加入RUN!PC粉絲團
最近新增的精選文章
AP內建AI引擎 Mist Cloud平台分析能力強 Juniper Mist AI領先全球 改善WiFi穩定、效能首選
解決IT供應鏈攻擊
內部威脅的七個警訊
遠百以專案辦公室推動數位體驗
多廠牌與多重電信業者網路架構的挑戰與機會
德明科大啟用電貿暨AI實習基地 ViewSonic ViewBoard 智慧互動電子白板 扮要角
淺談計算誤差
秀傳醫療體系統 以Lenovo HyperConverged HX 超融合架構扎穩智慧醫療發展基礎
模組化設計 偵測率達99.99% 全面防杜惡意郵件入侵 首選Cellopoint Email UTM
滿足網路管理與檔案安全傳輸需求,Ipswitch的MOVEit及WhatsUp Gold一次完整提供
來自學界的資料分析利器 - Weka 與 R
北醫建置肺癌資料庫,透過深度標註訓練AI,協助醫師早期發現癌症
北榮AI門診上路!人工智慧判讀腦瘤,有效縮短醫師確診時間
台灣智慧機器人玩具聯盟攜手英閱音躍研創 推廣T. Robot程式教育,協助國中小學扎根培養運算思維
一場與時間賽跑的戰役 ,人工智慧加速心血管疾病診斷
 
最多人點閱的精選文章
免費IT建置--
Linux系統操作與管理
免費IT建置--
網頁伺服器的完美組合LAMP(下)
初探Hadoop開放原始碼平台環境
Linux下的防火牆(基礎篇)
免費IT建置--
檔案共享與檔案伺服器
Linux下的防火牆(進階篇)
N.Y.BAGELS CAFE善用SAP Business One
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 影片播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 線上查詢匯率
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 擲骰子遊戲
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 音樂播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 來電黑名單
免費IT建置--
網頁伺服器的完美組合LAMP(上)
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 繪圖板範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ Matrix應用範例
 
 
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
 
WannaCry勒索病毒預警
文‧圖/Symantec 2017/5/26 上午 10:06:03

發生什麼情況?
一種透過Microsoft系統漏洞,以比特幣勒索贖金的惡意程式。勒索病毒「Ransom.CryptXXX (WannaCry)開始廣泛傳播,影響了大量的企業用戶,特別是在歐洲。

甚麼是WannaCry勒索軟體?
WannaCry用已加密數據文件,並要求用戶支付US$300比特幣贖金。勒索明確說明指出,支付金額將三天後增加一倍。如果拒絕付款,加密的文件將於七天後被刪除。

▲勒索訊息截圖(中文)

▲勒索訊息截圖(英文)

勒索軟體同時下載一個名為「!Plesae Read Me!.txt」的文件 ,當中解釋發生了什麼事,以及如何支付贖金

同時WannaCry加密文件具有以下擴展名,並將.WCRY添加到檔名後端:
• .lay6
• .sqlite3
• .sqlitedb
• .accdb
• .java
• .class
• .mpeg
• .djvu
• .tiff
• .backup
• .vmdk
• .sldm
• .sldx
• .potm
• .potx
• .ppam
• .ppsx
• .ppsm
• .pptm
• .xltm
• .xltx
• .xlsb
• .xlsm
• .dotx
• .dotm
• .docm
• .docb
• .jpeg
• .onetoc2
• .vsdx
• .pptx
• .xlsx
• .docx
此勒索軟體是利用微軟系統中已知SMBv2中的遠端代碼執行漏洞:MS17-010傳播。

使用Symantec防護軟體是否得到保護,免受威脅?
使用了賽門鐵克和諾頓的客戶,已經證實對WannaCry可以有效的保護。以下檢測病毒和漏洞
病毒 (Antivirus)
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry

入侵防禦系統 (IPS)
• 21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
• 23737(攻擊:下載的Shellcode活動)
• 30018(OS攻擊:MSRPC遠端管理接口綁定)
• 23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
• 23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
• 30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
• 22534(系統感染:惡意下載活動9)
• 23875(OS攻擊:微軟SMB MS17-010披露嘗試)
• 29064(系統感染:Ransom.Ransom32活動)

企業用戶應確保安裝了最新的Windows安全更新,尤其是MS17-010,以防止其擴散

誰受到影響?
全球有許多組織受到影響,其中大多數在歐洲。

這是否是針對性的攻擊?
不,在現階段,並不能確認是有針對性的攻擊。

為什麼造成了企業用戶如此多的問題?
通過利用微軟已知的安全性漏洞,WannaCry在商業網路內採取自傳播功能,並且無需使用者交互。 如果使用者沒有進行最新的微軟安全更新,其電腦或面臨感染風險。

我可以恢復加密的文件?
目前,解密加密的檔還無法實現,但賽門鐵克正在進行調查。 針對此次事件,賽門鐵克不建議支付贖金。

保護免受勒索軟體的最佳實踐方式是什麼?
新的變種勒索會不定期出現。始終保持安全軟體是最新的,以保護自己免受危害。
保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件,尤其是email中包含的連結和/或附件。
使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。 除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用,從而向被害者勒索。如果被勒索者有備份副本,一旦感染被清理乾淨,我們就可以恢復文件。但是,企業組織應該確保備份被適當地保護或存儲在離線狀態,以便攻擊者不能刪除它們。
使用雲端服務可以減輕勒索病毒的影響,因為受害者可以透過雲端備份,取回未加密的文件。

我們建議
針對 Symantec Endpoint Protection (SEP)用戶
對於只安裝SEP基本防病毒版本的用戶請啟用IPS和應用程序這兩個模組,啟用這二項模組不會加重系統負載,但能有效防禦新的威脅。
HIPS可以有效屏蔽網路上的惡意攻擊,比如利用TCP 445 MS2017-010漏洞的入侵
通過SEP的應用程序控制模組中黑白名單功能,不依賴病毒碼,直接把可疑程式加入黑名單禁止運行
通過SEP自帶防火牆的功能,直接禁止445端口的連線請求,防止擴散。
請更新病毒碼至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。(若更新此二項病毒碼,即可防護此惡意程式攻擊)

   
回首頁...