WannaCry勒索病毒預警

_________________________________________________________________

發生甚麼情況?

2017年5月12日,一種透過Mictrsoft系統漏洞,以比特幣勒索贖金的惡意程式 ,勒索病毒Ransom.CryptXXX (WannaCry)開始廣泛傳播,影響了大量的企業用戶,特別是在歐洲。

甚麼是WannaCry勒索軟件

WannaCry用已加密數據文件,並要求用戶支付US$300比特幣贖金。勒索說明指出,支付金額將三天後增加一倍。如果拒絕付款,加密的文件將於七天後被刪除。

勒索息截圖(中文)                                                           勒索訊息截圖(英文)

勒索軟件同時下載一個名為「!Plesae Read Me!.txt」 的文件,當中解釋發生了甚麼事,以及如何支付贖金。

同時,WannaCry加密文件具有以下擴展名,並將.WCRY添加到檔名後端:

•          .lay6
•          .sqlite3
•          .sqlitedb
•          .accdb
•          .java
•          .class
•          .mpeg
•          .djvu
•          .tiff
•          .backup
•          .vmdk
•          .sldm
•          .sldx
•          .potm
•          .potx
•          .ppam
•          .ppsx
•          .ppsm
•          .pptm
•          .xltm
•          .xltx
•          .xlsb
•          .xlsm
•          .dotx
•          .dotm
•          .docm
•          .docb
•          .jpeg
•          .onetoc2
•          .vsdx
•          .pptx
•          .xlsx
•          .docx

此勒索軟件利用微軟系統中已知SMBv2中的遠端代碼執行漏洞:MS17-010傳播。
使用Symantec防護軟件否得到保護,免受威脅?

使用了Symantec和Norton軟件的客戶,已經證實可對WannaCry作有效的防護,檢測以下病毒和漏洞:

  • 病毒 (Antivirus)
    • Ransom.CryptXXX
    • Trojan.Gen.8!Cloud
    • Trojan.Gen.2
    • Ransom.Wannacry
  • 入侵防禦系統 (IPS)
    • 21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
    • 23737(攻擊:下載的Shellcode活動)
    • 30018(OS攻擊:MSRPC遠端管理接口綁定)
    • 23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
    • 23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
    • 30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
    • 22534(系統感染:惡意下載活動9)
    • 23875(OS攻擊:微軟SMB MS17-010披露嘗試)
    • 29064(系統感染:Ransom.Ransom32活動)

企業用戶應確保安裝了最新的Windows安全更新,尤其是MS17-010,以防止其擴散。

誰受到影響?

全球有許多組織受到影響,其中大多數在歐洲。

這是否針對性的攻擊?

不,現階段並不能確認是有針對性的攻擊。

企業用戶造成如此多的問題?

WannaCry在企業網絡內具有自傳播功能,而無需用戶交互,只需利用Windows已知的安全漏洞。如果沒有最新的Windows安全更新的系統就將具有感染的風險。

我可以恢復加密的文件?

現在還沒辦法進行解密,但Symantec正在進行調查,並不建議用戶支付贖金。在可能的情況下,已加密的文件應該從備份中恢復。

如何是保護免受勒索軟件威脅的最佳實際方法

  • 新的變種勒索會不定期出現。經常保持安全軟件是最新的,以保護自己免受危害。
  • 保持操作系統和其他軟件更新。軟件更新要包括能補救可能被勒索攻擊者利用新發現的安全漏洞之功能,因這些漏洞可能被勒索攻擊者利用。
  • Symantec 發現,電子郵件是主要傳染方式之一。要特別留意不預期的電子郵件,尤其是 電子郵件中包含的連結和/或附件。
  • 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office電子郵件。 除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
  • 備份重要數據是打擊勒索攻擊的最有效方法。攻擊者通過加密有價值的文件並使其無法使用,從而向被害者勒索。如果被勒索者有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份獲適當地保護或儲存在離線狀態,以便攻擊者不能刪除它們。
  • 使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的文件。

我們建議

針對 Symantec Endpoint Protection (SEP)用戶

    • 對於只安裝SEP基本防病毒版本的用戶請啟用IPS和應用程序這兩個模組,啟用這二項模組不會加重系統負載,但能有效防禦新的威脅。
    • HIPS可以有效屏蔽網絡上的惡意攻擊,比如利用TCP 445 MS2017-010漏洞的入侵。
    • 通過SEP的應用程序控制模組中黑白名單功能,不依賴病毒碼,直接把可疑程式加入黑名單禁止運行。
    • 通過SEP預設防火牆的功能,直接禁止445端口的連線請求,防止擴散。
    • 請更新病毒碼至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。(若更新此二項病毒碼,即可防護此惡意程式攻擊)

 










Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


Mesh Wi-Fi 智能路由器
詳情請點擊:http://www.anlander.com
此文章首發於 TechRitual;標題:WannaCry勒索病毒預警;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋