檢視次數:

時間線:

在2017/5/12之前趨勢科技尚未採集到這隻勒索病毒相關的任何樣本,這隻病毒也不曾於網路上出現過。然而,此勒索病毒於初期進行傳播時,即使趨勢科技尚未採集到此樣本也尚未製作病毒碼,卻已經可以透過行為偵測(Behavior Monitor)、弱點攻擊特性(Exploit Targeting)以及預測性機器學習(Machine Learning)等技術成功偵測並進行攔阻。您可透過趨勢科技以下產品的Log紀錄檔,發現到WCRY以及類似的勒索病毒,在5/12之前就已經被成功偵測攔截的蛛絲馬跡。

它真的是WCRY/WannaCry嗎?

由於此惡意程式被不同的偵測技術偵測後所顯示的病毒名稱也會有所不同。例如在Log記錄中所看到違反MS17-010弱點偵測的紀錄,很可能就是因為偵測到WCRY的行為所致。(但是就算不是WCRY病毒,其他只要透過MS17-010弱點進行攻擊的惡意手法也會產生相同的違反紀錄。)同樣的,在OfficeScan與Worry-Free系列產品中的預測性機器學習功能所偵測到的Log,也不會顯示為WCRY。您可以透過比對檔案的hash值來確定該檔案是否為WCRY。

趨勢科技產品中WCRY相關的Log紀錄:

OfficeScan 與 Worry-Free 產品

 

功能偵測名稱
在5/12病毒碼更新前有開啟行為監控功能 [OfficeScan 11 SP1 與之後的版本, Worry-Free Services, Worry-Free Standard/Advanced 9.0 SP3之後的版本
未經授權的檔案加密行為 
Unauthorized file encryption
預測性機器學習 (勒索病毒皆顯示為類似格式)
[OfficeScan XG 與Worry-Free Services]
Ransom.Win32.TRX.XXPE
在5/12之後透過病毒碼偵測 [所有產品]
  • Ransom_WANA.A
  • Ransom_WCRY.B
  • Ransom_WCRY.C
  • Ransom_WCRY.H
  • Ransom_WCRY.I
  • Ransom_WCRY.J
  • Ransom_WCRY.K
  • Ransom_WCRY.L
  • Ransom_WCRY.DAM
  • Ransom_WCRY.F117D7
  • Ransom_WCRY.F117DB
  • Ransom_WCRY.F117E8
  • Ransom_WCRY.SM
  • Ransom_WCRY.SM1
  • Ransom_WCRY.SMB
  • WORM_WCRY.A

Deep Security

 

功能規則/病毒碼
相關於MS17-010弱點的IPS rules – 於2017/3/17生效
  • 1008224
  • 1008228
  • 1008225
  • 1008227
Anti-malware detection – 於2017/5/12病毒碼更新後生效
(Same as OfficeScan and 
Worry-Free pattern list above)

Deep Discorvery Inspector

 

功能規則
關於SMB通訊協定遠端執行程式碼
2383

TippingPoint

 

細節過濾
符合右方之一的filters即代表WCRY相關的惡意程式
  • 27433
  • 27928
  • 27711
  • 27928
  • 27929
  • 27937
  • 2176
  • 11403
  • 27935
  • 5614
  • 30623
  • 28304
  • 28305

Cloud Edge

 

細節規則
關於SMB 弱點
  • 1133615
  • 1133635
  • 1133636
  • 1133637
  • 1133638

其他參考: