2017年5月12日,全球爆發(fā)一種新型比特幣勒索病毒家族的攻擊,該勒索軟件名為Ransom.CryptXXX ( WannaCry)。該勒索軟件由爆發(fā)至今已在全球廣泛傳播,并影響大量企業(yè)用戶(hù),其中,歐洲用戶(hù)為重災區。
WannaCry勒索軟件的特點(diǎn):
感染后,WannaCry勒索軟件將會(huì )加密受害者的數據文件,并要求用戶(hù)支付約$300比特幣的贖金。攻擊者表明,如果延遲支付,贖金將會(huì )在三天后增加一倍;如果延遲付款一個(gè)星期,加密文件將被刪除。
勒索信息截圖(中文)
勒索信息截圖(英文)
不僅如此,攻擊者還留下一個(gè)文件,文件名為"Plesae Read Me!.txt"(請首先閱讀):
文中提到,受害者的重要文件已被加密。受害者必須遵守攻擊者的指示來(lái)解鎖文件 -- 根據指示支付$300贖金至特定地點(diǎn)。
值得注意的是,WannaCry勒索軟件加密文件具有以下擴展名,并將.WCRY添加到文件名的結尾:
.lay6
.sqlite3
.sqlitedb
.accdb
.java
.class
.mpeg
.djvu
.tiff
.backup
.vmdk
.sldm
.sldx
.potm
.potx
.ppam
.ppsx
.ppsm
.pptm
.xltm
.xltx
.xlsb
.xlsm
.dotx
.dotm
.docm
.docb
.jpeg
.onetoc2
.vsdx
.pptx
.xlsx
.docx
該勒索軟件利用微軟已知SMBv2中的遠程代碼執行漏洞:MS17-010 來(lái)進(jìn)行傳播。
通過(guò)整合技術(shù),使用賽門(mén)鐵克和諾頓產(chǎn)品的用戶(hù)可有效抵御WannaCry的攻擊。
病毒:
- Ransom.CryptXXX
- Trojan.Gen.8!Cloud
- Trojan.Gen.2
- Ransom.Wannacry
入侵防御系統:
- 21179(OS攻擊:Microsoft Windows SMB遠程執行代碼3)
- 23737(攻擊:下載的Shellcode活動(dòng))
- 30018(OS攻擊:MSRPC遠程管理接口綁定)
- 23624(OS攻擊:Microsoft Windows SMB遠程執行代碼2)
- 23862(OS攻擊:Microsoft Windows SMB遠程執行代碼)
- 30010(OS攻擊:Microsoft Windows SMB RCE CVE-2017-0144)
- 22534(系統感染:惡意下載活動(dòng)9)
- 23875(OS攻擊:微軟SMB MS17-010披露嘗試)
- 29064(系統感染:Ransom.Ransom32活動(dòng))
賽門(mén)鐵克強烈建議,企業(yè)用戶(hù)應確保安裝最新微軟安全更新程序,尤其是MS17-010,以防止該攻擊的擴散。
受到影響最大的受害者?
全球許多組織受到該攻擊的影響,其中大多數在歐洲。
這是否是針對性的攻擊?
不,在現階段,并不能確認為針對性攻擊。
為什么企業(yè)用戶(hù)面臨如此之多的問(wèn)題?
通過(guò)利用微軟已知的安全漏洞,WannaCry在企業(yè)網(wǎng)絡(luò )內采取自傳播功能,并且無(wú)需用戶(hù)交互。如果用戶(hù)沒(méi)有進(jìn)行最新的微軟安全更新,其計算機或面臨感染風(fēng)險。
加密文件是否可以恢復?
目前,解密加密的文件還無(wú)法實(shí)現,但賽門(mén)鐵克正在進(jìn)行調查。針對此次事件,賽門(mén)鐵克不建議支付贖金。
抵御勒索軟件的最佳實(shí)踐:
- 勒索軟件變種會(huì )不定期出現,賽門(mén)鐵克建議用戶(hù),始終保持安全軟件為最新版本,從而抵御網(wǎng)絡(luò )攻擊。
- 保持操作系統和其他軟件為更新版本。軟件更新經(jīng)常包括可能被攻擊者所利用的新型安全漏洞補丁。這些漏洞可能被攻擊者所利用。
- 賽門(mén)鐵克發(fā)現,電子郵件是當今主要傳染方式之一。用戶(hù)應警惕未知電子郵件,尤其是包含鏈接和/或附件的電子郵件。
- 用戶(hù)需要特別謹慎對待那些建議啟用宏以查看附件的Microsoft Office子郵件。除非對來(lái)源有絕對的把握,否則請立即刪除來(lái)源不明的電子郵件,并且務(wù)必不要啟動(dòng)宏功能。
- 備份數據是打擊勒索攻擊的最有效方法。攻擊者通過(guò)加密受害者的寶貴文件并使其無(wú)法訪(fǎng)問(wèn),從而向受害者施加壓力。如果受害者擁有備份,當感染被清理后,即可恢復文件。對于企業(yè)用戶(hù)而言,備份應當被適當保護,或者存儲在離線(xiàn)狀態(tài),使攻擊者無(wú)法刪除。
- 通過(guò)使用云服務(wù),幫助減輕勒索病毒感染導致的威脅。這是由于云服務(wù)或保留文件的以前版本,并且允許用戶(hù)通過(guò)"回滾"到未加密的文件。
賽門(mén)鐵克的保護:
針對 Symantec Endpoint Protection 用戶(hù):
- 對于安裝SEP基本防病毒模塊的用戶(hù),請加裝ips和應用程序模塊。該模塊不會(huì )加重系統負載,且能夠有效防御新型威脅。
- HIPS可以有效屏蔽網(wǎng)絡(luò )惡意攻擊,例如,利用tcp 445 ms2017-010漏洞的入侵。
- 通過(guò)SEP應用程序控制模塊的黑白名單功能,無(wú)需依賴(lài)病毒庫,可直接把可疑程序加入黑名單,并禁止運行。
- 通過(guò)SEP自帶防火墻功能,直接禁止445端口的入站請求,防止擴散。
- 更新定義庫至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。
技術(shù)支援:
賽門(mén)鐵克建議,如用戶(hù)遇到威脅問(wèn)題,請與賽門(mén)鐵克技術(shù)支援中心聯(lián)絡(luò )。
中國: 800 810 3992
香港: 852 3071 4616
臺灣: 0080 1861 032
關(guān)于賽門(mén)鐵克:
賽門(mén)鐵克公司(納斯達克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò )安全企業(yè),旨在幫助個(gè)人、企業(yè)和政府機構保護無(wú)處不在的重要數據安全。全球企業(yè)都青睞選用賽門(mén)鐵克的戰略性集成式解決方案,在端點(diǎn)、云和基礎架構抵御復雜攻擊。同時(shí),全球 5000 多萬(wàn)的個(gè)人和家庭也在使用賽門(mén)鐵克的 Norton 和 LifeLock 產(chǎn)品,保護家庭各類(lèi)聯(lián)網(wǎng)設備安全,暢享無(wú)憂(yōu)數字生活。賽門(mén)鐵克經(jīng)營(yíng)在全球規模數一數二的威脅情報網(wǎng)絡(luò ),能夠發(fā)現和抵御最高級威脅。如欲了解其他信息,請訪(fǎng)問(wèn) www.symantec.com.cn或通過(guò)weibo.com/SymantecChina 聯(lián)系我們。
