防堵勒索蠕蟲「WannaCry」根本之道 SonicWALL提醒：預先抵禦「永恆之藍（EternalBlue）」才是王道
一種名為WannaCry的電腦勒索病毒正在全球蔓延，99個國家受到病毒感染，台灣也名列受攻擊嚴重區域。


什麼是永恆之藍？它和勒索軟體Wannacry的關係？
永恆之藍（EternalBlue）是美國國家安全局NSA旗下的駭客組織Equation Group開發的網路攻擊工具。它掃描並利用運行在TCP 445埠之上的Windows SMB (Server Message Block)檔共用協議的漏洞，上傳勒索軟體等惡意程式到Windows系統，對使用者的檔案進行加密並勒索贖金。

Shadow Broker駭客組織入侵了Equation Group的網路，竊取了大量網路攻擊工具，並把它放到網路上拍賣. 為了證明他們拍賣的駭客工具具備真實性和有效性，Shadow Broker駭客組織在網路公佈了他們竊取來的一部分駭客工具，包括永恆之藍攻擊工具。

本次全球爆發的勒索軟體攻擊事件(Wannacry)，是有駭客在永恆之藍攻擊工具的基礎上，開發了的蠕蟲病毒，它可以自我複製傳播，該蠕蟲病毒掃描網路上存在SMB漏洞的Windows機器，上傳勒索軟體到該Windows系統，鎖定使用者的資料並勒索使用者的錢財，是一個典型的蠕蟲和勒索軟體的結合體。我們可以稱之為蠕蟲勒索病毒。

如何防禦永恆之藍？如何阻擋勒索軟體進入你的網路？
面對“永恆之藍”這一棘手問題，事前防禦勝過事後補救，選擇可靠的安全防禦產品至關重要！

SonicWALL的安全防禦團隊，在4月份Shadow Broker駭客組織把永恆之藍駭客工具發佈到網路上的第一時間, 就已進行了快速分析和診斷，並於4月20日更新了多個IPS簽名，有效阻斷駭客利用永恆之藍工具及在其基礎上開發的蠕蟲病毒對 Windows SMB 漏洞的入侵行為。SonicWALL 下一代防火牆 IPS(入侵防禦)的使用者，在4月20日就可以防禦永恆之藍攻擊工具及其同類惡意程式的入侵行為，使得使用SonicWALL下一代防火牆的使用者對Windows SMB協定漏洞的入侵威脅得以免疫。

駭客可以利用永恆之藍工具和Windows SMB漏洞上傳任何惡意程式，而且不排除勒索軟體可以通過電子郵件傳播，SonicWALL已經發佈了數個勒索軟體病毒的簽名，阻斷通過電子郵件或利用SMB漏洞上傳的勒索軟體。

SonicWALL下一代防火牆的GAV閘道殺毒服務，亦可以有效防禦本次席捲全球的勒索軟體及數個變種。閘道殺毒防禦勒索軟體是對IPS入侵偵測防禦永恆之藍入侵手段的一個有效防禦措施，可以阻止透過電子郵件途徑傳播的勒索軟體。

此外，SonicWALL Capture服務(雲端沙箱)可以檢測未知安全威脅，是除了IPS入侵防禦和GAV閘道殺毒服務之外另一個有效的防禦功能。它能對IPS和GAV閘道殺毒可能遺漏之處，例如很快出現的任何新的勒索軟體的變種，SonicWALL Capture的多層級引擎可以做即時的檢測，惡意軟體難以逃避的檢測，最終將原形畢露。SonicWALL Capture可以對新出現的未知安全威脅，包括WannaCrypt新的變種及其它勒索軟體做準確的判斷，並阻斷其傳播。

我是SonicWALL下一代防火牆的使用者，該購買哪些服務才能有效防禦此類安全威脅？
AGSS License 包含Capture沙箱服務和UTM的應用層安全防禦功能，每個設備型號有對應的SKU，下面SKU是以NSA3600為例。AGSS包含最全面的安全服務，可以應對已知和未知安全威脅。


CGSS License 相比AGSS，缺少Capture沙箱服務，其它服務相同。不能應對未知安全威脅。


UTM License 相比CGSS，缺少內容過濾，7*24 支援服務，包含IPS，惡意軟體掃描和應用控制


除了使用下一代防火牆，我還需要做什麼防禦措施以避免勒索軟體威脅的發生？
1.升級Windows作業系統，目前微軟公司已發佈相關修補程式MS17-010，可通 過微軟公司正規管道進行升級。
2.電腦上安裝有效的防毒軟體，避免USB隨身碟與內部網路檔案共用，防止VLAN內部的蠕蟲勒索軟體的傳播。
3.及時關閉電腦、網路設備上的445等危險通訊埠。
4.不要輕易打開來源不明的電子郵件。
5.不要使用Windows XP、Windows Server 2003等沒有微軟服務和支援的產品，因為沒有定期的安全修補的更新。
6. 定期在不同的儲存硬碟上備份電腦上的重要檔案。