Sophos揭露WannaCry 由獵食者演變成危險疫苗

USB-Implementers Forum於2019年9月3號正式公布USB4的規格，主要更新為依據現有USB 3.2及USB 2.0架構做補充，來建構新一代USB。USB4的架構基於Thunderbolt的協議規範(該規範由Intel貢獻給USB Promoter Group)，最高傳輸速率由原本USB 3.2的20Gbps(10G x2)，增加ㄧ倍到40Gbps (20G x2)，並可同時傳送多個資料及影像。

全球網路及端點安全領導廠商Sophos發表最新研究報告WannaCry餘波未了，披露惡名昭著的惡意軟體WannaCry自 2017 年 5 月 12 日發動全球攻擊後的動向。Sophoslabs研究發現WannaCry依然猖獗，每月仍有數以百萬次的攻擊被阻擋，同時即使原始版本沒有更新，網路上還有成千上萬種短命變種四處流傳。WannaCry持續肆虐，主要原因在於這些新變種能夠繞過軟體本來的Kill Switch自我毀滅機制。然而Sophos研究人員分析和執行多個變種的樣本後，發現這些新變種已因程式碼受損而失去對資料加密的能力。

若WannaCry發現攻擊目標已受到感染，就會轉向另一部電腦，故早已被WannaCry惰性版本感染的裝置會受到保護，逃過被活躍程式碼影響的攻擊。簡單來說，WannaCry的新變種意外地成了一種「預防疫苗」，使得仍未修補系統且存有漏洞的電腦網後免於遭到同一款惡意軟體的攻擊。問題是，這些受到惰性版本感染的電腦，極有可能是因為尚未更新早在兩年多前便已推出的修補程式，以填補WannaCry所利用的漏洞。

原來的WannaCry惡意軟體只曾經被偵測到過40次，但SophosLabs的研究人員之後卻識別出12,480隻原始程式碼的變種。他們仔細觀察了當中超過2,700個樣本 (佔偵測總數98%) 後，發現它們全部都能夠繞過Kill Switch自我毀滅機制(一種特定URL連結，惡意軟體連線上後就會自動終止感染程序)，不過其勒索的元件亦有損壞，無法再加密資料。

單在2019年8月，Sophos便透過遙距偵測到430萬起WannaCry攻擊，涉及6,963隻變種，而當中5,555款(即八成)為新發現的檔案。Sophos研究人員亦追溯到目前最為廣泛流傳的WannaCry變種首次出現的日子—2017年5月14日，也就是原始版本發動攻擊的兩天後。當時該變種被上傳至VirusTotal免費惡意軟體分析平台，但未曾於坊間被發現。

Sophos安全專家兼該項研究報告的首席作者Peter Mackenzie表示：「2017年爆發的WannaCry事件徹底改變了威脅生態，但我們的研究顯示坊間依然有無數電腦未有修補系統。試問若這些使用者仍未安裝已推出兩年多的更新檔，那至今會錯過了多少個其他修補程式？有些受害者非常幸運，皆因WannaCry的變種使他們對這款惡意軟體的新版本免疫。可是企業不能心存僥倖，必須立即執行安裝新發布修補程式的標準政策，還要採用健全的防護解決方案，以保障所有端點、網路和系統。」

免受WannaCry惡意軟體和其他勒索軟體攻擊的方法

確保所有連接至公司網路的裝置都列在清單上，並已安裝最新的防護軟體，一旦有最新的修補程式推出，就立即安裝到連上公司網路的所有裝置；定期將最重要及現有的資料備份至離線儲存裝置，以免受制於勒索軟體而要繳交贖金；安全防護並無靈丹妙藥，但所有企業務必採用分層式防護作為最佳實踐，例如Sophos Intercept X採取全面的深度防禦策略為端點提供保護，結合多種下一代領先技術以進行惡意軟體偵測及漏洞防護，並內建端點偵測與回應(EDR)功能。