您當(dāng)前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

賽門鐵克針對勒索軟件WannaCry發(fā)布全球預(yù)警

2017-05-15 09:29:37   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:

  2017年5月12日,全球爆發(fā)一種新型比特幣勒索病毒家族的攻擊,該勒索軟件名為Ransom.CryptXXX ( WannaCry)。該勒索軟件由爆發(fā)至今已在全球廣泛傳播,并影響大量企業(yè)用戶,其中,歐洲用戶為重災(zāi)區(qū)。
  WannaCry勒索軟件的特點(diǎn):
  感染后,WannaCry勒索軟件將會加密受害者的數(shù)據(jù)文件,并要求用戶支付約$300比特幣的贖金。攻擊者表明,如果延遲支付,贖金將會在三天后增加一倍;如果延遲付款一個(gè)星期,加密文件將被刪除。
\
勒索信息截圖(中文)
\
勒索信息截圖(英文)
  不僅如此,攻擊者還留下一個(gè)文件,文件名為"Plesae Read Me!.txt"(請首先閱讀):
\
  文中提到,受害者的重要文件已被加密。受害者必須遵守攻擊者的指示來解鎖文件 -- 根據(jù)指示支付$300贖金至特定地點(diǎn)。
  值得注意的是,WannaCry勒索軟件加密文件具有以下擴(kuò)展名,并將.WCRY添加到文件名的結(jié)尾:
  .lay6
  .sqlite3
  .sqlitedb
  .accdb
  .java
  .class
  .mpeg
  .djvu
  .tiff
  .backup
  .vmdk
  .sldm
  .sldx
  .potm
  .potx
  .ppam
  .ppsx
  .ppsm
  .pptm
  .xltm
  .xltx
  .xlsb
  .xlsm
  .dotx
  .dotm
  .docm
  .docb
  .jpeg
  .onetoc2
  .vsdx
  .pptx
  .xlsx
  .docx
  該勒索軟件利用微軟已知SMBv2中的遠(yuǎn)程代碼執(zhí)行漏洞:MS17-010 來進(jìn)行傳播。
  通過整合技術(shù),使用賽門鐵克和諾頓產(chǎn)品的用戶可有效抵御WannaCry的攻擊。
  病毒:
  • Ransom.CryptXXX
  • Trojan.Gen.8!Cloud
  • Trojan.Gen.2
  • Ransom.Wannacry
  入侵防御系統(tǒng):
  • 21179(OS攻擊:Microsoft Windows SMB遠(yuǎn)程執(zhí)行代碼3)
  • 23737(攻擊:下載的Shellcode活動)
  • 30018(OS攻擊:MSRPC遠(yuǎn)程管理接口綁定)
  • 23624(OS攻擊:Microsoft Windows SMB遠(yuǎn)程執(zhí)行代碼2)
  • 23862(OS攻擊:Microsoft Windows SMB遠(yuǎn)程執(zhí)行代碼)
  • 30010(OS攻擊:Microsoft Windows SMB RCE CVE-2017-0144)
  • 22534(系統(tǒng)感染:惡意下載活動9)
  • 23875(OS攻擊:微軟SMB MS17-010披露嘗試)
  • 29064(系統(tǒng)感染:Ransom.Ransom32活動)
  賽門鐵克強(qiáng)烈建議,企業(yè)用戶應(yīng)確保安裝最新微軟安全更新程序,尤其是MS17-010,以防止該攻擊的擴(kuò)散。
  受到影響最大的受害者?
  全球許多組織受到該攻擊的影響,其中大多數(shù)在歐洲。
  這是否是針對性的攻擊?
  不,在現(xiàn)階段,并不能確認(rèn)為針對性攻擊。
  為什么企業(yè)用戶面臨如此之多的問題?
  通過利用微軟已知的安全漏洞,WannaCry在企業(yè)網(wǎng)絡(luò)內(nèi)采取自傳播功能,并且無需用戶交互。如果用戶沒有進(jìn)行最新的微軟安全更新,其計(jì)算機(jī)或面臨感染風(fēng)險(xiǎn)。
  加密文件是否可以恢復(fù)?
  目前,解密加密的文件還無法實(shí)現(xiàn),但賽門鐵克正在進(jìn)行調(diào)查。針對此次事件,賽門鐵克不建議支付贖金。
  抵御勒索軟件的最佳實(shí)踐:
  • 勒索軟件變種會不定期出現(xiàn),賽門鐵克建議用戶,始終保持安全軟件為最新版本,從而抵御網(wǎng)絡(luò)攻擊。
  • 保持操作系統(tǒng)和其他軟件為更新版本。軟件更新經(jīng)常包括可能被攻擊者所利用的新型安全漏洞補(bǔ)丁。這些漏洞可能被攻擊者所利用。
  • 賽門鐵克發(fā)現(xiàn),電子郵件是當(dāng)今主要傳染方式之一。用戶應(yīng)警惕未知電子郵件,尤其是包含鏈接和/或附件的電子郵件。
  • 用戶需要特別謹(jǐn)慎對待那些建議啟用宏以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,并且務(wù)必不要啟動宏功能。
  • 備份數(shù)據(jù)是打擊勒索攻擊的最有效方法。攻擊者通過加密受害者的寶貴文件并使其無法訪問,從而向受害者施加壓力。如果受害者擁有備份,當(dāng)感染被清理后,即可恢復(fù)文件。對于企業(yè)用戶而言,備份應(yīng)當(dāng)被適當(dāng)保護(hù),或者存儲在離線狀態(tài),使攻擊者無法刪除。
  • 通過使用云服務(wù),幫助減輕勒索病毒感染導(dǎo)致的威脅。這是由于云服務(wù)或保留文件的以前版本,并且允許用戶通過"回滾"到未加密的文件。
  賽門鐵克的保護(hù):
  針對 Symantec Endpoint Protection 用戶:
  • 對于安裝SEP基本防病毒模塊的用戶,請加裝ips和應(yīng)用程序模塊。該模塊不會加重系統(tǒng)負(fù)載,且能夠有效防御新型威脅。
  • HIPS可以有效屏蔽網(wǎng)絡(luò)惡意攻擊,例如,利用tcp 445 ms2017-010漏洞的入侵。
  • 通過SEP應(yīng)用程序控制模塊的黑白名單功能,無需依賴病毒庫,可直接把可疑程序加入黑名單,并禁止運(yùn)行。
  • 通過SEP自帶防火墻功能,直接禁止445端口的入站請求,防止擴(kuò)散。
  • 更新定義庫至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。
  技術(shù)支援:
  賽門鐵克建議,如用戶遇到威脅問題,請與賽門鐵克技術(shù)支援中心聯(lián)絡(luò)。
  中國: 800 810 3992
  香港: 852 3071 4616
  臺灣: 0080 1861 032
  關(guān)于賽門鐵克:
  賽門鐵克公司(納斯達(dá)克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò)安全企業(yè),旨在幫助個(gè)人、企業(yè)和政府機(jī)構(gòu)保護(hù)無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,在端點(diǎn)、云和基礎(chǔ)架構(gòu)抵御復(fù)雜攻擊。同時(shí),全球 5000 多萬的個(gè)人和家庭也在使用賽門鐵克的 Norton 和 LifeLock 產(chǎn)品,保護(hù)家庭各類聯(lián)網(wǎng)設(shè)備安全,暢享無憂數(shù)字生活。賽門鐵克經(jīng)營在全球規(guī)模數(shù)一數(shù)二的威脅情報(bào)網(wǎng)絡(luò),能夠發(fā)現(xiàn)和抵御最高級威脅。如欲了解其他信息,請?jiān)L問  www.symantec.com.cn或通過weibo.com/SymantecChina 聯(lián)系我們。
 

專題