賽門鐵克 Q&A – WannaCry勒索病毒預警

2017 / 05 / 15

本篇文章內容由廠商提供，不代表資安人科技網觀點

發生什麼情況？
2017年5月12日，一種透過Microsoft系統漏洞，以比特幣勒索贖金的惡意程式。勒索病毒「Ransom.CryptXXX (WannaCry)」開始廣泛傳播，影響了大量的企業用戶，特別是在歐洲。

甚麼是WannaCry勒索軟體？
WannaCry用已加密數據文件，並要求用戶支付US$300比特幣贖金。勒索明確說明指出，支付金額將三天後增加一倍。如果拒絕付款，加密的文件將於七天後被刪除。

勒索訊息截圖（中文）

　　　　　　　　　　　　　　　　　　　　　　勒索訊息截圖（英文）

勒索軟體同時下載一個名為「!Plesae Read Me!.txt」的文件，當中解釋發生了什麼事，以及如何支付贖金

同時WannaCry加密文件具有以下擴展名，並將.WCRY添加到檔名後端：
．.lay6
．.sqlite3
．.sqlitedb
．.accdb
．.java
．.class
．.mpeg
．.djvu
．.tiff
．.backup
．.vmdk
．.sldm
．.sldx
．.potm
．.potx
．.ppam
．.ppsx
．.ppsm
．.pptm
．.xltm
．.xltx
．.xlsb
．.xlsm
．.dotx
．.dotm
．.docm
．.docb
．.jpeg
．.onetoc2
．.vsdx
．.pptx
．.xlsx
．.docx
此勒索軟體是利用微軟系統中已知SMBv2中的遠端代碼執行漏洞：MS17-010傳播。

使用Symantec防護軟體是否得到保護，免受威脅？
使用了賽門鐵克和諾頓的客戶，已經證實對WannaCry可以有效的保護。以下檢測病毒和漏洞
◆病毒 (Antivirus)
．Ransom.CryptXXX
．Trojan.Gen.8!Cloud
．Trojan.Gen.2
．Ransom.Wannacry

◆入侵防禦系統 (IPS)
．21179（OS攻擊：的Microsoft Windows SMB遠端執行代碼3）
．23737（攻擊：下載的Shellcode活動）
．30018（OS攻擊：MSRPC遠端管理接口綁定）
．23624（OS攻擊：的Microsoft Windows SMB遠端執行代碼2）
．23862（OS攻擊：的Microsoft Windows SMB遠端執行代碼）
．30010（OS攻擊：的Microsoft Windows SMB RCE CVE-2017-0144）
．22534（系統感染：惡意下載活動9）
．23875（OS攻擊：微軟SMB MS17-010披露嘗試）
．29064（系統感染：Ransom.Ransom32活動）

企業用戶應確保安裝了最新的Windows安全更新，尤其是MS17-010，以防止其擴散

誰受到影響？
全球有許多組織受到影響，其中大多數在歐洲。

這是否是針對性的攻擊？
不，在現階段，並不能確認是有針對性的攻擊。

為什麼造成了企業用戶如此多的問題？
通過利用微軟已知的安全性漏洞,WannaCry在商業網路內採取自傳播功能,並且無需使用者交互。如果使用者沒有進行最新的微軟安全更新,其電腦或面臨感染風險。

我可以恢復加密的文件？
目前,解密加密的檔還無法實現,但賽門鐵克正在進行調查。針對此次事件,賽門鐵克不建議支付贖金。

保護免受勒索軟體的最佳實踐方式是什麼？
．新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
．保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。．賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
．使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
．備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
．使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

我們建議
針對 Symantec Endpoint Protection (SEP)用戶
．對於只安裝SEP基本防病毒版本的用戶請啟用IPS和應用程序這兩個模組，啟用這二項模組不會加重系統負載，但能有效防禦新的威脅。
．HIPS可以有效屏蔽網路上的惡意攻擊，比如利用TCP 445 MS2017-010漏洞的入侵
．通過SEP的應用程序控制模組中黑白名單功能，不依賴病毒碼，直接把可疑程式加入黑名單禁止運行
．通過SEP自帶防火牆的功能，直接禁止445端口的連線請求，防止擴散。
．請更新病毒碼至 AV: 5/12/2017 rev. 9，IPS: 5/12/2017 rev.11。(若更新此二項病毒碼，即可防護此惡意程式攻擊)

技術支援
台灣 0080 1861032 (免付費電話)

勒索病毒 Ransom.CryptXXX (WannaCry)