMB 漏洞,而 SMB 其實很複雜,這次僅針對的是 445 port 的漏洞,好了,說到這裡大家已經看不懂了,換成白話文來說,Windows 電腦相信很多人都熟知「網路芳鄰」,也就是可以透過網路芳鄰在區域網路人互相傳送檔案,非常便利的一項功能,在 Windows 裡就是透過 445 這個連接埠來運作的,所以駭客找到了這個漏洞進行攻擊。
那知道了這個漏洞,你也沒亂下載東西,為什麼有機會中毒呢?一般要中勒索病毒,普遍是自己亂下載東西,不小心執行了病毒所造成的,而這次的 WannaCry 除了這樣的方式之外,比較可怕的是,駭客利用掃描 IP 的方式,找出仍然有 SMB 漏洞的電腦直接攻入,因此很多電腦就算沒幹嘛還是遭秧了,這就是為什麼要你第一時間拔網路線的原因。
不更新 Windows 一定會中毒?
答案是不一定,上面這些可能你了解,也是大致上很多人提出的,接下來阿湯來講講不同的內容,儘管你沒有更新電腦,其實不一定會中這次的 WannaCry,前面我們提到了,駭客可以透過掃描 IP 的方式,再經由 445 連接埠攻擊你的電腦,因此我們可以針對這點想一下,如果你電腦沒有直接對外的 IP,也就是經由 IP 分享器上網,那麼原則上你是不會被透過 445 連接埠攻擊的,因為正常來說,IP 分享器預設是不會開啟 445 port 的,就算有開啟,你也得指定 IP 分享器的 445 port 要轉送到哪一台電腦上,否則,只要你的電腦是接在分享器上網的話,原則上是不可能被「主動」攻擊而中毒。
像這次就有朋友問阿湯要怎麼辦,因為我知道他家有透過分享器,所以我只有叫他更新 Windows,不需要做什麼多餘的事,其實像這種主動式的病毒,在幾年前就有類似的出現過,同樣是利用電腦漏洞,透過掃描 IP 主動讓你電腦中毒,所以不管怎麼重灌,只要一上線就 GG,大家也可以注意一下,雖然台灣在這次的勒索病毒事件中被列入前三大災區,那怎麼一堆還在用 XP 系統的公家單位,或者各大企業為什麼沒有什麼特別災情,基本上都是個人的中獎,就是這個原因,公家單位跟企業原則上 100% 都是經由分享器,所以不可能被掃描 IP 而受到攻擊,講到這邊應該很多還沒有使用 IP 分享器的應該想去買一個來裝了。
再來,如果你這次中了 WannaCry 勒索病毒,但你是透過 IP 分享器上網,一定會問為什麼還會中,原因可能有二種,一種就是你亂下載東西中獎了,另一種就是在同一個分享器下別台電腦中了之後感染過來的,區網內如果有其他電腦中 WannaCry 的話,很有可能就會經由區域網路傳染開來。
講到這邊希望大家稍微有理解一些,更新不一定是絕對的防護方式,因為你如果亂下載東西的話,更新也沒用,一樣 GG,但像這種主動式掃描 IP 來攻擊的,原則上有經過分享器上網的電腦都不會中(只是原則上,也可能未來有其他病毒找到針對分享器的漏洞也不一定。),因此真的不要那麼惶恐,真的沒有那麼嚴重。
整理一下重點如下:
- 電腦如果透過分享器上網,不用太擔心 WannaCry,不要亂下載原則上問題不大
- 區網內注意是否有其他人受到 WannaCry 病毒攻擊,有的話就要注意了
- 電腦還是需要持續更新,沒人知道下個漏洞是什麼
- 防毒軟體還是有作用的,推薦還是要安裝
- 分享器也可能會有漏洞,記得韌體也要更新
- 不得不說,這次的駭客讓大家注重了「更新」這件事
至於 Mac、Linux 並不是不會中毒,只是相較於 Windows 的案例來說比較少,所以別傻傻的以為不是 Windows 電腦就可以亂來。
以上為阿湯的一些不專業淺見,歡迎專家們提出糾正,我會更新內容的。