• <strike id="fdgpu"><input id="fdgpu"></input></strike>
    <label id="fdgpu"></label>
    <s id="fdgpu"><code id="fdgpu"></code></s>

  • <label id="fdgpu"></label>
  • <span id="fdgpu"><u id="fdgpu"></u></span>

    <s id="fdgpu"><sub id="fdgpu"></sub></s>
    您當前的位置是:  首頁 > 新聞 > 國際 >
     首頁 > 新聞 > 國際 >

    賽門鐵克發(fā)布針對WannaCry勒索軟件的更新預(yù)警

    2018-05-17 15:39:13   作者:   來源:CTI論壇   評論:0  點擊:


      賽門鐵克發(fā)現(xiàn)兩個WannaCry勒索軟件與Lazarus犯罪團伙的潛在聯(lián)系:
      已知的Lazarus使用工具和WannaCry勒索軟件共同出現(xiàn):賽門鐵克發(fā)現(xiàn),Lazarus組織在設(shè)備上使用的專有工具同時感染了早期版本的WannaCry,但這些WannaCry的早期變體并沒有能力通過SMB傳播。Lazarus工具可能被用作傳播WannaCry的手段,但這一點還未得到證實。

    賽門鐵克于5月11日至15日檢測到WannaCry的熱度圖
      共享代碼:谷歌人員Neel Mehta在博客中聲稱,Lazarus工具和WannaCry勒索軟件之間共享了某些代碼。賽門鐵克確認該共享代碼是一種SSL。這種SSL工具使用了75個特殊序列的密碼,至今我們只在Lazarus工具(包括Contopee和Brambul)和WannaCry變體中見到過這種序列。
      雖然以上發(fā)現(xiàn)不能表明 Lazarus組織和WannaCry的確切聯(lián)系,但賽門鐵克認為,上述聯(lián)系足以值得采取進一步調(diào)查。隨著真相慢慢浮出水面,我們將繼續(xù)分享更多的調(diào)查信息。
      自5月12日(星期五)起,一種名為“WannaCry”(Ransom.Wannacry)的惡性勒索軟件已在全球范圍內(nèi)攻擊了數(shù)十萬臺計算機。該勒索軟件比其他類型的勒索軟件更加危險,這是由于該勒索軟件能夠利用Windows計算機的嚴重漏洞,自行在企業(yè)機構(gòu)的網(wǎng)絡(luò)中進行傳播。微軟公司在2017年3月發(fā)布了該漏洞的補丁程序(MS17-010)。今年4月,一個名為“Shadow Brokers”的黑客組織泄露了一系列文件,其中,被稱為“永恒之藍”的漏洞被發(fā)布至網(wǎng)絡(luò),黑客組織曾聲稱盜取了Equation 網(wǎng)絡(luò)間諜團伙的相關(guān)數(shù)據(jù)。
      我是否受到保護,抵御WannaCry勒索軟件的攻擊?
      賽門鐵克端點安全解決方案(Symantec Endpoint Protection,SEP)和諾頓軟件能夠主動阻擋任何試圖利用該漏洞的行為,這意味著,在WannaCry首次出現(xiàn)前,用戶 就已經(jīng)得到了全面的保護。
      Blue Coat全球情報網(wǎng)絡(luò)(GIN)可對所有授權(quán)產(chǎn)品進行自動檢測,偵測所有基于網(wǎng)絡(luò)的感染嘗試意圖。
      賽門鐵克和諾頓產(chǎn)品結(jié)合多種技術(shù),自動保護用戶抵御WannaCry的攻擊。
      主動保護由以下技術(shù)提供:
    • IPS網(wǎng)絡(luò)保護
    • SONAR行為檢測技術(shù)
    • 先進的機器學(xué)習(xí)技術(shù)
    • 智能威脅云
      通過啟用上述技術(shù),用戶將獲取全部自動保護功能。賽門鐵克建議SEP用戶將軟件版本更新至SEP 14,以獲得機器學(xué)習(xí)簽名技術(shù)所提供的主動保護功能。
      基于網(wǎng)絡(luò)的保護
      為了阻擋攻擊者對MS17-010漏洞的嘗試攻擊,賽門鐵克還采取了以下IPS保護措施:
    • 操作系統(tǒng)攻擊:微軟SMB MS17-010 披露嘗試(2017年5月2日發(fā)布)
    • 攻擊:殼代碼下載活動(2017年4月24日發(fā)布)
      SONAR行為檢測技術(shù)
      SONAR.AM.E.!g18
      SONAR.AM.E!g11
      SONAR.Cryptlk!g1
      SONAR.Cryptlocker!g59
      SONAR.Cryptlocker!g60
      SONAR.Cryptlocker!g80
      SONAR.Heuristic.159
      SONAR.Heur.Dropper
      SONAR.Heur.RGC!g151
      SONAR.Heur.RGC.CM!g13
      SONAR.Heuristic.158
      SONAR.Heuristic.161
      SONAR.SuspDataRun
      SONAR.SuspLaunch!g11
      SONAR.SuspLaunch!gen4
      SONAR.TCP!gen1
      智能機器學(xué)習(xí)技術(shù)
      Heur.AdvML.A
      Heur.AdvML.B
      Heur.AdvML.D
      反病毒
      為了拓展保護和識別能力,以下反病毒簽名已更新完畢:
      Ransom.Wannacry
      Ransom.CryptXXX
      Trojan.Gen.8!Cloud
      Trojan.Gen.2
      賽門鐵克建議用戶運行LiveUpdate,并檢查軟件是否為以下版本或更新版本,確保擁有最新的保護:
      20170512.009
      以下IPS 簽名也能阻擋Ransom.Wannacry的相關(guān)活動:
      System Infected: Ransom.Ransom32 Activity
      企業(yè)機構(gòu)應(yīng)該確保安裝最新的Windows安全更新程序,尤其是MS17-010,防止該惡意軟件的傳播。
      勒索軟件WannaCry是什么?
      WannaCry能夠搜索并解密176種不同文件,并在文件名后附加 .WCRY。該勒索軟件要求受害者以比特幣支付300美元的贖金。勒索信息中指出,如果延遲支付,贖金將會在3天后增加一倍;如果延遲支付7天,加密文件將被刪除。
      我是否能夠恢復(fù)加密文件?或者,我應(yīng)該支付贖金?
      現(xiàn)在,還無法對加密文件進行解密。如果受害者擁有備份,便可以通過備份來恢復(fù)被感染的文件。賽門鐵克不建議受害者支付贖金。
      在一些情況下,文件不通過備份也可得到恢復(fù)。保存在“桌面”、“我的文檔”或可移動驅(qū)動器的文件若被加密,并且原始文件遭到清除——這些文件將無法恢復(fù)。保存在計算機其他位置的文件若被加密,并且原始文件遭到簡單刪除——這些文件可使用數(shù)據(jù)恢復(fù)工具進行恢復(fù)。
      WannaCry何時出現(xiàn)?傳播速度如何?
      WannaCry首次出現(xiàn)于5月12日(星期五)。賽門鐵克發(fā)現(xiàn),在當天8:00左右(格林威治時間)試圖對Windows漏洞進行攻擊的次數(shù)激增。在周六和周日,賽門鐵克阻擋的試圖對Windows漏洞進行攻擊的次數(shù)略有下降,但仍然保持高位。
     賽門鐵克每小時阻擋WannaCry試圖對Windows漏洞進行攻擊的次數(shù)
      賽門鐵克每天阻擋WannaCry試圖對Windows漏洞進行攻擊的次數(shù)
      受到影響的人群?
      任何未下載最新補丁的Windows計算機都有可能受到WannaCry的影響。由于這種病毒可在網(wǎng)絡(luò)中快速傳播,因此企業(yè)機構(gòu)面臨更高的風(fēng)險。全球范圍內(nèi)已有很多企業(yè)機構(gòu)遭受該惡意軟件的攻擊,歐洲為重災(zāi)區(qū)。同樣,個人計算機也有可能受到感染。
      這是否是一次針對性攻擊?
      不,在現(xiàn)階段,我們不認為這是一次針對性攻擊。勒索軟件活動通常選擇任意目標。
      為什么WannaCry給眾多企業(yè)機構(gòu)帶來如此多的麻煩?
      WannaCry能夠利用微軟Windows中的已知漏洞,即使在沒有用戶互動的情況下,仍舊可以在公司網(wǎng)絡(luò)中自行傳播。計算機若未安裝最新的Windows安全更新程序,則將面臨感染的風(fēng)險。
      WannaCry如何進行傳播?
      雖然WannaCry可利用漏洞自行在企業(yè)機構(gòu)的網(wǎng)絡(luò)中進行傳播,但感染方式,即第一臺受到感染的計算機的受感染方式——仍未得到證實。賽門鐵克發(fā)現(xiàn),一些惡意網(wǎng)站托管WannaCry,但看起來只是模仿性攻擊,與最初的攻擊毫無關(guān)聯(lián)。
      是否已經(jīng)有很多受害者支付了贖金?
      對勒索者提供的三個比特幣網(wǎng)站進行分析后,賽門鐵克發(fā)現(xiàn),在寫這篇博文時,受害者在207 次單獨交易中共支付了31.21比特幣(53,845美元)。
      抵御勒索軟件的最佳實踐:
      勒索軟件變種會不定期出現(xiàn),賽門鐵克建議用戶,始終保持安全軟件為最新版本,從而抵御網(wǎng)絡(luò)攻擊。
      保持操作系統(tǒng)和其他軟件為更新版本。軟件更新經(jīng)常包括可能被攻擊者所利用的新型安全漏洞補丁。這些漏洞可能被攻擊者所利用。
      賽門鐵克發(fā)現(xiàn),電子郵件是當今主要傳染方式之一。用戶應(yīng)警惕未知電子郵件,尤其是包含鏈接和/或附件的電子郵件。
      用戶需要特別謹慎對待那些建議啟用宏以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,并且務(wù)必不要啟動宏功能。
      備份數(shù)據(jù)是打擊勒索攻擊的最有效方法。攻擊者通過加密受害者的寶貴文件并使其無法訪問,從而向受害者施加壓力。如果受害者擁有備份,當感染被清理后,即可恢復(fù)文件。對于企業(yè)用戶而言,備份應(yīng)當被適當保護,或者存儲在離線狀態(tài),使攻擊者無法刪除。
      通過使用云服務(wù),幫助減輕勒索病毒感染導(dǎo)致的威脅。這是由于云服務(wù)或保留文件的以前版本,并且允許用戶通過“回滾”到未加密的文件。
    【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責(zé)任。

    專題

    亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 三穗县| 禹州市| 志丹县| 鸡西市| 庆元县| 喀喇沁旗| 阿克| 揭阳市| 门源| 根河市| 大埔县| 澜沧| 黎川县| 扎囊县| 敖汉旗| 鹤峰县| 兰坪| 霍城县| 大兴区| 永修县| 聂荣县| 始兴县| 类乌齐县| 会理县| 慈利县| 金乡县| 奈曼旗| 柳江县| 鲜城| 巴楚县| 荔浦县| 灯塔市| 晋城| 旅游| 固阳县| 施秉县| 宜阳县| 衡山县| 施秉县| 洱源县| 大同市| http://444 http://444 http://444 http://444 http://444 http://444