亚信安全发布防范WannaCry/Wcry蠕虫勒索病毒

2017-05-13 12:30:00 作者:ym 分类 : 比特网

  2017年5月12日起,全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码, 经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马虚拟货币挖矿机等一系列恶意程序。

  【感染全球的勒索信息提示】

  利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!

  目前,亚信安全已截获WannaCry/Wcry勒索软件,并将其命名为:RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日,亚信安全服务器深度安全防护系统Deep Security 和亚信安全深度威胁发现设备TDA 已发布补丁能够抵御该蠕虫在内网的传播。

  据亚信安全中国病毒响应中心监测:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

  针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,我们目前提出相关产品的应对措施及风险应对方案

  l 亚信安全深度威胁发现设备TDA

  TDA于2017年4月26日已发布检测规则(Rule ID 2383),针对透过微软SMB远程代码执行漏洞CVE-2017-0144(MS17-010)所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。

  TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测,让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端,以实施相对应的响应措施。同时,用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。

  l 亚信安全服务器深度安全防护系统Deep Security

  针对微软远程代码执行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)], Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略,用户只需要对虚拟化系统做一次"建议扫描"操作,就能自动应用该策略,无论是有代理还是无代理模式,都能有效防护该勒索软件。

  l 亚信安全深度威胁安全网关Deep Edge

  Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则(规则名称:微软MS17 010 SMB远程代码执行1-4 规则号:1133635,1133636,1133637,1133638)。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。

  l 亚信安全深度威胁邮件网关DDEI

  针对加密勒索软件攻击,用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击,只需在Web渠道通过IPS或防火墙规则即可拦截,但广大用户切不可掉以轻心,因为还有大量的勒索软件攻击是通过邮件渠道发起的,我们还需要在邮件入口处加以防范,防止勒索软件卷土重来。

  l 亚信安全防毒墙网络版OfficeScan

  针对亚信安全OfficeScan,目前各个版本可以通过更新最新病毒库进行拦截该勒索病毒。同时即将于6月底发布的OfficeScan 12测试版,在使用机器学习引擎不更新病毒库的环境中,已能够成功拦截该勒索软件。机器学习引擎使用人工智能技术,通过海量数据训练而成,可以有效甄别恶意软件特征,不需要等待病毒库,就可以帮助用户有效的拦截各种未知的威胁软件。

  其他防护建议:

  1. 未升级操作系统的处理方式(不推荐,仅能临时缓解):启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。

  2. 升级操作系统的处理方式(推荐):建议广大师生使用自动更新升级到Windows的最新版本。

  教育网安全缓解措施:

  1. 在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;

  2. 在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

  建议加强系统加固:

  1. 及时升级操作系统到最新版本;

  2. 勤做重要文件非本地备份;

  3. 停止使用Windows XP、Windows 2003等微软已不再提供安全更新服务的操作系统。

  亚信安全详解WannaCry/Wcry勒索软件感染流程

  l 利用SMB远程代码执行漏洞感染系统;

  l 在被感染系统中执行恶意文件,并开启服务;

  l 恶意文件执行后,释放真正的勒索软件;

  l 加密系统中的文件,并提示勒索信息;

  l

 【WannaCry/Wcry勒索软件感染流程】

  被加密后的文件扩展名被统一改为“.WNCRY”,勒索软件攻击者索要相当于300美元的比特币赎金。

   此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,亚信安全提醒广大用户提高安全防范意识,做好数据备份策略,采用更加积极主动的工具制定事前、事中、事后的安全策略,才能应对隐藏在网络世界中的不法分子。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。