WannaCry 持續肆虐，主要原因在於這些新變種能夠繞過軟體本來的 Kill Switch 自我毀滅機制。然而 Sophos 研究人員分析和執行多個變種的樣本後，發現這些新變種已因程式碼受損而失去對資料加密的能力。

若 WannaCry 發現攻擊目標已受到感染，就會轉向另一部電腦，故早已被 WannaCry 惰性版本感染的裝置會受到保護，逃過被活躍程式碼影響的攻擊。簡單來說，WannaCry 的新變種意外地成了一種「預防疫苗」，使得仍未修補系統且存有漏洞的電腦網後免於遭到同一款惡意軟體的攻擊。

問題是，這些受到惰性版本感染的電腦，極有可能是因為尚未更新早在兩年多前便已推出的修補程式，以填補 WannaCry 所利用的漏洞。

原來的 WannaCry 惡意軟體只曾經被偵測到過 40 次，但 SophosLabs 的研究人員之後卻識別出 12,480 隻原始程式碼的變種。他們仔細觀察了當中超過 2,700 個樣本 (佔偵測總數 98%) 後，發現它們全部都能夠繞過 Kill Switch 自我毀滅機制 (一種特定 URL 連結，惡意軟體連線上後就會自動終止感染程序)，不過其勒索的元件亦有損壞，無法再加密資料。

單在 2019 年 8 月，Sophos 便透過遙距偵測到 430 萬起 WannaCry 攻擊，涉及 6,963 隻變種，而當中 5,555 款 (即八成) 為新發現的檔案。

Sophos 研究人員亦追溯到目前最為廣泛流傳的 WannaCry 變種首次出現的日子─2017 年 5 月 14 日，也就是原始版本發動攻擊的兩天後。當時該變種被上傳至 VirusTotal 免費惡意軟體分析平台，但未曾於坊間被發現。

Sophos 安全專家兼該項研究報告的首席作者 Peter Mackenzie 表示：「2017 年爆發的 WannaCry 事件徹底改變了威脅生態，但我們的研究顯示坊間依然有無數電腦未有修補系統。試問若這些使用者仍未安裝已推出兩年多的更新檔，那至今會錯過了多少個其他修補程式？有些受害者非常幸運，皆因 WannaCry 的變種使他們對這款惡意軟體的新版本免疫。可是企業不能心存僥倖，必須立即執行安裝新發布修補程式的標準政策，還要採用健全的防護解決方案，以保障所有端點、網路和系統。」

免受WannaCry惡意軟體和其他勒索軟體攻擊的方法
• 確保所有連接至公司網路的裝置都列在清單上，並已安裝最新的防護軟體
• 一旦有最新的修補程式推出，就立即安裝到連上公司網路的所有裝置
• 根據《How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010》刊載的指示確認電腦是否已安裝能夠防止WannaCry利用EternalBlue漏洞進行攻擊的修補程式
• 定期將最重要及現有的資料備份至離線儲存裝置，以免受制於勒索軟體而要繳交贖金
• 安全防護並無靈丹妙藥，但所有企業務必採用分層式防護作為最佳實踐
• 例如Sophos Intercept X 採取全面的深度防禦策略為端點提供保護，結合多種下一代領先技術以進行惡意軟體偵測及漏洞防護，並內建端點偵測與回應 (EDR) 功能

- 新聞稿有效日期，至2019/11/16為止

上一篇：閱讀闖關送花苗 北市圖行動書車邀您體驗書語花香享書香
下一篇：香港董事學會對2019年10月16日發表之施政報告作出回應