WannaCry 勒索病毒預警

WannaCry 勒索軟體於 2017 年 5 月橫掃全球。瞭解此勒索軟體的攻擊如何蔓延，以及如何保護您的網路以避免類似的攻擊。

更新時間：2017 年 5 月 15 日格林威治標準時間 23:24:21：

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯：

• 已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生：賽門鐵克在已感染早期版本 WannaCry 的電腦上，發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法，但尚未證實。
• 共用的程式碼：Google 的 Neel Mehta 在發佈的推文中表示，已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼，目前為止只有在 Lazarus 工具 (包括 Contopee 與 Brambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯，當我們認為其相關性有必要進一步調查。如有任何進展，我們將持續分享研究結果。

自 5 月 12 日週五起，一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險，因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦，將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中，最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞，該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊？

透過結合多項技術，可自動保護免於遭受 WannaCry 病毒的攻擊。

主動保護由以下技術提供：

• IPS 網路保護
• SONAR 行為偵測技術
• 先進機器學習
• 智慧威脅雲端

網路保護
賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為：

• 作業系統攻擊：Microsoft SMB MS17-010 入侵嘗試 (2017 年 5 月 2 日發佈)
• 攻擊：Shellcode 下載活動 (2017 年 4 月 24 日發佈)

SONAR 行為偵測技術

• SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1

Sapient 機器學習

• Heur.AdvML.A
• Heur.AdvML.B
• Heur.AdvML.D

防毒

為擴大保護與識別的目的，已更新以下防毒識別碼：

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry!gen1
• Ransom.Wannacry!gen2
• Ransom.Wannacry!gen3

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本，以確保擁有最新的保護：

• 20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動：

• 系統感染：Ransom.Ransom32 Activity

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散，特別是 MS17-010。

什麼是 WannaCry 勒索軟體？

WannaCry 會搜尋並加密 176 種檔案類型，然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示，贖款金額在三天後將加倍。若未在 7 天內支付贖金，將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎？或者我應該支付贖金？

目前尚無法將加密檔案解密。如果被感染的檔案有備份，您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下，沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密，原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密，而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry 是何時出現的？其散播速度有多快？

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始，WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降，但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry，5 月 11 日至 5 月 15 日

誰會受到影響？

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高，因為它能透過網路散播，而且全球已有多家企業組織遭到感染，其中大多位於歐洲。但是，個人也可能受到感染。

這是鎖定目標的攻擊嗎？

不是，目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題？

WannaCry 利用已知的 Microsoft Windows 安全漏洞，無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播？

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播，但是一開始的感染方式，也就是企業組織中第一台電腦遭到感染的方式，仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例，但這顯然是模仿的攻擊行為，與原始攻擊事件無關。

是否已有許多人支付贖金？

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示，在撰寫本文時，已有 207 筆獨立交易，總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼？

• 新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
• 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
• 賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
• 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
• 備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
• 使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

文章來源: https://goo.gl/dDfEMb

圖片來源: