我們已經看了好幾天WannaCry的新聞了,現在整個災情看來也慢慢的趨於平緩,如果WannaCry沒有推出新的變種的話,災情應該也可以有效的控制下來。不過,對於那些定期更新電腦的人來說,或許還是很好奇,到底感染到WannaCry是什麼樣的情況呢?
如果你想要知道是什麼情況,當然讓自己的電腦感染一次痛過就知道了。不過,應該沒有人有這股傻勁吧!幸好透過現在科技時代的幫忙,我們不需要以身試險,也可以滿足我們的好奇心。
資安研究人員 danooct1 他用了一台虛擬機,安裝了一個被WannaCry感染的檔案,用來讓我們理解這個WannaCry勒索軟體的工作原理,並且放在YouTube上面讓大家都可以看到。
在某台虛擬機上安裝了「WannaCry」的一個副本,以便向我們展示該勒索軟體工具的執行原理。
在影片中,他一邊說明他在這個虛擬機器上他完全斷絕了網路,甚至連網路卡都沒有,目的是避免WannaCry透過網路影響到家中其他的裝置,一面就開啟了下面這個遭到勒索病毒感染的檔案。
點選之後你會看到這個資料夾自動產生了許多其他的檔案。
在執行了之後不到幾秒鐘的時間,很快的你就看到整個桌面桌布就被換掉了黑底紅字顯示,主要訊息就是「你的重要文件已被加密」。WannaCry並沒病毒所謂的潛伏期,可以說是馬上接手執行病毒的動作。
你可以看到在這個桌布上,他告訴你你的所有檔案都已經被加密了,你現在沒有辦法將檔案正常執行,如果想要挽救檔案,請依照後續的指示。
後續的指示在哪呢?大約過了七八秒的時間,UAC會跳出一個攔截視窗,問你要不要執行這個程式。這時其實你的檔案已經都被加密了,事已至此,你也只能按確定看看對方的訊息。
再相隔大約不到十秒的時間,就會跳出這個惡名昭彰的勒索視窗。至此,整個勒索病毒的入侵你這台電腦的過程就到此結束,接下來就是等著你付款了。這裡會有詳細的勒索申明、倒數計時的時間、以及支付贖金約等值 300 美元的比特幣錢包地址。
danooct1 分析,基本上「WannaCry」與過去的其他勒索病毒工具沒有什麼不同,最後使用的倒數計時勒索視窗也與之前的其他勒索軟體大同小異,看起來是用相同的介面改裝過來的。
只是,「WannaCry」之所以這麼危險,在於他利用了一個高危險的Windows漏洞,只要一個區域網路中,有一台電腦被感染,就會利用網路埠來大量傳布出去,區域網路中的其他電腦就算沒有做任何的動作,就也會遭受感染。
因此,假設一間公司,就算你對外的資安做的再滴水不漏,只要有一台員工的筆電,可能在某個地方感染了「WannaCry」,一回到公司網路連結,就有可能會造成災情。這就是「WannaCry」可怕的地方。
資料來源:YouTube
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!