面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?

WannaCry 勒索病毒竟有個「關閉開關」,可讓該病毒就算已經進入電腦也不會執行?!

IT 系統管理員針對三種不同情況該採取什麼步驟:

o  電腦處於睡眠模式

o  電腦已被「喚醒」

o  惡意檔案或元件已進入系統當中

WannaCry(想哭)勒索病毒/勒索蠕蟲 的疫情或許哀鴻遍野,但仍有一絲曙光:勒索病毒當中有一個「關閉開關」可讓該病毒就算已經進入電腦也不會執行。

若上週末 WannaCry 病毒肆虐時,您的電腦正處於睡眠狀態,那麼您的電腦有很大的機會可以躲過 WannaCry 這次的災情。但萬一您的電腦已經醒來呢?簡單來說,您還是有機會避免勒索病毒加密您的檔案。其實,這是 IT 系統管理員和資安人員修補、更新系統的大好機會,既能防止 WannaCry,又能防範未來可能出現的類似威脅。

您可採取以下步驟來檢查您的系統和網路是否在週末期間遭到該病毒攻擊。

[延伸閱讀: 趨勢科技最新的 WannaCry 防護更新]

原本處於睡眠狀態的電腦不會被感染,因此立刻修補漏洞就能防範。

根據趨勢科技的模擬分析,WannaCry 勒索病毒無法攻擊正處於睡眠狀態的電腦,就算其 TCP 連接埠 445 已開放且系統漏洞仍未修補也不會有事。

WannaCry 勒索病毒在感染及散布過程當中必須連上其攻擊的電腦。因此,如果電腦正處於睡眠狀態,病毒就無法連上電腦。此時,病毒會繼續嘗試下一個 IP 位址,看看能不能連上其他電腦。

換句話說,IT 系統管理員可趁機趕快修補 WannaCry 所攻擊的漏洞,就能盡量遏止感染。

[資安部落格文章: WannaCry/Wcry 勒索病毒技術層面分析]

當電腦「醒來」的時候會發生什麼事?

WannaCry(想哭)勒索病毒/勒索蠕蟲 在發動第一次攻擊時就會掃瞄區域網路 (LAN) 上的電腦並查出區域網路上所有電腦的 IP 位址。因此,如果 WannaCry 在其肆虐的期間已經入侵了某個區域網路,那麼它已經掌握了所有電腦的 IP 位址,但如果某台電腦正處於睡眠狀態,那麼病毒會跳過該電腦。所以,當使用者喚醒電腦時,就算其網路已經遭到入侵,也不會被感染。所以,這是 IT 系統管理員修補系統漏洞的大好時機。

不過,如果已經被感染的電腦重新開機,就會再度觸發病毒對區域網路進行掃瞄。所幸,WannaCry 內部有個「關閉開關」。WannaCry 在感染過程當中會先發送一個請求到某個網址或網域來看看是否連得上。如果發現該網址連得上,它就會啟動這個「關閉開關」,讓 WannaCry 的動作停止,不再繼續執行散布或加密的動作。因此,就算被感染的電腦重新開機,只要這個開關還在作用,WannaCry 就不會執行。

不過,沒有人能保證這開關會作用到甚麼時候。這是個契機,也是個危機。此時 IT 系統管理員該做的是立即修補、更新系統。

[延伸閱讀:WannaCry/Wcry勒索病毒疫發不可收拾,企業預防史上第一勒索蠕蟲的七個方法]

若電腦已經感染了 WannaCry 該怎麼辦?

但萬一電腦已經感染了呢?如果電腦已經被植入了 WannaCry 的「mssecvc.exe」元件,前述的「關閉開關」還是可以防止它在系統上進一步植入用來加密檔案的元件。 因此,IT 系統管理員或資安人員還是可以採取必要的步驟來加以防範,也就是立即更新、修補系統。

[延伸閱讀:60 天前就已修正的問題,怎麼會還會肆虐全球呢?「為何不修補就好?」事情沒您想像的簡單!]

修補系統並養成良好習慣

WannaCry 勒索病毒突顯出定期更新、修補系統的重要性。像 WannaCry 這樣的威脅利用的是系統的安全漏洞來入侵企業網路。因此在廠商釋出修補程式之前,會有一段空窗期。您的系統處於未修補狀態越久,就越有機會被感染。企業必須在維持營運與維護系統安全之間求取平衡。

其實,對許多企業來說,防範駭客永遠都是一場和時間的賽跑。不過,一套縱深防禦策略再加上主動式資安防護,以及嚴格的 IT 政策和良好的資安文化,都有助於防範 WannaCry 這類的威脅。

趨勢科技勒索病毒解決方案

企業應採取多層式的防禦來降低勒索病毒的威脅。

趨勢科技的Deep Discovery Email InspectorInterScan™ Web Security  這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。在端點裝置方面,有趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 提供的高準度機器學習、行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊。在網路方面,有趨勢科技的Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒。至於 趨勢科技Deep Security 則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。

對於中小企業,趨勢科技的Worry-Free Services Advanced提供了 Hosted Email Security 雲端式電子郵件閘道防護。其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。

在一般使用者方面,趨勢科技PC-cillin2017雲端版可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。

原文出處:WannaCry/Wcry Ransomware: What Your IT/Sysadmins Need to Do