Re: [新闻] WannaCry勒索病毒苦主出炉,Windows 7高

楼主: mayuyu ((・ω・)ノ)   2017-05-22 12:58:47
这篇报导没有说明形成这个图表背后的原因,
可能会让人产生误解。
1. 为什么WIN7和Windows Server 2008R2被感染的比例最高?
因为WannaCry是利用EternalBlue这个工具扫描网络上的主机,
主动入侵具有漏洞的系统,
而这个工具只有在WIN7和Windows Server 2008R2上才能攻击成功,
在其他系统上会因为发生错误而无法执行恶意程式码,
所以工具的选项也只有选WIN7或Windows Server 2008R2,
利用这个工具攻击,当然受害的对象只有WIN7和Windows Server 2008R2,
而其中使用WIN7的主机当然比服务器用的作业系统Windows Server 2008R2多,
所以最后WIN7的比例自然会最高。
2. EternalBlue被释出后,有骇客继续修改这个初步的工具,利用相同的漏洞,
修改后的工具在Windows 8/8.1/Windows Server 2012上也可以攻击成功,
如果当初WannaCry攻击时使用的是修改后的工具,
现在受害的主机就会追加Windows 8/8.1/Windows Server 2012。
3. 那么图表里的WIN10是怎么回事?
3.1 WIN10虽然有相同的SMB漏洞,
但是被恶意程式码覆蓋的内存区块在WIN10的设计中是不可执行的区块,
所以无法利用这个漏洞执行恶意程式码,
所以WIN10并不会受到EternalBlue的攻击而感染WannaCry。
3.2 既然WIN10不会因为漏洞入侵而感染,那图表里为什么有数字?
根据公布这个图表的卡巴斯基表示,
WIN10的数字是由测试人员和手动点击执行WannaCry的样本所产生的,
并不是EternalBlue主动攻击造成的感染。
有些报导将EternalBlue和WannaCry混为一谈,
让人搞不清楚真正受到感染的原因是什么。
EternalBlue是利用漏洞的工具,可以主动利用漏洞从远端入侵系统,
入侵以后可以随便想要干什么,放勒索病毒只是其中一种。
WannaCry是勒索病毒,这次的攻击是结合EternalBlue从远端主动入侵以后,
再放置和执行WannaCry病毒。
二者是不同的二个软件,即使不由远端入侵,
使用者也可能经由下载和手动执行WannaCry而中毒。
图表里没有WIN8和其他系统,是因为这次利用的工具只锁定
WIN7和Windows Server 2008R2攻击。
图表里会有WIN10,是因为WannaCry可以经由手动执行而感染。
报导应该要说明清楚,否则这个图表变得毫无意义。
作者: HGJman (来自虚无飘渺)   2017-05-22 13:05:00
有记者会是理工系吗?
作者: Radiomir (Radiomir)   2017-05-22 13:45:00
国外有医师兼职记者, 国内就呵呵...
作者: imasa (便当侠)   2017-05-22 14:46:00
第1点要改一下,当初释出EtenalBlue时就可以攻击XP了
作者: hock747 (super747)   2017-05-22 15:44:00
我遇到的案例是WIN7跟XP是1:1
作者: canandmap (地图上的流浪者)   2017-05-22 18:04:00
记者会统计学就奇了...
作者: hock747 (super747)   2017-05-23 08:30:00
卡巴说7成是win7,可能是我的产业比较低阶,5成电脑用xp

Links booklink

Contact Us: admin [ a t ] ucptt.com