Sophos揭露WannaCry 由猎食者演变成危险疫苗

USB-Implementers Forum于2019年9月3号正式公布USB4的规格，主要更新为依据现有USB 3.2及USB 2.0架构做补充，来建构新一代USB。USB4的架构基于Thunderbolt的协议规范(该规范由Intel贡献给USB Promoter Group)，最高传输速率由原本USB 3.2的20Gbps(10G x2)，增加ㄧ倍到40Gbps (20G x2)，并可同时传送多个数据及影像。

全球网络及端点安全领导厂商Sophos发表最新研究报告WannaCry余波未了，披露恶名昭着的恶意软件WannaCry自 2017 年 5 月 12 日发动全球攻击后的动向。Sophoslabs研究发现WannaCry依然猖獗，每月仍有数以百万次的攻击被阻挡，同时即使原始版本没有更新，网络上还有成千上万种短命变种四处流传。WannaCry持续肆虐，主要原因在于这些新变种能够绕过软件本来的Kill Switch自我毁灭机制。然而Sophos研究人员分析和执行多个变种的样本后，发现这些新变种已因程序码受损而失去对数据加密的能力。

若WannaCry发现攻击目标已受到感染，就会转向另一部电脑，故早已被WannaCry惰性版本感染的装置会受到保护，逃过被活跃程序码影响的攻击。简单来说，WannaCry的新变种意外地成了一种「预防疫苗」，使得仍未修补系统且存有漏洞的电脑网后免于遭到同一款恶意软件的攻击。问题是，这些受到惰性版本感染的电脑，极有可能是因为尚未更新早在两年多前便已推出的修补程序，以填补WannaCry所利用的漏洞。

原来的WannaCry恶意软件只曾经被侦测到过40次，但SophosLabs的研究人员之后却识别出12,480只原始程序码的变种。他们仔细观察了当中超过2,700个样本 (占侦测总数98%) 后，发现它们全部都能够绕过Kill Switch自我毁灭机制(一种特定URL连结，恶意软件连在线后就会自动终止感染程序)，不过其勒索的元件亦有损坏，无法再加密数据。

单在2019年8月，Sophos便透过遥距侦测到430万起WannaCry攻击，涉及6,963只变种，而当中5,555款(即八成)为新发现的档案。Sophos研究人员亦追溯到目前最为广泛流传的WannaCry变种首次出现的日子—2017年5月14日，也就是原始版本发动攻击的两天后。当时该变种被上传至VirusTotal免费恶意软件分析平台，但未曾于坊间被发现。

Sophos安全专家兼该项研究报告的首席作者Peter Mackenzie表示：「2017年爆发的WannaCry事件彻底改变了威胁生态，但我们的研究显示坊间依然有无数电脑未有修补系统。试问若这些使用者仍未安装已推出两年多的更新档，那至今会错过了多少个其他修补程序？有些受害者非常幸运，皆因WannaCry的变种使他们对这款恶意软件的新版本免疫。可是企业不能心存侥幸，必须立即执行安装新发布修补程序的标准政策，还要采用健全的防护解决方案，以保障所有端点、网络和系统。」

免受WannaCry恶意软件和其他勒索软件攻击的方法

确保所有连接至公司网络的装置都列在清单上，并已安装最新的防护软件，一旦有最新的修补程序推出，就立即安装到连上公司网络的所有装置；定期将最重要及现有的数据备份至离线储存装置，以免受制于勒索软件而要缴交赎金；安全防护并无灵丹妙药，但所有企业务必采用分层式防护作为最佳实践，例如Sophos Intercept X采取全面的深度防御策略为端点提供保护，结合多种下一代领先技术以进行恶意软件侦测及漏洞防护，并内建端点侦测与回应(EDR)功能。