公司簡介 代理產品 活動快訊 eDM電子報 聯絡我們
   
產品型錄
Advanced Secure Gateway S200-S400-S500 Data Sheet
SSL Visibility
DLP防止資料外洩14.5新功能
ATP - Email電子郵件安全
ATP - Endpoint端點安全
ATP - Network網路安全
SEP端點安全
MACH5 & ProxySG-MACH5 S-Series Appliances
MACH5 Virtual Appliance
PacketShaper S-Series Appliances
新聞訊息
2017-5-12 WannaCry勒索病毒預警
2017-5-11 賽門鐵克發佈第22期《網路安全威脅報告》

 

www.symantec.com 中文官網

 

 WannaCry勒索病毒預警

發生什麼情況?

2017年5月12日,一種透過Microsoft系統漏洞,以比特幣勒索贖金的惡意程式。勒索病毒「Ransom.CryptXXX (WannaCry)開始廣泛傳播,影響了大量的企業用戶,特別是在歐洲。

甚麼是WannaCry勒索軟體?

WannaCry用已加密數據文件,並要求用戶支付US$300比特幣贖金。勒索明確說明指出,支付金額將三天後增加一倍。如果拒絕付款,加密的文件將於七天後被刪除。

勒索訊息截圖(中文)   
勒索訊息截圖(英文)

勒索軟體同時下載一個名為「!Plesae Read Me!.txt」的文件 ,當中解釋發生了什麼事,以及如何支付贖金,同時WannaCry加密文件具有以下擴展名,並將.WCRY添加到檔名後端:

•     .lay6
•     .sqlite3
•     .sqlitedb
•     .accdb
•     .java
•     .class
•     .mpeg
•     .djvu
•     .tiff
•     .backup
•     .vmdk
•     .sldm
•     .sldx
•     .potm
•     .potx
•     .ppam
•     .ppsx
•     .ppsm
•     .pptm
•     .xltm
•     .xltx
•     .xlsb
•     .xlsm
•     .dotx
•     .dotm
•     .docm
•     .docb
•     .jpeg
•     .onetoc2
•     .vsdx
•     .pptx
•     .xlsx
•     .docx

此勒索軟體是利用微軟系統中已知SMBv2中的遠端代碼執行漏洞:MS17-010傳播。

使用Symantec防護軟體是否得到保護,免受威脅?

使用了賽門鐵克和諾頓的客戶,已經證實對WannaCry可以有效的保護。以下檢測病毒和漏洞

  • 病毒 (Antivirus)
  • Ransom.CryptXXX
  • Trojan.Gen.8!Cloud
  • Trojan.Gen.2
  • Ransom.Wannacry
  • 入侵防禦系統 (IPS)
  • 21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
  • 23737(攻擊:下載的Shellcode活動)
  • 30018(OS攻擊:MSRPC遠端管理接口綁定)
  • 23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
  • 23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
  • 30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
  • 22534(系統感染:惡意下載活動9)
  • 23875(OS攻擊:微軟SMB MS17-010披露嘗試)
  • 29064(系統感染:Ransom.Ransom32活動)

企業用戶應確保安裝了最新的Windows安全更新,尤其是MS17-010,以防止其擴散

 

誰受到影響?
全球有許多組織受到影響,其中大多數在歐洲。

這是否是針對性的攻擊?
不,在現階段,並不能確認是有針對性的攻擊。

為什麼造成了企業用戶如此多的問題?
通過利用微軟已知的安全性漏洞,WannaCry在商業網路內採取自傳播功能,並且無需使用者交互。 如果使用者沒有進行最新的微軟安全更新,其電腦或面臨感染風險。

我可以恢復加密的文件?
目前,解密加密的檔還無法實現,但賽門鐵克正在進行調查。 針對此次事件,賽門鐵克不建議支付贖金。
保護免受勒索軟體的最佳實踐方式是什麼?

    • 新的變種勒索會不定期出現。始終保持安全軟體是最新的,以保護自己免受危害。
    • 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
    • 賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件,尤其是email中包含的連結和/或附件。
    • 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。 除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
    • 備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用,從而向被害者勒索。如果被勒索者有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份被適當地保護或存儲在離線狀態,以便攻擊者不能刪除它們。
    • 使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的文件。

我們建議
針對 Symantec Endpoint Protection (SEP)用戶

  • 對於只安裝SEP基本防病毒版本的用戶請啟用IPS和應用程序這兩個模組,啟用這二項模組不會加重系統負載,但能有效防禦新的威脅。
  •    HIPS可以有效屏蔽網路上的惡意攻擊,比如利用TCP 445 MS2017-010漏洞的入侵
  • 通過SEP的應用程序控制模組中黑白名單功能,不依賴病毒碼,直接把可疑程式加入黑名單禁止運行
  •    通過SEP自帶防火牆的功能,直接禁止445端口的連線請求,防止擴散。
  • 請更新病毒碼至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。(若更新此二項病毒碼,即可防護此惡意程式攻擊)
歡迎加入逸盈粉絲團