不可不知WannaCry勒索病毒
發生什麼事?
在2017年5月12日世界上多個組識宣稱遭到名為WannaCry的勒索病毒的加密攻擊,受感染的電腦無法正常使用且所有文件都被加密,直到支付高達300元比特幣(何謂比特幣請參考維基百科)的 ”贖金” 才允許解密這些被加密的文件,雖然WannaCry的宣告聲明中提到,將到六個月後免費解密這些文件(釋放肉票),但針對緊急又重要的文件檔案,誰又能等待六個月呢?
誰受害了?範圍有多大?
受害遍佈全世界眾多公共基礎設施組識,這是一個全球性的疫情,收到來自60多個國家的報告,它攻擊了醫療、電信、交通機構以及電力公司等。例如:英國公營醫療服務機構是受影響最嚴重的組識之一,其被癱瘓的國民保健服務系統(National Health Service,簡稱NHS)服務轄下48機構,造成數以千計的病人因而受到影響。F-Secure 實驗室統計受到影響的國家,依序為俄羅斯和中國,然後是法國、台灣、美國、烏克蘭及南韓。
為什麼疫情如此嚴重且擴散迅速?
WannaCry利用微軟作業系統的伺服器訊息區塊(Server Message Block,縮寫SMB)又稱網路檔案分享系統(Common Internet File System,縮寫為CIFS)的弱點(EternalBlue漏洞,針對SMBv1版本),並配合蠕蟲病毒的特性,感染後自動探測區網內其他擁有該漏洞的電腦,進行將自身再次複製至這些電腦,進而擴大受害範圍,這過程使用者不會收到任何通知。雖微軟已在2017年3月修補了這個漏洞(MS17-010),但在許多個IT環境及停止更新的老舊作業系統(Win XP)並未能即時修補該漏洞,又或許使用盜版的作業系統(特別是在中國和俄羅斯),關閉了Windows更新功能,造成整個受害範圍比想像中更加嚴重。
F-Secure如何防範WannaCry的威脅?
F-Secure端點產品提供三層防護機制來防衛WannaCry的攻擊,防護機制如下:
- F-Secure含有軟體修補/更新功能,能夠通知管理者並透過自動修補/更新這些弱點,以防止WannaCry使用EternalBlue漏洞入侵電腦。
- F-Secure使用DeepGuard防護功能,使用行為分析配合雲端機制即時攔阻WannaCry的攻擊。
- F-Secure的防火牆功能,封鎖WannaCry在內網中橫向的擴散。
企業防範WannaCry的實際作法?
- 確保企業端點安裝F-Secure企業版防護軟體,並開啟DeepGuard和即時防護功能。
- 使用F-Secure軟體修補/更新功能,達到漏洞能被即時被補修,或手動進行修補該漏洞(Windows SMB伺服器的安全性更新4013389,參閱:MS17-010資訊安全公告)。
註:若無法立即修補該漏洞,建議參照 微軟知識2696547,停用SMBv1協定減少入侵機率。 - 使用防火牆功能,封鎖來自網際網路和不信任位址的TCP 445流量,F-Secure防火牆預設不啟用所有的TCP 445連線。
附錄:
WananCry感染聲明畫面:
關於WannaCry的資訊:
- 其他微軟修補/更新檔下位址:
| 序 | 適合作業系統 | 下載位址 | 序 | 適合作業系統 | 下載位址 |
|---|---|---|---|---|---|
| 1 | Windows Server 2003 SP2 x64 | KB4012598 | 11 | Windows Vista SP2 x64 | KB4012598 |
| 2 | Windows Server 2003 SP2 x86 | KB4012598 | 12 | Windows Vista SP2 x86 | KB4012598 |
| 3 | Windows Server 2008 SP2 x64 | KB4012598 | 13 | Windows 7 SP1 x64 | KB4012212 |
| 4 | Windows Server 2008 SP2 x86 | KB4012598 | 14 | Windows 7 SP1 x86 | KB4012212 |
| 5 | Windows Server 2008 R2 SP1 x64 | KB4012212 | 15 | Windows 7 Embedded x86 | KB4012212 |
| 6 | Windows Server 2012 x64 | KB4012214 | 16 | Windows 7 Embedded x64 | KB4012212 |
| 7 | Windows Server 2012 R2 x64 | KB4012213 | 17 | Windows 8 x86 | KB4012598 |
| 8 | Windows XP SP2 x64 | KB4012598 | 18 | Windows 8 x64 | KB4012598 |
| 9 | Windows XP SP3 x86 | KB4012598 | 19 | Windows 8.1 x86 | KB4012213 |
| 10 | Windows XP Embedded SP3 x86 | KB4012598 | 20 | Windows 8.1 x64 | KB4012213 |
-
微軟針對WananCry的更新說明:
網址:https://blogs.technet.microsoft.com/MSRC/2017/05/12/CUSTOMER-GUIDANCE-FOR-WANNACRYPT-ATTACKS/ -
F-Secure對WananCry威脅描述:
網址:https://www.f-secure.com/v-descs/trojan_w32_wannacryptor.shtml
本文出處:https://safeandsavvy.f-secure.com/2017/05/13/what-you-need-to-know-about-wannacry-now/
其他相關問題,歡迎聯繫科益客服中心,我們會儘快為您服務。客服專線:(02)2585-8725;客服信箱:service@techez.com.tw