WannaCry(想哭)加密勒索病毒
說明與應變建議
 
發生什麼情況?
2017年5月12日,一種透過微軟早在今年三月就已發佈的MS17-010的修補更新(如果攻擊者傳送蓄意製作的訊息到 Windows SMBv1 伺服器,最嚴重的弱點可能會允許遠端執行程式碼。參考資料及手動下載更新網址:
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx )Windows用戶未及時更新(或已經停止支援的作業系統,無從更新),導致作業系統有漏洞可鑽。以比特幣勒索贖金的惡意程式。勒索病毒「Ransom.CryptXXX (WannaCry)開始廣泛傳播,影響了大量的企業用戶,特別是在歐洲。
 
WannaCry是什麼勒索軟體?
WannaCry用以加密檔案,並要求受災用戶支付等值美金US$300元的比特幣贖金。贖金明確說明指出,支付金額將三天後增加一倍。如果拒絕付款,七天後加密的文件將被刪除。
 
1.勒索訊息截圖(英文):
 
2.勒索訊息截圖(中文):
 
3.同時下載一個文件為「!Plesae Read Me!.txt」 ,文件中解釋發生了什麼事,以及如何支付贖金:
 
4.同時WannaCry加密檔案具有以下副檔名,並將.WCRY添加到原檔名後端:

•        .lay6
•        .sqlite3
•        .sqlitedb
•        .accdb
•        .java
•        .class
•        .mpeg
•        .djvu
•        .tiff
•        .backup
•        .vmdk
•        .sldm
•        .sldx
•        .potm
•        .potx
•        .ppam
•        .ppsx
•        .ppsm
•        .pptm
•        .xltm
•        .xltx
•        .xlsb
•        .xlsm
•        .dotx
•        .dotm
•        .docm
•        .docb
•        .jpeg
•        .onetoc2
•        .vsdx
•        .pptx
•        .xlsx
•        .docx

 
5.此勒索軟體的傳播是利用微軟系統中已知SMBv2中的遠端代碼執行漏洞:MS17-010
 
 
使用Symantec防護軟體是否得到保護,免受威脅?

基於檔案保護的防護技術-病毒 (Antivirus)
Ransom.CryptXXX
Trojan.Gen.8!Cloud
Trojan.Gen.2
Ransom.Wannacry

基於網路防護的入侵防禦系統 (IPS)
21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
23737(攻擊:下載的Shellcode活動)
30018(OS攻擊:MSRPC遠端管理接口綁定)
23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
22534(系統感染:惡意下載活動9)
23875(OS攻擊:微軟SMB MS17-010披露嘗試)
29064(系統感染:Ransom.Ransom32活動)

 
企業用戶應確保安裝了最新的Windows安全更新,尤其是MS17-010,以防止其擴散.

誰受到影響?
全球有許多組織受到影響,其中大多數在歐洲。

這是否是針對性的攻擊?
不,在這時期並不能確認是有針對性的攻擊。勒索戰役通常是不分青紅皂白的。

為什麼造成了企業用戶如此多的問題?
WannaCry在企業網路內具有自行傳播功能,而無需使用者介入(例如瀏覽網頁或開啟附加檔案),利用微軟的Windows已知的安全漏洞。如果沒有最新的Windows安全更新的系統都將具有感染的風險。

我可以恢復加密的檔案?
現在還沒辦法進行解密,但賽門鐵克正在進行調查。賽門鐵克不建議支付贖金。在可能的情況下,已加密的文件應該從備份中恢復。

保護免受勒索病毒的最佳實務方式是什麼?

  • 新的變種勒索會不定期出現。始終保持安全軟體是最新的,以保護自己免受危害。
  • 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞修補程式。這些漏洞可能被勒索攻擊者利用。
  • 電子郵件是主要傳染方式之一。特別留意不預期的電子郵件,尤其是email中包含的連結(URL_Link)和/或附件(attachment)。
  • 要特別謹慎,建議用戶啟用用巨集預覽,用以查看Microsoft Office的電子郵件附件。除非你有絕對的把握,這封email來自來源可靠的電子郵件寄件人,如果不啟用巨集預覽,請立即刪除來源不明電子郵件。
  • 備份重要檔案是打擊勒索攻擊最有效方法。攻擊者經由加密有價值的檔案並使其無法存取,從而向被害者勒索。如果被勒索者還有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份被適當地保護或存儲在離線狀態(例如;使用隨身碟、隨身硬碟或NAS備份,避免一直插在電腦或連線上,結果連備份檔也備加密了),以便攻擊者不能加密它們。
  • 使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的檔案。
 
我們建議

先確認企業內部有連內網或外網的電腦是否最少已經更新了MS17-010的更新及防護軟體也已經更新至最新,特別是重要的伺服主機以及重要的電腦。

否則先不要開機。先將網路線拔除,利用別台安全的電腦先行手動下載更新檔案,然後在未更新的電腦執行更新後,再行開機連網。這是比較保險的做法,特別是沒有IT 人員的組織,更應保守應對。

 
針對 Symantec Endpoint Protection (SEP)用戶:
  • 對於只安裝SEP基本病毒和間諜軟體防護功能的用戶請啟用IPS(防網路和主機侵入)和應用程式控管(Application Control)這兩個模組,啟用這二項模組不會加重系統負載,但能有效防禦新的威脅。
  • 主機入侵防護功能(HIPS)可以有效阻斷網路層的惡意攻擊,比如利用TCP 445的 MS2017-010漏洞的入侵。
  • 通過SEP的應用程式控管(Application Control)模組中黑白名單功能,不依賴病毒定義檔,直接把可疑程式加入黑名單禁止運行。
  • 透過SEP內建的防火牆的功能,直接禁止445埠號的連線請求,防止擴散。
  • 請更新病毒定義檔至AV ( 病毒和間諜軟體防護 ): 5/12/2017 rev. 9,IPS(防網路和主機侵入): 5/12/2017 rev.11(含)以後的版次。(若更新此二項病毒碼,即可防護此惡意程式攻擊)。
  • 如果可以的話,請將您得SEP 版本升級至最新的SEP 14 MP1版本,它的全新功能包含:更好的防護能力(Windows 版本啟用人工智慧的機器學習防護技術、GEM記憶體攻擊防護、針對加密勒索病毒強化的模擬器、智慧型威脅雲端服務(ITCS)可降低本地端特徵檔高達70%及大大提高特徵檔的即時有效性)、Mac 版本也內入了裝置控管功能...。並且不要再使用SEP 11(兩年前就已停止更新了)。
  • 切忌病急亂投醫:由於此次的災情預期會非常嚴重(至少媒體/網路這幾天不斷報導),請勿在網路上搜尋並下載更新程式、修補程式、修復工具甚至所謂的可解密還原被加密檔案工具,如有需要請至原廠或信譽良好的網站下載,不要便宜行事直接連結來路不明的更新程式、修補程式、修復工具甚至所謂的可解密還原被加密檔案工具,有很高的再次受更嚴重傷害的風險。
 
其它有用參考資訊:
 
技術支援 :

賽門鐵克金級資安防護廠商:保安資訊 04-23815000#166 或159 或0936-285588
You are VIP:請善用保安資訊線上服務保證回應平台: http://help.savetime.com.tw 以加快回應速度
台灣賽門鐵克原廠企業授權產品專屬技術支援電話 0080 161 1391 (免付費電話)
台灣賽門鐵克對外公開的  0080 186 1032 (免付費電話)

 
1l30
|| 公司總管理處:台中市南屯區三和街150號一樓 電話:04-23815000 傳真:04-23813000 ||