WannaCry 勒索病毒預警 諾頓保護客戶避免遭受WannaCry勒索軟體攻擊

WannaCry 勒索軟體於 2017 年 5 月橫掃全球。瞭解此勒索軟體的攻擊如何蔓延,以及如何保護您的網路以避免類似的攻擊。

更新時間:2017 年 5 月 15 日格林威治標準時間 23:24:21:

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯:

  • 已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生:賽門鐵克在已感染早期版本 WannaCry 的電腦上,發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法,但尚未證實。
  • 共用的程式碼:Google Neel Mehta 在發佈的推文中表示,已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼,目前為止只有在 Lazarus 工具 (包括ContopeeBrambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯,當我們認為其相關性有必要進一步調查。如有任何進展,我們將持續分享研究結果。

自 5 月 12 日週五起,一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險,因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦,將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中,最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞,該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊?

賽門鐵克 Endpoint Protection (SEP) 與諾頓已主動封鎖 WannaCry 嘗試利用的入侵漏洞,這表示在 WannaCry 首次出現之前,客戶就已經受到保護。
Blue Coat 全球情報網路 (GIN) 可為所有已啟用的產品自動偵測網站入侵行為。
透過結合多項技術,可自動保護賽門鐵克與諾頓的客戶免於遭受 WannaCry 病毒的攻擊。
主動保護由以下技術提供:

  • IPS 網路保護
  • SONAR 行為偵測技術
  • 先進機器學習
  • 智慧威脅雲端

客戶應啟用上述技術已獲得完整的主動保護。建議 SEP 客戶轉移至 SEP 14,以充分運用由機器學習識別碼提供的主動保護。

網路保護

賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為:

SONAR 行為偵測技術

Sapient 機器學習

防毒

為擴大保護與識別的目的,已更新以下防毒識別碼:

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本,以確保擁有最新的保護:

  • 20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動:

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散,特別是 MS17-010

什麼是 WannaCry 勒索軟體?

WannaCry 會搜尋並加密 176 種檔案類型,然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示,贖款金額在三天後將加倍。若未在 7 天內支付贖金,將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎?或者我應該支付贖金?

目前尚無法將加密檔案解密。如果被感染的檔案有備份,您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下,沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密,原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密,而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry是何時出現的?其散播速度有多快?

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始,WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降,但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry,5 月 11 日至 5 月 15 日

誰會受到影響?

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高,因為它能透過網路散播,而且全球已有多家企業組織遭到感染,其中大多位於歐洲。但是,個人也可能受到感染。

這是鎖定目標的攻擊嗎?

不是,目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題?

WannaCry 利用已知的 Microsoft Windows 安全漏洞,無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播?

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播,但是一開始的感染方式,也就是企業組織中第一台電腦遭到感染的方式,仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例,但這顯然是模仿的攻擊行為,與原始攻擊事件無關。

是否已有許多人支付贖金?

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示,在撰寫本文時,已有 207 筆獨立交易,總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼?

  • 新的變種勒索會不定期出現。始終保持安全軟體是最新的,以保護自己免受危害。
  • 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
  • 賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件,尤其是email中包含的連結和/或附件。
  • 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
  • 備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用,從而向被害者勒索。如果被勒索者有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份被適當地保護或存儲在離線狀態,以便攻擊者不能刪除它們。
  • 使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的文件。

技術支援
台灣 0080 1861032 (免付費電話)

原文出處:WannaCry 勒索病毒預警