马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
本帖最后由 Taingvengly 于 2017-5-25 16:15 编辑
WannaCry 勒索软体于2017 年5 月横扫全球。了解此勒索软体的攻击如何蔓延,以及如何保护您的网路以避免类似的攻击。
更新时间:2017 年5 月15 日格林威治标准时间23:24:21: 赛门铁克已发现两个可能的连结与WannaCry 勒索软体攻击及Lazarus 骇客集团有些关联: - 已知的Lazarus工具与WannaCry勒索软体同时发生:赛门铁克在已感染早期版本WannaCry的电脑上,发现Lazarus独家使用的工具。这些早期版本的WannaCry不具备透过SMB散播的能力。Lazarus工具可能已被用来做为散播WannaCry的方法,但尚未证实。
- 共用的程式码: Google的Neel Mehta在发布的推文中表示,已知的Lazarus工具与WannaCry勒索软体两者有共用的程式码。赛门铁克判断此共用的程式码是SSL的形式。此SSL实作使用特定序列的75个密码,目前为止只有在Lazarus工具(包括Contopee与Brambul )以及WannaCry版本上发现过这段密码。
虽然上述发现并不表示Lazarus 与WannaCry 之间有明确的关联,当我们认为其相关性有必要进一步调查。如有任何进展,我们将持续分享研究结果。 我是否已受到保护以避免遭受WannaCry 勒索软体攻击?赛门铁克Endpoint Protection (SEP) 与诺顿已主动封锁WannaCry 尝试利用的入侵漏洞,这表示在WannaCry 首次出现之前,客户就已经受到保护。 Blue Coat 全球情报网路(GIN) 可为所有已启用的产品自动侦测网站入侵行为。 透过结合多项技术,可自动保护赛门铁克与诺顿的客户免于遭受WannaCry 病毒的攻击。 主动保护由以下技术提供: - IPS 网路保护
- SONAR 行为侦测技术
- 先进机器学习
- 智慧威胁云端
客户应启用上述技术已获得完整的主动保护。建议SEP 客户转移至SEP 14,以充分运用由机器学习识别码提供的主动保护。 网路保护
赛门铁克具备以下IPS保护以封锁尝试利用MS17-010安全漏洞进行的入侵行为: SONAR 行为侦测技术 Sapient 机器学习 防毒 为扩大保护与识别的目的,已更新以下防毒识别码: 客户应执行LiveUpdate 并检查是否已安装以下定义版本或更新的版本,以确保拥有最新的保护: 以下IPS 识别码亦可封锁与Ransom.Wannacry 相关的活动: 企业组织亦必须确定已安装最新的Windows安全更新以避免病毒扩散,特别是MS17-010。 什么是WannaCry 勒索软体?WannaCry 会搜寻并加密176 种档案类型,然后在档案结尾加上.WCRY。它要求使用者支付相当于$300 美元的比特币赎金。勒索说明表示,赎款金额在三天后将加倍。若未在7 天内支付赎金,将会删除已加密的档案。 我能够恢复被加密的档案吗?或者我应该支付赎金?目前尚无法将加密档案解密。如果被感染的档案有备份,您可以还原这些档案。赛门铁克不建议支付赎金。 在某些情况下,没有备份也能恢复档案。储存于桌面、我的文件或远端磁碟机上的档案将被加密,原始档案将被抹除。这是无法恢复的。储存于电脑上的其他档案将被加密,而原始档案将直接被删除。这表示可以使用取消删除的工具恢复这些档案。 WannaCry 是何时出现的?其散播速度有多快?WannaCry 于5 月12 日周五首次出现。赛门铁克观察到从格林威治标准时间8 点开始,WannaCry 尝试利用Windows 安全漏洞进行入侵的次数快速增加。赛门铁克封锁的尝试入侵次数在周六日稍微下降,但仍相当高。 图1.赛门铁克每小时封锁WannaCry尝试利用Windows安全漏洞入侵的次数 图2. 赛门铁克每天封锁WannaCry 尝试利用Windows 安全漏洞入侵的次数 图3. 热图显示赛门铁克侦测到的WannaCry,5 月11 日至5 月15 日 谁会受到影响?任何未更新的Windows 电脑都有可能遭到WannaCry 的攻击。企业组织的风险特别高,因为它能透过网路散播,而且全球已有多家企业组织遭到感染,其中大多位于欧洲。但是,个人也可能受到感染。 这是锁定目标的攻击吗?不是,目前认为它并非锁定目标的攻击。勒索软体活动通常是不分对象的。 为何它对企业组织造成如此多的问题?WannaCry 利用已知的Microsoft Windows 安全漏洞,无需使用者介入即可透过企业网路进行散播。未更新Windows 最新安全修补程式的电脑皆有感染的风险。 WannaCry 如何散播?虽然WannaCry 可藉由入侵安全漏洞而在企业组织内部网路上散播,但是一开始的感染方式,也就是企业组织中第一台电脑遭到感染的方式,仍未确定。赛门铁克已发现多起WannaCry 存放于恶意网站上的案例,但这显然是模仿的攻击行为,与原始攻击事件无关。 是否已有许多人支付赎金?分析攻击者提供的三个支付赎金用的比特币位址后显示,在撰写本文时,已有207 笔独立交易,总计支付31.21 比特币(53,845 美元)。 保护免受勒索软体的最佳实践方式是什么?- 新的变种勒索会不定期出现。始终保持安全软体是最新的,以保护自己免受危害。
- 保持操作系统和其他软体更新。软体更新经常包括可能被勒索攻击者利用新发现的安全漏洞补丁。这些漏洞可能被勒索攻击者利用。
- 赛门铁克发现,电子邮件是主要传染方式之一。特别留意不预期的电子邮件,尤其是email中包含的连结和/或附件。
- 使用者需要特别谨慎对待那些建议启用巨集以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握,否则请立即删除来源不明的电子邮件,并且务必不要启动巨集功能。
- 备份重要数据是打击勒索攻击最有效方法。攻击者通过加密有价值的文件并使其无法使用,从而向被害者勒索。如果被勒索者有备份副本,一旦感染被清理干净,我们就可以恢复文件。但是,企业组织应该确保备份被适当地保护或存储在离线状态,以便攻击者不能删除它们。
- 使用云端服务可以减轻勒索病毒的影响,因为受害者可以透过云端备份,取回未加密的文件。
技术支援 台湾0080 1861032 (免付费电话)
转自:symantec病毒防护中心
|