更新時間:格林威治標準時間 5 月 21 日下午 6:00
什麼是 Wannacry (WCRY) Ransomware?
趨勢科技正在密切關注影響全球多個組織的最新勒索病毒爆發。這種勒索病毒攻擊被稱為 WCRY 或 WannaCry。該勒索病毒利用了最近披露的 Microsoft 漏洞 (MS17-010 – “Eternalblue”) 與 Shadow Brokers 工具版本相關。電腦被感染後,WannaCry 勒索病毒會鎖定並加密 176 種文件類型。WannaCry 目標的一些文件類型是數據庫文件、多媒體和存檔文件,以及 Microsoft Office 文檔。在其支持 27 種語言的勒索文件中,它最初要求受害者提供價值 300 美元的比特幣——這個數額在一定時間限制後會逐漸增加。受害者還可以在受影響的文件被刪除前 7 天。
它是如何感染電腦的?
WannaCry 利用 Microsoft Server Message Block 1.0 (SMBv1) 中的漏洞 CVE-2017-0144 來感染電腦。該安全漏洞是使用 Shadow Brokers 組織洩露的漏洞攻擊,特別是“永恆之藍”漏洞。儘管微軟的安全回應中心 (MSRC) 團隊通過2017 年 3 月發布的 MS17-010 解決了該漏洞,但未更新的電腦很容易受到感染。其蠕蟲般的行為允許 WannaCry 跨網絡傳播,在沒有用戶互動的情況下感染連接的系統。一旦網絡上的一台電腦受到感染,整個網絡就會面臨風險。
我們正在密切監視類似的威脅——例如最近報告的 Uiwix 勒索病毒和 Monero-Mining 惡意軟件——它們似乎正在利用上述相同的漏洞——並不斷用這些新樣本(例如 Ransom_UIWIX.A、TROJ_COINMINER.WN)更新我們的檢測)。請訪問我們新的 新的安全情報部落格 ,了解有關這些新威脅的更多信息。
我需要採取哪些步驟來降低感染風險?
建議最佳作法
- 更新和升級您的系統,或考慮 虛擬修補 解決方案.
- 啟用防火牆以及入侵檢測和預防系統。
- 主動監控和驗證進出網路的流量。
- 為攻擊者可以使用的其他入口點實施安全機制,例如電子郵件和網站。
- 部署 Application Control 和行為監控,以防止可疑檔案執行,從而阻止對系統進行不必要的修改。
- 採用資料分類和網絡分段來減少對檔案資料的進一步暴露和損壞。
- 在易受攻擊的機器上禁用 SMB (v1) - 使用 GPO 或按照 微軟提供的說明。
- 如果可能,請確保所有最新的 Windows Update 修正程式(或使用虛擬修補解決方案)都應用於受影響的作業系統 - 尤其是與 MS17-010 相關的修正程式。
使用趨勢科技產品保護您的網絡
趨勢科技建議在端點、電子郵件和 Gateway 上採用分層安全方法,以確保所有潛在的入口點和入侵點都能夠抵禦這些類型的威脅:
- 更新的配置和下一代技術 - 使用最新版本的 OfficeScan(新名稱 Apex One) 和 Worry-Free Business Security 產品的趨勢科技客戶確保啟用了 Predictive Machine Learning 和所有相關的勒索病毒防護功能。以下文章包含有關幫助防護勒索病毒的建議設定的資訊:https://success.trendmicro.com/solution/1112223
- 本機雲端病毒碼和病毒碼發布: 趨勢科技已將已知病毒和變種加入到使用這些病毒碼的所有產品中:
- 本機雲端病毒碼 - 13.401.00
- 病毒碼 (傳統) - 13.401.00
請注意,這些病毒碼元件是包含針對此威脅的保護的最低版本 - 但是,由於發現了新的病毒和變種,因此客戶必須持續更新最新的病毒碼元件以確保獲得最新的保護。 - 趨勢科技網頁信譽評等 (WRS) 增加了已知的 Command and Control (C&C) 伺服器。
- Trend Micro Deep Security 和 Vulnerability Protection (以前是 OfficeScan 的 IDF 嵌入程式)具有最新 IPS 規則的客戶可對多個 Windows 作業系統套用更新的虛擬修補進行保護,包括一些微軟已經結束支援的作業系統(XP,2000,2003)。趨勢科技發佈了以下 IPS 規則,以提供保護:
- IPS Rules 1008224, 1008228, 1008225, 1008227 - Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
- Trend Micro Deep Discovery Inspector 具有最新規則的客戶可以針對與漏洞相關弱點提供額外的保護。趨勢科技發佈了以下規則:
- DDI Rule 2383: CVE-2017-0144 - Remote Code Execution - SMB (Request)
- Trend Micro TippingPoint 已更新以下 filters 的客戶可提供保護:
- Filters 5614, 27433, 27711, 27935, 27928 - Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
- ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
- Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation
- Trend Micro Endpoint Application Control (EAC) 管理員可利用產品的' "Lockdown" 模式 - 只允許執行預先設定的應用程式 — 也可針對此威脅提供保護。
- Trend Micro Cloud Edge 和 Smart Home Network 可透過以下規則獲得保護:
- Rule 1133615: SMB Microsoft Windows SMB Server SMBv1 CVE-2017-0145 Buffer Overflow (CVE-2017-0145)
- Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
- Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
- Rule 1133637: SMB Microsoft MS17-010 SMB Remote Code Execution -3
- Rule 1133638: SMB Microsoft MS17-010 SMB Remote Code Execution -4
趨勢科技強烈建議在規則發布後儘快套用更新。若有疑問的客戶或合作夥伴,可聯繫趨勢科技技術支援詢問。
用於檢查和預防的工具
趨勢科技還有一些工具可用於評估和處理使用者電腦上的潛在 WCRY 風險和感染。
使用下面提供的工具有任何疑問或問題的客戶可聯繫趨勢科技技術支援以獲得相關說明。
- Trend Micro Anti-Threat Toolkit (ATTK):在端點防護方面遇到問題的客戶可以嘗試下載 ATTK 以掃描可能受到威脅的電腦以搜尋惡意軟體(包括 WCRY)。有線上和離線版本可用。可開啟 這篇文章 查看有關如何使用 ATTK 的其他說明。
- Trend Micro Ransomware Decryptor: 截至 2017 年 5 月 21 日,趨勢科技已為受 WCRY 感染的電腦增加了有限的解密支援。 根據內部測試,在運行 Windows XP (x86) 的受感染系統上觀察到的成功率最高 - 但各別用戶成功率會有所不同。 如需更多說明請開啟文章以取得該工具和詳細說明。
附加資訊
以下是有關此勒索病毒的已知病毒和變種的其他技術資訊:
專家解析
- TrendLabs Security Intelligence Blog: Massive WannaCry/Wcry Ransomware Attack Hits Various Countries
- TrendLabs Security Intelligence Blog: After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit
- Trend Micro SimplySecurity Blog: WannaCry & The Reality of Patching
- Trend Micro SimplySecurity Blog: WannaCry and the Executive Order
- Defense Strategies Blog: Defending against WannaCry/Wcry Ransomware
- Trend Micro Security News: Malware Using Exploits from Shadow Brokers Leak Reportedly in the Wild
技術資訊
- 病毒百科: Ransom_Wana.A
- 病毒百科: Ransom_WCRY.I
- 支援文章: Indicators Showing Interception / Blocking on WCRY (WannaCry) Ransomware
- 支援文章: Latest Trend Micro Protection Against Shadow Brokers Tools (including "Eternalblue")
- Trend Micro Security News:WCRY: What Your IT/SYS Admins Need to Do
第三方資訊
- Microsoft 資訊安全公告 MS17-010 - 重大: Microsoft Windows SMB 伺服器的安全性更新 (4013389)
- MS17-010 公告中未包含針對舊版本作業系統的其他修補程式: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598