檢視次數:

可採取哪些步驟降低感染此病毒的風險?

 

您可參考以下最佳做法:

  • 更新/修補您的作業系統。或是考慮使用virtual patching 虛擬補丁方案。
  • 使用防火牆/IDS/IPS等安全防護系統。
  • 持續監控環境中進出的網路流量及其來源目的。
  • 針對可能的病毒攻擊管道建立防護機制,例如電子郵件掃描、網頁瀏覽過濾及掃瞄等。
  • 架構Application Control系統以防止可疑的程式被執行,並透過行為監控(Behavior Monitor)機制防範系統遭到惡意竄改。
  • 利用網段切割的架構與資料分類管理以降低受駭後資料損失的風險。
  • 透過GPO或參考微軟官方說明以停用SMB (v1).
  • 確認所有可能受影響的系統中都已經安裝最新的補丁(或透過虛擬補丁技術)及安全性修正。特別是關於 MS17-010.弱點的修正。

透過趨勢科技產品進行防護

 

我們建議用戶可根據端點電腦、郵件閘道、伺服器、HTTP閘道、內部網路等採用多層次防護,以確保有效防禦各個潛在入侵點。在此基準上,趨勢科技產品針對此類威脅已具備的防護能力,茲分述如下:

  • Smart Scan Agent Pattern and Official Pattern Release:請確認產品中病毒碼更新至以下(或之後)的版本:
    • Smart Scan Pattern (TBL) - 17356.008.96 釋出於6/27 @ 4PM (GMT) 偵測名稱 Ransom_PETYA.TH627
    • Smart Scan Agent Pattern and Official Pattern Release (conventional) - 13.499.00 偵測名稱 Ransom_PETYA.TH627 以及 Ransom_PETYA.SMA.

 

請注意,由於此類病毒隨時有可能出現新型的變種,所以持續保持病毒碼更新是防堵此病毒爆發的最低基本要求。同時,請確認掃描引擎為9.8x之後的版本。

  • 趨勢科技 Deep Security 與 Vulnerability Protection已釋出了防堵此漏洞的規則更新。建議客戶儘快下載並套用至最新的規則更新
    • Rules 1008224, 1008228, 1008225,1008285與1008306 。包含MS17-010與Windows SMB 遠端執行程式碼攻擊等弱點。
    • 此外,以下規則可避免病毒透過PsExec進行內網擴散。10032221006906, 1008327, 1008328, 1008422以及1008423。請注意,預設掃描引擎的模式為“Detect-only”,請視貴公司環境需求,自行更改為“Prevent”模式。(參考以下截圖)
  • 趨勢科技 TippingPoint客戶請確認已更新以下規則
    • Mainline Filters 27931 and 27928 - Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
    • Digital Vaccine (DV) Filter 28471 - May be configured to enforce generic policy at the network perimeter by blocking SMB v1 traffic (預設為停用).
  • 趨勢科技 Deep Discovery Inspector客戶請確認已更新以下規則並監控是否偵測C&C連線
    • DDI Rule 2383:CVE-2017-0144 Remote Code Execution SMB (Request) 
    • 此外,以下規則能協助您監控是否有攻擊透過PsExec的內網擴散發生:  DDI Rules 35 and 1307

趨勢科技強烈建議,請務必儘速套用軟體廠商釋出的重大修補更新。若客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問,請您與趨勢科技技術支援部門聯繫取得進一步的協助。.

其他參考

 

以下為關於本勒索病毒及其變種的相關參考資訊: 

趨勢科技部落格

第三方訊息

  • US-CERT Advisory:  

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported