赛门铁克发布针对WannaCry勒索软件的更新预警

2017-05-17 17:01:00 作者:ym 分类 : 比特网

  赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系:

  · 已知的Lazarus使用工具和WannaCry勒索软件共同出现:赛门铁克发现,Lazarus组织在设备上使用的专有工具同时感染了早期版本的WannaCry,但这些WannaCry的早期变体并没有能力通过SMB传播。Lazarus工具可能被用作传播WannaCry的手段,但这一点还未得到证实。

  · 共享代码:谷歌人员Neel Mehta在博客中声称,Lazarus工具和WannaCry勒索软件之间共享了某些代码。赛门铁克确认该共享代码是一种SSL。这种SSL工具使用了75个特殊序列的密码,至今我们只在Lazarus工具(包括Contopee和Brambul)和WannaCry变体中见到过这种序列。

  虽然以上发现不能表明 Lazarus组织和WannaCry的确切联系,但赛门铁克认为,上述联系足以值得采取进一步调查。随着真相慢慢浮出水面,我们将继续分享更多的调查信息

  自5月12日(星期五)起,一种名为“WannaCry”(Ransom.Wannacry)的恶性勒索软件已在全球范围内攻击了数十万台计算机。该勒索软件比其他类型的勒索软件更加危险,这是由于该勒索软件能够利用Windows计算机的严重漏洞,自行在企业机构的网络中进行传播。微软公司在2017年3月发布了该漏洞的补丁程序(MS17-010)。今年4月,一个名为“Shadow Brokers”的黑客组织泄露了一系列文件,其中,被称为“永恒之蓝”的漏洞被发布至网络,黑客组织曾声称盗取了Equation 网络间谍团伙的相关数据

  我是否受到保护,抵御WannaCry勒索软件的攻击?

  赛门铁克端点安全解决方案(Symantec Endpoint Protection,SEP)和诺顿软件能够主动阻挡任何试图利用该漏洞的行为,这意味着,在WannaCry首次出现前,用户 就已经得到了全面的保护。

  Blue Coat全球情报网络(GIN)可对所有授权产品进行自动检测,侦测所有基于网络的感染尝试意图。

  赛门铁克和诺顿产品结合多种技术,自动保护用户抵御WannaCry的攻击。

  主动保护由以下技术提供:

  · IPS网络保护

  · SONAR行为检测技术

  · 先进的机器学习技术

  · 智能威胁云

  通过启用上述技术,用户将获取全部自动保护功能。赛门铁克建议SEP用户将软件版本更新至SEP 14,以获得机器学习签名技术所提供的主动保护功能。

  基于网络的保护

  为了阻挡攻击者对MS17-010漏洞的尝试攻击,赛门铁克还采取了以下IPS保护措施:

  · 操作系统攻击:微软SMB MS17-010 披露尝试(2017年5月2日发布)

  · 攻击:壳代码下载活动(2017年4月24日发布)

  SONAR行为检测技术

  · SONAR.AM.E.!g18

  · SONAR.AM.E!g11

  · SONAR.Cryptlk!g1

  · SONAR.Cryptlocker!g59

  · SONAR.Cryptlocker!g60

  · SONAR.Cryptlocker!g80

  · SONAR.Heuristic.159

  · SONAR.Heur.Dropper

  · SONAR.Heur.RGC!g151

  · SONAR.Heur.RGC.CM!g13

  · SONAR.Heuristic.158

  · SONAR.Heuristic.161

  · SONAR.SuspDataRun

  · SONAR.SuspLaunch!g11

  · SONAR.SuspLaunch!gen4

  · SONAR.TCP!gen1

  智能机器学习技术

  · Heur.AdvML.A

  · Heur.AdvML.B

  · Heur.AdvML.D

  反病毒

  为了拓展保护和识别能力,以下反病毒签名已更新完毕:

  · Ransom.Wannacry

  · Ransom.CryptXXX

  · Trojan.Gen.8!Cloud

  · Trojan.Gen.2

  赛门铁克建议用户运行LiveUpdate,并检查软件是否为以下版本或更新版本,确保拥有最新的保护:

  · 20170512.009

  以下IPS 签名也能阻挡Ransom.Wannacry的相关活动:

  · System Infected: Ransom.Ransom32 Activity

  企业机构应该确保安装最新的Windows安全更新程序,尤其是MS17-010,防止该恶意软件的传播。

  勒索软件WannaCry是什么?

  WannaCry能够搜索并解密176种不同文件,并在文件名后附加 .WCRY。该勒索软件要求受害者以比特币支付300美元的赎金。勒索信息中指出,如果延迟支付,赎金将会在3天后增加一倍;如果延迟支付7天,加密文件将被删除。

  我是否能够恢复加密文件?或者,我应该支付赎金?

  现在,还无法对加密文件进行解密。如果受害者拥有备份,便可以通过备份来恢复被感染的文件。赛门铁克不建议受害者支付赎金。

  在一些情况下,文件不通过备份也可得到恢复。保存在“桌面”、“我的文档”或可移动驱动器的文件若被加密,并且原始文件遭到清除——这些文件将无法恢复。保存在计算机其他位置的文件若被加密,并且原始文件遭到简单删除——这些文件可使用数据恢复工具进行恢复。

  WannaCry何时出现?传播速度如何?

  WannaCry首次出现于5月12日(星期五)。赛门铁克发现,在当天8:00左右(格林威治时间)试图对Windows漏洞进行攻击的次数激增。在周六和周日,赛门铁克阻挡的试图对Windows漏洞进行攻击的次数略有下降,但仍然保持高位。

说明: WannaCry virus attack, hourly exploit attempts.png

  图.1 赛门铁克每小时阻挡WannaCry试图对Windows漏洞进行攻击的次数

说明: WannaCry virus attack, daily exploit attempts.png

  图.2 赛门铁克每天阻挡WannaCry试图对Windows漏洞进行攻击的次数

  图3.赛门铁克于5月11日至15日检测到WannaCry的热度图

  受到影响的人群?

  任何未下载最新补丁的Windows计算机都有可能受到WannaCry的影响。由于这种病毒可在网络中快速传播,因此企业机构面临更高的风险。全球范围内已有很多企业机构遭受该恶意软件的攻击,欧洲为重灾区。同样,个人计算机也有可能受到感染。

  这是否是一次针对性攻击?

  不,在现阶段,我们不认为这是一次针对性攻击。勒索软件活动通常选择任意目标。

  为什么WannaCry给众多企业机构带来如此多的麻烦?

  WannaCry能够利用微软Windows中的已知漏洞,即使在没有用户互动的情况下,仍旧可以在公司网络中自行传播。计算机若未安装最新的Windows安全更新程序,则将面临感染的风险。

  WannaCry如何进行传播?

  虽然WannaCry可利用漏洞自行在企业机构的网络中进行传播,但感染方式,即第一台受到感染的计算机的受感染方式——仍未得到证实。赛门铁克发现,一些恶意网站托管WannaCry,但看起来只是模仿性攻击,与最初的攻击毫无关联。

  是否已经有很多受害者支付了赎金?

  对勒索者提供的三个比特币网站进行分析后,赛门铁克发现,在写这篇博文时,受害者在207 次单独交易中共支付了31.21比特币(53,845美元)。

  抵御勒索软件的最佳实践:

  Ÿ 勒索软件变种会不定期出现,赛门铁克建议用户,始终保持安全软件为最新版本,从而抵御网络攻击。

  Ÿ 保持操作系统和其他软件为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。

  Ÿ 赛门铁克发现,电子邮件是当今主要传染方式之一。用户应警惕未知电子邮件,尤其是包含链接和/或附件的电子邮件。

  Ÿ 用户需要特别谨慎对待那些建议启用宏以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握,否则请立即删除来源不明的电子邮件,并且务必不要启动宏功能。

  Ÿ 备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问,从而向受害者施加压力。如果受害者拥有备份,当感染被清理后,即可恢复文件。对于企业用户而言,备份应当被适当保护,或者存储在离线状态,使攻击者无法删除。

  Ÿ 通过使用服务,帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本,并且允许用户通过“回滚”到未加密的文件。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。