WannaCryptor爆發至今，已屆滿三年，卻仍然威脅全球

2017年5月12日，WannaCryptor（也稱為WannaCry和WCrypt）對全球電腦系統造成了前所未有的嚴重破壞，其利用Windows SMB的漏洞進行類似蠕蟲的主動式傳播行為，導致只要在區域網路中有一台主機中勒索病毒，會主動掃描區域網路中其他主機是否開啟445通訊埠，然後利用先前遭到外洩的美國NSA攻擊程式EternalBlue進行弱點滲透攻擊。

根據2020年第一季的ESET資安威脅報告，WannaCryptor依舊活躍並位居最常檢測到的勒索軟體之榜首，佔勒索軟體檢測到的40.5％。儘管它比上個月下降了不到一個百分點，但它在榜首的主導地位也沒有在4月消停。自2017年5月最大的爆發以來，至今已屆滿三年，其活躍程度著實令人十分不安，在2020年第一季的大部分時間裡，WannaCryptor的檢測歸因於廣泛認可的樣本，而這些樣本分佈於存在可能大量未更新設備的地區，例如土耳其，泰國和印尼。

圖1. 2020年1月至2020年4月前十名的勒索軟體排行榜（勒索軟體檢測的佔比）

導致整個WannaCryptor危機的漏洞：EternalBlue，在2020年第一季呈下降趨勢，但即便如此，EternalBlue仍具威脅，據Shodan稱，仍有大約一百萬台Windows設備使用SMBv1協議（請參考圖2），而這也意味著可能這一百萬台電腦將受到EternalBlue漏洞的攻擊。
*Shodan 是一個網路搜尋引擎，專門用來搜尋連上網際網路的各種裝置。Shodan 可搜尋的裝置和系統包括：網路攝影機、嬰兒監視器、醫療設備、工業控制系統 (ICS) 裝置、家用電器，以及資料庫等等。Shodan 會蒐集、彙整連網裝置所公開的一些基本資料和資訊，讓任何人都能輕易搜尋。

圖2. Shodan數據（截至2020年5月4日）

根據<圖2>顯示，今年美國依舊是擁有易受攻擊設備數量最多的國家，而俄羅斯則超過日本位居第二，值得關注的是南非，因為去年(2019年)它並沒有出現在名單上，現今卻排名第四。

除了WannaCryptor外，Diskcoder.C（又名Petya，NotPetya和ExPetya）和BadRabbit也都是利用EternalBlue漏洞進行攻擊的勒索軟體，但其實該漏洞早在WannaCryptor全球爆發前59天(2017年3月14日)，微軟就已公佈了Windows系統修復修補程式，請用戶更新；儘管您可能認為WannaCryptor應該給大家提供了很寶貴的教訓，但不幸的是，事實並非如此….從去年(2019年)年中開始，網路安全專家就開始對BlueKeep發出警報，BlueKeep是遠端桌面協定（Remote Desktop Protocol，簡稱RDP）中發現的一個遠程代碼執行（RCE）漏洞，也提醒用戶應盡快修補漏洞、進行更新，而同年11月更爆發了針對BlueKeep漏洞的系統之首波攻擊。

結論
三年過去了，面對勒索病毒或資安威脅，擁有資安危機意識及積極的解決是很重要的，預防措施永遠更勝於後續補救，ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體，抵禦網路攻擊或資安威脅，協助您打造良好的資安環境。

原文出處：www.welivesecurity.com/2020/05/12/wannacryptor-remains-global-threat-three-years-on/