Wana Decrypt0r WanaCrypt0r WannaCrypt WannaCry Wcry Worm 勒索軟體 蠕蟲

WannaCry蠕蟲勒索全球 資安專家嚴密追蹤

2017-05-17
為台灣消費端與企業端皆帶來恐慌的WannaCry(又稱為WCry、WanaCrypt0r、WannaCrypt或Wana Decrypt0r)勒索軟體,自5月12日發作當下,<a href="https://www.fortinet.com/fortiguard/threat-intelligence/threat-research.html" target="_blank">FortiGuard Labs</a>研究團隊便已開始追蹤散播途徑與變種狀態。
FortiGuard Labs研究團隊從中發現,WannaCry不僅毒性強且具有自我複製能力,影響所及包含俄羅斯內政部、中國地區大學、匈牙利和西班牙電訊商,以及由英國國家衛生服務機構管理的醫院和診所等大型組織。更特別的是,WannaCry勒索軟體所設計的贖金要求操作介面,可支援多達二十多種語言。

WannaCry勒索軟體的出現,主要是透過美國國家安全局代號「Eternal Blue(永恆之藍)」工具的漏洞所傳播。該漏洞由駭客組織Shadow Brokers(影子掮客)上月於網上披露,利用Microsoft Server Message Block 1.0(SMBv1)協定中的弱點來進行攻擊。

受影響的Microsoft產品包括:
‧Windows Vista ?
‧Windows Server 2008?
‧Windows 7?
‧Windows Server 2008 R2?
‧Windows 8.1?
‧Windows Server 2012及Windows Server 2012 R2?
‧Windows RT 8.1?
‧Windows 10?
‧Windows Server 2016?
‧Windows Server Core安裝選項

其實微軟在3月份發布的安全公告MS17-010中,已針對此漏洞提出更新程式。同樣在3月份,Fortinet也發布入侵防禦系統特徵(IPS Signature),可檢測和阻止該漏洞的攻擊行為,緊接著於日前發布了新防毒特徵(AntiVirus Signature),用以檢測與抵禦勒索軟體執行。第三方的測試單位也證實了Fortinet Anti-Virus與FortiSandbox能有效地阻止該惡意軟體。

不論是否遭到WannaCry勒索感染,皆務必須要嚴加防範蠕蟲的後續威力。Fortinet資深安全專家Aamir Lakhani強烈建議所有客戶須確實執行下列步驟:?
‧於網路所有受影響的節點安裝Microsoft發布的更新程式。?
‧確保Fortinet防毒和IPS檢測,以及網路過濾引擎都已啟用,藉此攔阻惡意軟體下載行為,並確保網路過濾能阻斷回呼命令和控制(C&C)伺服器的連線行為。?
‧將UDP連接埠137/138、TCP連接埠139/445隔離。

此外,Aamir Lakhani亦建議用戶和企業組織採取以下預防措施:?
‧建立常規程序來為所有裝置的作業系統、軟體和韌體安裝更新程式。擁有大量裝置的組織可考慮採用集中的更新程式管理系統。?
‧部署入侵防禦系統、防毒措施、網路過濾技術,並隨時保持更新。?
‧定期備份資料之餘,亦要驗證其完整性並予以加密;測試復原備份過程,以確保其可用性。
‧掃描所有收發郵件來檢測威脅,並為最終用戶過濾附加檔。
‧設定防毒與反惡意軟體定期自動執行掃描。?
‧停用經郵件傳輸的文件巨集碼(Macro scripts),可考慮改用Office Viewer等工具預覽Microsoft Office附件,而不用Office套件的應用程式直接開啟檔案。
‧建立業務持續性計劃和資安事件因應策略,並定期執行漏洞評估。

針對已受到勒索軟體影響的組織,Aamir Lakhani建議:?
‧立即從網路中刪除受感染的裝置,防止勒索軟體進一步擴展到網路或其他共享裝置。?
‧若從網路層發現已遭受感染,請立即截斷所有連接裝置。?
‧若裝置受到感染但資料並未完全損壞,馬上執行關機,可能還有機會清理和恢復資料,控制損害程度並防止情況惡化。?
‧把備份資料儲存於離線模式。檢測到病毒時應立即切斷備份系統連接,並加以掃描來確保備份檔案中沒有惡意軟體。?
‧立即聯繫執法機關回報任何勒索軟體案件,並請求協助。

Fortinet分享IPS和防毒特徵詳細資訊

‧入侵防禦系統特徵:?
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution?
‧防毒特徵:
W32/Filecoder_WannaCryptor.B!tr?
W32/WannaCryptor.B!tr?
W32/Generic.AC.3EE509!tr?
W32/GenKryptik.1C25!tr?
‧CVE安全漏洞資料庫:?
2017-0143 thru 2017-0148

▲針對WannaCry勒索軟體全球肆虐,Fortinet資深安全專家Aamir Lakhani強烈建議,盡快安裝微軟MS17-010修補漏洞,同時更新IPS與防毒特徵碼。

追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!