柬埔寨头条APP
WannaCry 勒索病毒预警
Taingvengly 发表于:2017-5-25 16:10:40 复制链接 看图 发表新帖
阅读数:11226

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 Taingvengly 于 2017-5-25 16:15 编辑

172505fuairsiun6a6siuu.jpg
WannaCry 勒索软体于2017 年5 月横扫全球。了解此勒索软体的攻击如何蔓延,以及如何保护您的网路以避免类似的攻击。

更新时间:2017 年5 月15 日格林威治标准时间23:24:21:
赛门铁克已发现两个可能的连结与WannaCry 勒索软体攻击及Lazarus 骇客集团有些关联:
  • 已知的Lazarus工具与WannaCry勒索软体同时发生:赛门铁克在已感染早期版本WannaCry的电脑上,发现Lazarus独家使用的工具。这些早期版本的WannaCry不具备透过SMB散播的能力。Lazarus工具可能已被用来做为散播WannaCry的方法,但尚未证实。
  • 共用的程式码: Google的Neel Mehta在发布的推文中表示,已知的Lazarus工具与WannaCry勒索软体两者有共用的程式码。赛门铁克判断此共用的程式码是SSL的形式。此SSL实作使用特定序列的75个密码,目前为止只有在Lazarus工具(包括ContopeeBrambul )以及WannaCry版本上发现过这段密码。
虽然上述发现并不表示Lazarus 与WannaCry 之间有明确的关联,当我们认为其相关性有必要进一步调查。如有任何进展,我们将持续分享研究结果。
自5月12日周五起,一种名为WannaCry ( Ransom.Wannacry )的新种强烈病毒已袭击全球数十万部电脑。WannaCry比其他常见的勒索软体类型更加危险,因为它可藉由入侵已安装微软2017年3月修补程式( MS17-010 )的电脑,将病毒散播至企业组织内部的网路。在四月由名为Shadow Brokers的集团进行一连串的资料外泄中,最新一波的释出资料包含上述名为「Eternal Blue」的安全漏洞,该集团宣称他们已从Equation网路间谍集团窃取资料。
我是否已受到保护以避免遭受WannaCry 勒索软体攻击?
赛门铁克Endpoint Protection (SEP) 与诺顿已主动封锁WannaCry 尝试利用的入侵漏洞,这表示在WannaCry 首次出现之前,客户就已经受到保护。
Blue Coat 全球情报网路(GIN) 可为所有已启用的产品自动侦测网站入侵行为。
透过结合多项技术,可自动保护赛门铁克与诺顿的客户免于遭受WannaCry 病毒的攻击。
主动保护由以下技术提供:
  • IPS 网路保护
  • SONAR 行为侦测技术
  • 先进机器学习
  • 智慧威胁云端
客户应启用上述技术已获得完整的主动保护。建议SEP 客户转移至SEP 14,以充分运用由机器学习识别码提供的主动保护。
网路保护
赛门铁克具备以下IPS保护以封锁尝试利用MS17-010安全漏洞进行的入侵行为:
SONAR 行为侦测技术
Sapient 机器学习
防毒
为扩大保护与识别的目的,已更新以下防毒识别码:
客户应执行LiveUpdate 并检查是否已安装以下定义版本或更新的版本,以确保拥有最新的保护:
  • 20170512.009
以下IPS 识别码亦可封锁与Ransom.Wannacry 相关的活动:
企业组织亦必须确定已安装最新的Windows安全更新以避免病毒扩散,特别是MS17-010
什么是WannaCry 勒索软体?
WannaCry 会搜寻并加密176 种档案类型,然后在档案结尾加上.WCRY。它要求使用者支付相当于$300 美元的比特币赎金。勒索说明表示,赎款金额在三天后将加倍。若未在7 天内支付赎金,将会删除已加密的档案。
我能够恢复被加密的档案吗?或者我应该支付赎金?
目前尚无法将加密档案解密。如果被感染的档案有备份,您可以还原这些档案。赛门铁克不建议支付赎金。
在某些情况下,没有备份也能恢复档案。储存于桌面、我的文件或远端磁碟机上的档案将被加密,原始档案将被抹除。这是无法恢复的。储存于电脑上的其他档案将被加密,而原始档案将直接被删除。这表示可以使用取消删除的工具恢复这些档案。
WannaCry 是何时出现的?其散播速度有多快?
WannaCry 于5 月12 日周五首次出现。赛门铁克观察到从格林威治标准时间8 点开始,WannaCry 尝试利用Windows 安全漏洞进行入侵的次数快速增加。赛门铁克封锁的尝试入侵次数在周六日稍微下降,但仍相当高。
1.png
图1.赛门铁克每小时封锁WannaCry尝试利用Windows安全漏洞入侵的次数
1.png
图2. 赛门铁克每天封锁WannaCry 尝试利用Windows 安全漏洞入侵的次数
1.gif
图3. 热图显示赛门铁克侦测到的WannaCry,5 月11 日至5 月15 日
谁会受到影响?
任何未更新的Windows 电脑都有可能遭到WannaCry 的攻击。企业组织的风险特别高,因为它能透过网路散播,而且全球已有多家企业组织遭到感染,其中大多位于欧洲。但是,个人也可能受到感染。
这是锁定目标的攻击吗?
不是,目前认为它并非锁定目标的攻击。勒索软体活动通常是不分对象的。
为何它对企业组织造成如此多的问题?
WannaCry 利用已知的Microsoft Windows 安全漏洞,无需使用者介入即可透过企业网路进行散播。未更新Windows 最新安全修补程式的电脑皆有感染的风险。
WannaCry 如何散播?
虽然WannaCry 可藉由入侵安全漏洞而在企业组织内部网路上散播,但是一开始的感染方式,也就是企业组织中第一台电脑遭到感染的方式,仍未确定。赛门铁克已发现多起WannaCry 存放于恶意网站上的案例,但这显然是模仿的攻击行为,与原始攻击事件无关。
是否已有许多人支付赎金?
分析攻击者提供的三个支付赎金用的比特币位址后显示,在撰写本文时,已有207 笔独立交易,总计支付31.21 比特币(53,845 美元)。
保护免受勒索软体的最佳实践方式是什么?
  • 新的变种勒索会不定期出现。始终保持安全软体是最新的,以保护自己免受危害。
  • 保持操作系统和其他软体更新。软体更新经常包括可能被勒索攻击者利用新发现的安全漏洞补丁。这些漏洞可能被勒索攻击者利用。
  • 赛门铁克发现,电子邮件是主要传染方式之一。特别留意不预期的电子邮件,尤其是email中包含的连结和/或附件。
  • 使用者需要特别谨慎对待那些建议启用巨集以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握,否则请立即删除来源不明的电子邮件,并且务必不要启动巨集功能。
  • 备份重要数据是打击勒索攻击最有效方法。攻击者通过加密有价值的文件并使其无法使用,从而向被害者勒索。如果被勒索者有备份副本,一旦感染被清理干净,我们就可以恢复文件。但是,企业组织应该确保备份被适当地保护或存储在离线状态,以便攻击者不能删除它们。
  • 使用云端服务可以减轻勒索病毒的影响,因为受害者可以透过云端备份,取回未加密的文件。
技术支援
台湾0080 1861032 (免付费电话)

转自:symantec病毒防护中心


条评论
您需要登录后才可以回帖 登录 | 注册
高级
相关推荐