歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
賽門鐵克 Q&A – WannaCry勒索病毒預警
2017 / 05 / 15
本篇文章內容由廠商提供,不代表資安人科技網觀點
發生什麼情況?
2017年5月12日,一種透過Microsoft系統漏洞,以比特幣勒索贖金的惡意程式。勒索病毒「Ransom.CryptXXX (WannaCry)」開始廣泛傳播,影響了大量的企業用戶,特別是在歐洲。
甚麼是WannaCry勒索軟體?
WannaCry用已加密數據文件,並要求用戶支付US$300比特幣贖金。勒索明確說明指出,支付金額將三天後增加一倍。如果拒絕付款,加密的文件將於七天後被刪除。
勒索訊息截圖(中文)
勒索訊息截圖(英文)
勒索軟體同時下載一個名為「!Plesae Read Me!.txt」的文件 ,當中解釋發生了什麼事,以及如何支付贖金
同時WannaCry加密文件具有以下擴展名,並將.WCRY添加到檔名後端:
..lay6
..sqlite3
..sqlitedb
..accdb
..java
..class
..mpeg
..djvu
..tiff
..backup
..vmdk
..sldm
..sldx
..potm
..potx
..ppam
..ppsx
..ppsm
..pptm
..xltm
..xltx
..xlsb
..xlsm
..dotx
..dotm
..docm
..docb
..jpeg
..onetoc2
..vsdx
..pptx
..xlsx
..docx
此勒索軟體是利用微軟系統中已知SMBv2中的遠端代碼執行漏洞:MS17-010傳播。
使用Symantec防護軟體是否得到保護,免受威脅?
使用了賽門鐵克和諾頓的客戶,已經證實對WannaCry可以有效的保護。以下檢測病毒和漏洞
◆病毒 (Antivirus)
.Ransom.CryptXXX
.Trojan.Gen.8!Cloud
.Trojan.Gen.2
.Ransom.Wannacry
◆入侵防禦系統 (IPS)
.21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
.23737(攻擊:下載的Shellcode活動)
.30018(OS攻擊:MSRPC遠端管理接口綁定)
.23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
.23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
.30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
.22534(系統感染:惡意下載活動9)
.23875(OS攻擊:微軟SMB MS17-010披露嘗試)
.29064(系統感染:Ransom.Ransom32活動)
企業用戶應確保安裝了最新的Windows安全更新,尤其是MS17-010,以防止其擴散
誰受到影響?
全球有許多組織受到影響,其中大多數在歐洲。
這是否是針對性的攻擊?
不,在現階段,並不能確認是有針對性的攻擊。
為什麼造成了企業用戶如此多的問題?
通過利用微軟已知的安全性漏洞,WannaCry在商業網路內採取自傳播功能,並且無需使用者交互。 如果使用者沒有進行最新的微軟安全更新,其電腦或面臨感染風險。
我可以恢復加密的文件?
目前,解密加密的檔還無法實現,但賽門鐵克正在進行調查。 針對此次事件,賽門鐵克不建議支付贖金。
保護免受勒索軟體的最佳實踐方式是什麼?
.新的變種勒索會不定期出現。始終保持安全軟體是最新的,以保護自己免受危害。
.保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。 .賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件,尤其是email中包含的連結和/或附件。
.使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。 除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
.備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用,從而向被害者勒索。如果被勒索者有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份被適當地保護或存儲在離線狀態,以便攻擊者不能刪除它們。
.使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的文件。
我們建議
針對 Symantec Endpoint Protection (SEP)用戶
.對於只安裝SEP基本防病毒版本的用戶請啟用IPS和應用程序這兩個模組,啟用這二項模組不會加重系統負載,但能有效防禦新的威脅。
.HIPS可以有效屏蔽網路上的惡意攻擊,比如利用TCP 445 MS2017-010漏洞的入侵
.通過SEP的應用程序控制模組中黑白名單功能,不依賴病毒碼,直接把可疑程式加入黑名單禁止運行
.通過SEP自帶防火牆的功能,直接禁止445端口的連線請求,防止擴散。
.請更新病毒碼至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。(若更新此二項病毒碼,即可防護此惡意程式攻擊)
技術支援
台灣 0080 1861032 (免付費電話)
勒索病毒
Ransom.CryptXXX (WannaCry)
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
看更多活動
大家都在看
金管會提醒企業重視資安風險管理,適時評估投保資安保險
HPE Aruba Networking修復Aruba Access Points重大漏洞
65% 網站缺乏防護易遭機器人攻擊! 電子商務和奢侈品產業尤最
Microchip ASF 重大資安漏洞,物聯網設備恐遭遠端攻擊
馬來西亞駭客組織DragonForce 利用改良版LockBit和Conti勒索軟體發動攻擊
資安人科技網
文章推薦
趨勢科技:裝置與帳號為高風險資產
VicOne 通過TISAX AL3汽車工業資訊安全最高等級認證
Zoom 推出全新企業進階解決方案,助企業打造高效安全的營運環境