加入RUN!PC粉絲團
最近新增的精選文章
AP內建AI引擎 Mist Cloud平台分析能力強 Juniper Mist AI領先全球 改善WiFi穩定、效能首選
解決IT供應鏈攻擊
內部威脅的七個警訊
遠百以專案辦公室推動數位體驗
多廠牌與多重電信業者網路架構的挑戰與機會
德明科大啟用電貿暨AI實習基地 ViewSonic ViewBoard 智慧互動電子白板 扮要角
淺談計算誤差
秀傳醫療體系統 以Lenovo HyperConverged HX 超融合架構扎穩智慧醫療發展基礎
模組化設計 偵測率達99.99% 全面防杜惡意郵件入侵 首選Cellopoint Email UTM
滿足網路管理與檔案安全傳輸需求,Ipswitch的MOVEit及WhatsUp Gold一次完整提供
來自學界的資料分析利器 - Weka 與 R
北醫建置肺癌資料庫,透過深度標註訓練AI,協助醫師早期發現癌症
北榮AI門診上路!人工智慧判讀腦瘤,有效縮短醫師確診時間
台灣智慧機器人玩具聯盟攜手英閱音躍研創 推廣T. Robot程式教育,協助國中小學扎根培養運算思維
一場與時間賽跑的戰役 ,人工智慧加速心血管疾病診斷
 
最多人點閱的精選文章
免費IT建置--
Linux系統操作與管理
初探Hadoop開放原始碼平台環境
免費IT建置--
網頁伺服器的完美組合LAMP(下)
免費IT建置--
檔案共享與檔案伺服器
Linux下的防火牆(基礎篇)
Linux下的防火牆(進階篇)
N.Y.BAGELS CAFE善用SAP Business One
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 影片播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 線上查詢匯率
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 擲骰子遊戲
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 音樂播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 來電黑名單
免費IT建置--
網頁伺服器的完美組合LAMP(上)
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 繪圖板範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ Matrix應用範例
 
 
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
 
Check Point事件回應團隊追蹤
WannaCryptor勒索軟體全球肆虐活動狀況
文‧圖/Check Point 2017/5/17 下午 05:46:10

Check Point 事件回應團隊開始追蹤 WannaCryptor 勒索軟體大規模肆虐的狀況。我們提出的報告指出,有許多全球性 組織正遭受大規模勒索軟體的攻擊,其利用 SMB 漏洞在這些組織的網路內傳播。由於同時有幾個不同的攻擊活動正在進行,使這個問題變 得更加複雜,因此難以快速找出特定的感染向量。過去 24-48 小時內,我們特別找出下列多個進行中勒索軟體活動向量。

感染向量疑似是利用 SMB 漏洞作為直接感染方式。Check Point 研究團隊發現,樣本中包含變種「killswitch」網域以及比特幣地址。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本。

WannaCryptor 感染向量以幾種方式呈現:
1. WannaCryptor – 利用 SMB 作為傳播方式來造成直接感染 – 已有多個樣本獲得確認,包括模仿軟體和變體。SandBlast 防勒索軟體及/或威脅模擬均成功偵測並封鎖所有測試樣本
2. 電子郵件內的惡意連結
3. 內含附有惡意連結 PDF 檔的惡意附件
4. 以密碼加密壓縮檔形式的惡意附件,且內含可啟動感染鏈的 PDF 檔
5. 針對 RDP 伺服器的暴力登入攻擊,且隨後植入勒索軟體

Check Point 針對 WannaCryptor 提供下列防護措施:

網路防護 (SandBlast)
‧威脅萃取和威脅模擬
‧防殭屍網路和防毒

端點防護 (SandBlast Agent)
‧防勒索軟體
‧威脅萃取和威脅模擬
‧防殭屍網路和防毒
‧防惡意軟體

PS 防護 (不適用於平面式網路)‧ Microsoft Windows EternalBlue SMB 遠端執行程式碼 https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html
‧ Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html
‧ Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html
‧ Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html
‧ Microsoft Windows SMB 遠端執行程式碼 (MS17-010:CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html
‧ Microsoft Windows SMB 資訊洩露 (MS17-010:CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

一般防護
‧ Windows 電腦應安裝「Microsoft 資訊安全公告 MS17-010 – 重大 Microsoft
Windows SMB 伺服器的安全性更新 (4013389)」中公佈的漏洞修補程式
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
‧ 確定已備妥未在網路上分享的檔案備份
‧ 封鎖來自電子郵件閘道的已加密且有密碼保護之附件

Check Point 事件回應團隊正密切監控此一情勢,並可為客戶提供協助。下列部份提供的詳細說明可供 Check Point 客戶了解如何利用公司的解決方案來分析、報告及防範攻擊元素。若要了解更多有關勒索軟體的一般資訊,請瀏覽:http://pages.checkpoint.com/wannacry-ransomware5.html



▲SandBlast 威脅模擬報告


▲Check Point SandBlast 鑑識代理程式
線上報告連結:http://freports.us.checkpoint.com/wannacryptor2_1/index.html.


▲攻擊樹狀結構

Check Point Sandblast 防勒索軟體代理程式
本影片介紹 Check Point 如何封鎖並復原遭到勒索軟體感染的系統
https://www.youtube.com/watch?v=0jb8zd7H634&feature=youtu.be

   
回首頁...