一波前所未有的勒索病毒12日起陸續席捲了全球各產業的組織。罪魁禍首就是「WannaCry/WCry(想哭) 勒索病毒」(趨勢科技偵測為RANSOM_WANA.A和RANSOM_WCRY.I)。WannaCry/WCry在短期內成為擴散最廣的勒索病毒,影響了全球各地眾多的組織,一些受影響企業不得不將IT基礎設施離線,醫療產業的受害者面臨了運作延誤,被迫將病患轉院直到可以正常運作。
台灣、中東、日本和數個亞太地區(APAC)國家也都顯示出大量的感染。WannaCry 勒索病毒感染影響了各個產業,包括了醫療保健、製造業、能源(石油和天然氣)、科技、食品和飲料、教育、媒體和通訊以及政府。
趨勢科技從 WannaCry在2017年四月出現以來就一直在追蹤它。趨勢科技的採用 XGen安全防護能夠透過行為分析和高保真機器學習等技術來保護使用者對抗此次攻擊或其他威脅。以下是使用者和企業需要對這一波大規模擴散威脅的了解,以及該如何來加以防禦。
發生了什麼事?
首先是歐洲的數家企業回報了自己的重要 Windows系統被鎖住並顯示了勒贖通知。接著全球各地都迅速傳出災情,外電報導有近百國傳出疫情,台灣也被外電列為重災區。
誰受到影響?
這一波 WannaCry 勒索病毒攻擊了舊 Windows系統,造成了顯著的破壞。根據趨勢科技的初步估算,在歐洲出現了最多的 WannaCry 勒索病毒偵測。中東、日本和數個亞太地區(APAC)國家也都顯示出大量的感染。
WannaCry感染影響了各個產業,包括了醫療保健、製造業、能源(石油和天然氣)、科技、食品和飲料、教育、媒體和通訊以及政府。因為這波攻擊活動的普遍性,看似並沒有針對特定受害人或產業。
[延伸閱讀:WannaCry/Wcry勒索病毒的技術概述]
WannaCry勒索病毒做了什麼?
WannaCry無需使用者互動就可感染連接的系統。只需要網路內一個使用者受到感染就會讓整個網路陷入危險。
WannaCry勒索病毒會加密176種檔案類型。WannaCry所針對的檔案類型有資料庫、多媒體和壓縮檔,還包括了Office文件等檔案類型。它的勒贖通知支援了27種語言,它最初對受害者要求的贖金是價值300美元的比特幣 – 這金額會在超過特定時限後增加。同時也給了受害者七天時限,不然就會刪除受影響檔案,這是常見的恐慌戰術。
WannaCry利用CVE-2017-0144(伺服器訊息區塊SMB的一個漏洞)來感染系統。使用Shadow Brokers駭客集團所外洩的漏洞攻擊碼 – 「EternalBlue」。微軟安全性回應中心(MSRC)團隊經由2017年三月所發布的MS17-010來解決這個漏洞。
讓WannaCry可以造成如此大的影響是因為它的散播能力。它類似網路蠕蟲的行為讓WannaCry可以跨網路散播,無需使用者互動就可感染連接的系統。只需要網路內一個使用者受到感染就會讓整個網路陷入危險。WannaCry的散播能力讓人聯想起勒索病毒家族如SAMSAM、HDDCryptor和CERBER的數個變種,這些都可以感染連接到網路的系統和伺服器。
[延伸閱讀:Shadow Brokers外洩駭客工具:它對企業來說代表什麼]
企業防禦 WannaCry的七個方法
WannaCry 凸顯出勒索病毒對現實生活的影響:無法運作的系統,營運中斷,商譽影響,還有因為無法正常運作所造成的財務損失,更不用說事件回應和清理的成本。
[資料圖表:對抗勒索病毒的多層次防禦] 這裡有一些企業可以採用並實施的解決方案和最佳實作,可以保護系統對抗像 WannaCry 這樣的威脅:
- 這波勒索病毒攻擊SMB伺服器的漏洞。安裝修補程式是防禦漏洞攻擊的關鍵。這次攻擊的Windows系統修補程式已經提供,包括微軟本已不再支援的版本。如果企業不能直接更新修補程式,可以利用虛擬修補技術來協助解決威脅
- 部署防火牆、偵測和入侵防禦系統有助於減少這類威脅的蔓延。可以主動監測網路攻擊的安全系統也有助於阻止這些威脅
- 除了利用漏洞攻擊來進行散播,WannaCry據報還會用垃圾郵件作為進入點。能夠識別社交工程垃圾郵件特徵有助於防止系統遭受攻擊。IT和系統管理員應該部署安全機制來保護端點免於電子郵件惡意軟體所害
- WannaCry會植入數個惡意組件到系統內進行加密程序。應用程式控制可以用白名單技術來防止潛在有害軟體和未知應用程式執行。行為監控可以阻止對系統的異常修改。勒索病毒使用多種技術來感染系統;防禦的一方也該如此來保護自己的系統
- WannaCry加密儲存在本地端和網路上的檔案。實施資料分類可以在發生資料外洩或其他攻擊時減輕危害範圍,在關鍵資料暴露時加以保護,
- 網路區段也有助於防止這類威脅在內部蔓延。好的網路設計可以協助阻止這類感染蔓延,減少對組織的影響
- 停用系統上不需要的SMB協定。執行不必要的服務提供了攻擊者更多管道來找到可攻擊的漏洞
趨勢科技的XGen安全防護可以在WannaCry勒索病毒所有的感染階段加以偵測和封鎖
趨勢科技勒索病毒解決方案
企業:
企業可以利用多層次防禦來解決像勒索病毒這類的威脅風險。
電子郵件和網頁閘道解決方案(如趨勢科技的Deep Discovery Email Inspector和InterScan Web Security)可以阻止勒索病毒抵達使用者的電腦。在端點層級,趨勢科技的 Smart Protection Suites 提供高保真機器學習、行為監控、應用程式控制和漏洞防護等多種功能來最小化此威脅所造成的影響。趨勢科技的Deep Discovery Inspector能夠在網路層偵測並封鎖勒索病毒,同時趨勢科技Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或是雲端。
對於中小企業,趨勢科技的Worry-Free Services Advanced透過Hosted Email Security來提供使用雲端技術的電子郵件閘道安全防護。它的端點防護也提供了如行為監控和即時網頁信譽評比技術等多項功能來偵測和封鎖勒索病毒。
除了透過產品的防護,面對不斷更新變化的勒索病毒,增加員工資安意識也是企業可以降低風險的方式。趨勢科技推出 SaaS 社交工程演練服務 Phish Insight,透過真實且安全的網路釣魚模擬,協助企業在駭客發動社交工程攻擊之前,就先做好預防的準備。
< 同場加映>家庭用戶防禦方法:
對於家庭用戶。趨勢科技PC-cillin雲端版提供強大的防護來對抗勒索病毒,能夠封鎖與此威脅相關的惡意網站、電子郵件和檔案。
這個勒索病毒是透過微軟漏洞攻擊,請大家將微軟的安全性弱點:MS17-010 – Eternalblue。立馬修補起來,且最新 PC-cillin 2017已經可以禦防該勒索病毒攻擊,請大家可升級安裝PC-cillin 2017使用。
目前平板手機不受此勒索病毒影響。但仍建議您安裝手機上的安全軟體,防範勝於治療!!(很重要,請筆記)
使用者也可以利用我們的免費工具,像是趨勢科技的螢幕鎖定勒索病毒移除工具可以偵測和移除螢幕鎖定勒索病毒;還有趨勢科技加密勒索病毒檔案解密工具,可以解密特定加密勒索病毒所加密的檔案而無須支付贖金或使用解密金鑰。
想要更加深入趨勢科技Deep Security、Vulnerability Protection、TippingPoint和Deep Discovery Inspector等產品所帶來的偵測和解決方案,請參考此技術支援頁面。
@原文出處:WannaCry/Wcry Ransomware: How to Defend against It
《延伸閱讀》
- 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,必學五大絕招,拒當資安人質!
- 如何避免成為WannaCry/Wcry勒索蠕蟲的受災戶?(內含關閉445通訊埠之參考步驟)
- WannaCry/Wcry 勒索蠕蟲入侵,全球氾濫!趨勢科技提供用戶預防機制
- 【勒索病毒警訊 】解析 WannaCry/Wcry “想哭”勒索病毒,感染流程與預防方法
近來勒索病毒驚傳變種,透過更多新型手法勒索您的檔案並要求支付高額贖金換取解密金鑰!
PC-cillin 2017勒索剋星可防範 WannaCry/Wcry勒索病毒,保護珍貴檔案,防止電腦被綁架,快為您的電腦做好防護!
-
防範勒索病毒 WannaCry/Wcry,PC-cillin 用戶請免費升級至 PC-cillin 2017:
-
防範勒索病毒 WannaCry/Wcry,非PC-cillin 用戶即刻免費下載