赛门铁克针对勒索软件WannaCry发布全球预警

2017-05-15 10:34:00 作者:ym 分类 : 比特网

  2017年5月12日,全球爆发一种新型比特币勒索病毒家族的攻击,该勒索软件名为Ransom.CryptXXX ( WannaCry)。该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,其中,欧洲用户为重灾区。

  WannaCry勒索软件的特点:

  感染后,WannaCry勒索软件将会加密受害者的数据文件,并要求用户支付约$300比特币的赎金。攻击者表明,如果延迟支付,赎金将会在三天后增加一倍;如果延迟付款一个星期,加密文件将被删除。

说明: C:\Users\NIUXIA~1\AppData\Local\Temp\WeChat Files\641229803577445522.jpg说明: WanaDecrypt0r.jpg

  勒索信息截图(中文) 勒索信息截图(英文)

  不仅如此,攻击者还留下一个文件,文件名为“Plesae Read Me!.txt”(请首先阅读):

说明: 2cry.png

  文中提到,受害者的重要文件已被加密。受害者必须遵守攻击者的指示来解锁文件 —— 根据指示支付$300赎金至特定地点。

  值得注意的是,WannaCry勒索软件加密文件具有以下扩展名,并将.WCRY添加到文件名的结尾:

  Ÿ .lay6

  Ÿ .sqlite3

  Ÿ .sqlitedb

  Ÿ .accdb

  Ÿ .java

  Ÿ .class

  Ÿ .mpeg

  Ÿ .djvu

  Ÿ .tiff

  Ÿ .backup

  Ÿ .vmdk

  Ÿ .sldm

  Ÿ .sldx

  Ÿ .potm

  Ÿ .potx

  Ÿ .ppam

  Ÿ .ppsx

  Ÿ .ppsm

  Ÿ .pptm

  Ÿ .xltm

  Ÿ .xltx

  Ÿ .xlsb

  Ÿ .xlsm

  Ÿ .dotx

  Ÿ .dotm

  Ÿ .docm

  Ÿ .docb

  Ÿ .jpeg

  Ÿ .onetoc2

  Ÿ .vsdx

  Ÿ .pptx

  Ÿ .xlsx

  Ÿ .docx

  该勒索软件利用微软已知SMBv2中的远程代码执行漏洞:MS17-010 来进行传播。

  通过整合技术,使用赛门铁克和诺顿产品的用户可有效抵御WannaCry的攻击。

  病毒:

  Ÿ Ransom.CryptXXX

  Ÿ Trojan.Gen.8!Cloud

  Ÿ Trojan.Gen.2

  Ÿ Ransom.Wannacry

  入侵防御系统:

  Ÿ 21179(OS攻击:Microsoft Windows SMB远程执行代码3)

  Ÿ 23737(攻击:下载的Shellcode活动)

  Ÿ 30018(OS攻击:MSRPC远程管理接口绑定)

  Ÿ 23624(OS攻击:Microsoft Windows SMB远程执行代码2)

  Ÿ 23862(OS攻击:Microsoft Windows SMB远程执行代码)

  Ÿ 30010(OS攻击:Microsoft Windows SMB RCE CVE-2017-0144)

  Ÿ 22534(系统感染:恶意下载活动9)

  Ÿ 23875(OS攻击:微软SMB MS17-010披露尝试)

  Ÿ 29064(系统感染:Ransom.Ransom32活动)

  赛门铁克强烈建议,企业用户应确保安装最新微软安全更新程序,尤其是MS17-010,以防止该攻击的扩散。

  受到影响最大的受害者?

  全球许多组织受到该攻击的影响,其中大多数在欧洲。

  这是否是针对性的攻击?

  不,在现阶段,并不能确认为针对性攻击。

  为什么企业用户面临如此之多的问题?

  通过利用微软已知的安全漏洞,WannaCry在企业网络内采取自传播功能,并且无需用户交互。如果用户没有进行最新的微软安全更新,其计算机或面临感染风险。

  加密文件是否可以恢复?

  目前,解密加密的文件还无法实现,但赛门铁克正在进行调查。针对此次事件,赛门铁克不建议支付赎金。

  抵御勒索软件的最佳实践:

  Ÿ 勒索软件变种会不定期出现,赛门铁克建议用户,始终保持安全软件为最新版本,从而抵御网络攻击。

  Ÿ 保持操作系统和其他软件为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。

  Ÿ 赛门铁克发现,电子邮件是当今主要传染方式之一。用户应警惕未知电子邮件,尤其是包含链接和/或附件的电子邮件。

  Ÿ 用户需要特别谨慎对待那些建议启用宏以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握,否则请立即删除来源不明的电子邮件,并且务必不要启动宏功能。

  Ÿ 备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问,从而向受害者施加压力。如果受害者拥有备份,当感染被清理后,即可恢复文件。对于企业用户而言,备份应当被适当保护,或者存储在离线状态,使攻击者无法删除。

  Ÿ 通过使用服务,帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本,并且允许用户通过“回滚”到未加密的文件。

  赛门铁克的保护:

  针对 Symantec Endpoint Protection 用户:

  Ÿ 对于安装SEP基本防病毒模块的用户,请加装ips和应用程序模块。该模块不会加重系统负载,且能够有效防御新型威胁。

  Ÿ HIPS可以有效屏蔽网络恶意攻击,例如,利用tcp 445 ms2017-010漏洞的入侵。

  Ÿ 通过SEP应用程序控制模块的黑白名单功能,无需依赖病毒库,可直接把可疑程序加入黑名单,并禁止运行。

  Ÿ 通过SEP自带防火墙功能,直接禁止445端口的入站请求,防止扩散。

  Ÿ 更新定义库至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。