【勒索病毒警訊 】解析WannaCry/Wcry “想哭”史上第一勒索蠕蟲,感染流程與預防方法

今日爆出一款名為「WannaCry/Wcry(想哭)」的勒索病毒正在肆虐全球,包括美國《CNN》和英國《鏡報》報導皆報導了該則消息。根據趨勢科技Smart Protection Suites 的反饋資料顯示,台灣也受到此威脅嚴重影響,英國,智利,日本印度和美國也都傳出災情。

報導指出英國的國家醫療保健服務(NHS)遭到攻擊,許多醫院手術被迫取消,西班牙的電信公司、電力公司及公用事業的天然氣公司,都受到影響。葡萄牙的電信公司、聯邦快遞(FedEx)等也都受WannaCry/Wcry 勒索病毒影響。台灣今天也傳出桃園一名高中生遭「WannaCry」勒索病毒軟體攻擊,該病毒顯示支援28種語言,該男點選中文後,畫面隨即出現勒索訊息。

在今年初出現了兩個獨立的資安風險:CVE-2017-0144是一個可以造成遠端程式碼執行的 SMB伺服器漏洞,已經在三月份修復,還有會透過Dropbox網址散播的新勒索病毒 Ransomware (勒索軟體/綁架病毒)家族 WannaCry/Wcry在四月下旬出現。這兩種威脅現在結合在一起,造成對全球使用者最嚴重的勒索病毒攻擊。

勒贖通知要求用比特幣支付300美元;此金額要求已經低於早期的攻擊。除了一開始出現在英國的攻擊外,其他國家也遭受到嚴重的影響。

趨勢科技將這波攻擊所用的病毒變種偵測為RANSOM_WANA.A和RANSOM_WCRY.I。趨勢科技XGen安全防護所提供的預測機器學習技術和其他相關勒索病毒防護功能已經能夠主動保護客戶免於此攻擊的威脅。

 

[相關閱讀:使用免費的趨勢科技機器學習評估工具來評估現有端點防護軟體的安全間隙。]

 

近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!

 

感染途徑

這波攻擊所用的漏洞(代號EternalBlue)是Shadow Brokers駭客集團據稱從美國國家安全局(NSA)外洩的漏洞之一。攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作為服務執行。接著再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密(也會送入另一個用來顯示勒贖通知的檔案)。被針對的副檔名共有166種,包括Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。

圖1、感染流程

圖2、勒贖通知

根據趨勢科技Smart Protection Suites 的反饋資料顯示,除了英國外,台灣、智利和日本都受到此一威脅的嚴重影響。印度和美國也都有受到影響。

正如我們前面所提到,此次攻擊所用的SMBv1漏洞在三月份已經被微軟所修補。甚至在此之前,微軟也在2016年九月就強烈呼籲用戶不要使用SMBv1,這個追溯到1990年代的舊協定。美國的電腦緊急應變小組(US-CERT)也發表過類似的強力建議。有遵循最佳實作的組織(包括修補和正確配置SMB服務)不會受到此次攻擊影響。

 

趨勢科技解決方案

具備XGen端點安全防護的趨勢科技 OfficeScan™結合了高保真機器學習與其他偵測技術和全球威脅情報,對勒索病毒和進階惡意軟體提供全面性的防護。如前所述,我們將其偵測為RANSOM_WANA.ARANSOM_WCRY.I。具備預測機器學習和啟用所有相關勒索病毒防護功能的產品已經能夠免於此次攻擊威脅。

趨勢科技的趨勢科技Deep Security趨勢科技 Vulnerability Protection 漏洞防護趨勢科技的Deep Discovery Inspector和TippingPoint可以防範此類威脅。關於趨勢科技和TippingPoint產品的相關規則和過濾程式的完整列表可以參考此趨勢科技技術支援網頁

 

以下是與此勒索病毒有關的SHA256哈希(hash):

  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • 16493ecc4c4bc5​​746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

 

@原文出處:Massive WannaCry/Wcry Ransomware Attack Hits Various Countries

 

 

 

 

延伸閱讀:

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數