我需要採取哪些步驟來降低感染風險？

建議最佳作法

• 更新和升級您的系統，或考慮 虛擬修補 解決方案.
• 啟用防火牆以及入侵檢測和預防系統。
• 主動監控和驗證進出網路的流量。
• 為攻擊者可以使用的其他入口點實施安全機制，例如電子郵件和網站。
• 部署 Application Control 和行為監控，以防止可疑檔案執行，從而阻止對系統進行不必要的修改。
• 採用資料分類和網絡分段來減少對檔案資料的進一步暴露和損壞。
• 在易受攻擊的機器上禁用 SMB (v1) - 使用 GPO 或按照 微軟提供的說明。
• 如果可能，請確保所有最新的 Windows Update 修正程式（或使用虛擬修補解決方案）都應用於受影響的作業系統 - 尤其是與 MS17-010 相關的修正程式。

使用趨勢科技產品保護您的網絡

趨勢科技建議在端點、電子郵件和 Gateway 上採用分層安全方法，以確保所有潛在的入口點和入侵點都能夠抵禦這些類型的威脅：

• 更新的配置和下一代技術 - 使用最新版本的 OfficeScan(新名稱 Apex One) 和 Worry-Free Business Security 產品的趨勢科技客戶確保啟用了 Predictive Machine Learning 和所有相關的勒索病毒防護功能。以下文章包含有關幫助防護勒索病毒的建議設定的資訊：https://success.trendmicro.com/solution/1112223
• 本機雲端病毒碼和病毒碼發布： 趨勢科技已將已知病毒和變種加入到使用這些病毒碼的所有產品中：
  • 本機雲端病毒碼 - 13.401.00
  • 病毒碼 (傳統) - 13.401.00
   

  請注意，這些病毒碼元件是包含針對此威脅的保護的最低版本 - 但是，由於發現了新的病毒和變種，因此客戶必須持續更新最新的病毒碼元件以確保獲得最新的保護。
• 趨勢科技網頁信譽評等 (WRS) 增加了已知的 Command and Control (C&C) 伺服器。
• Trend Micro Deep Security 和 Vulnerability Protection （以前是 OfficeScan 的 IDF 嵌入程式）具有最新 IPS 規則的客戶可對多個 Windows 作業系統套用更新的虛擬修補進行保護，包括一些微軟已經結束支援的作業系統（XP，2000，2003）。趨勢科技發佈了以下 IPS 規則，以提供保護：
  • IPS Rules 1008224, 1008228, 1008225, 1008227 - Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
• Trend Micro Deep Discovery Inspector 具有最新規則的客戶可以針對與漏洞相關弱點提供額外的保護。趨勢科技發佈了以下規則：
  • DDI Rule 2383: CVE-2017-0144 - Remote Code Execution - SMB (Request)
• Trend Micro TippingPoint 已更新以下 filters 的客戶可提供保護：
  • Filters 5614, 27433, 27711, 27935, 27928 - Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
  • ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
  • Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation
• Trend Micro Endpoint Application Control (EAC) 管理員可利用產品的' "Lockdown" 模式 - 只允許執行預先設定的應用程式 — 也可針對此威脅提供保護。
• Trend Micro Cloud Edge 和 Smart Home Network 可透過以下規則獲得保護：
  • Rule 1133615: SMB Microsoft Windows SMB Server SMBv1 CVE-2017-0145 Buffer Overflow (CVE-2017-0145)
  • Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
  • Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
  • Rule 1133637: SMB Microsoft MS17-010 SMB Remote Code Execution -3
  • Rule 1133638: SMB Microsoft MS17-010 SMB Remote Code Execution -4

趨勢科技強烈建議在規則發布後儘快套用更新。若有疑問的客戶或合作夥伴，可聯繫趨勢科技技術支援詢問。

用於檢查和預防的工具

趨勢科技還有一些工具可用於評估和處理使用者電腦上的潛在 WCRY 風險和感染。

使用下面提供的工具有任何疑問或問題的客戶可聯繫趨勢科技技術支援以獲得相關說明。

• Trend Micro Anti-Threat Toolkit (ATTK)：在端點防護方面遇到問題的客戶可以嘗試下載 ATTK 以掃描可能受到威脅的電腦以搜尋惡意軟體（包括 WCRY）。有線上和離線版本可用。可開啟 這篇文章 查看有關如何使用 ATTK 的其他說明。
• Trend Micro Ransomware Decryptor:  截至 2017 年 5 月 21 日，趨勢科技已為受 WCRY 感染的電腦增加了有限的解密支援。  根據內部測試，在運行 Windows XP (x86) 的受感染系統上觀察到的成功率最高 - 但各別用戶成功率會有所不同。  如需更多說明請開啟文章以取得該工具和詳細說明。

附加資訊

以下是有關此勒索病毒的已知病毒和變種的其他技術資訊： 

專家解析

• TrendLabs Security Intelligence Blog: Massive WannaCry/Wcry Ransomware Attack Hits Various Countries
• TrendLabs Security Intelligence Blog: After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit
• Trend Micro SimplySecurity Blog: WannaCry & The Reality of Patching
• Trend Micro SimplySecurity Blog: WannaCry and the Executive Order
• Defense Strategies Blog: Defending against WannaCry/Wcry Ransomware
• Trend Micro Security News:  Malware Using Exploits from Shadow Brokers Leak Reportedly in the Wild

技術資訊

• 病毒百科： Ransom_Wana.A
• 病毒百科： Ransom_WCRY.I
• 支援文章：  Indicators Showing Interception / Blocking on WCRY (WannaCry) Ransomware
• 支援文章： Latest Trend Micro Protection Against Shadow Brokers Tools (including "Eternalblue")
• Trend Micro Security News：WCRY: What Your IT/SYS Admins Need to Do

第三方資訊

• Microsoft 資訊安全公告 MS17-010 - 重大： Microsoft Windows SMB 伺服器的安全性更新 (4013389)
• MS17-010 公告中未包含針對舊版本作業系統的其他修補程式： http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598