<acronym id="se2uc"></acronym><acronym id="se2uc"><center id="se2uc"></center></acronym>
<acronym id="se2uc"></acronym>

賽門鐵克發布針對WannaCry勒索軟件的更新預警

更新日期:2017年5月15日 23:24:21 (格林尼治時間):
賽門鐵克發現兩個WannaCry勒索軟件與Lazarus犯罪團伙的潛在聯系:
已知的Lazarus使用工具和WannaCry勒索軟件共同出現:賽門鐵克發現,Lazarus組織在設備上使用的專有工具同時感染了早期版本的WannaCry,但這些WannaCry的早期變體并沒有能力通過SMB傳播。Lazarus工具可能被用作傳播WannaCry的手段,但這一點還未得到證實。
共享代碼:谷歌人員Neel Mehta在博客中聲稱,Lazarus工具和WannaCry勒索軟件之間共享了某些代碼。賽門鐵克確認該共享代碼是一種SSL。這種SSL工具使用了75個特殊序列的密碼,至今我們只在Lazarus工具(包括Contopee和Brambul)和WannaCry變體中見到過這種序列。
雖然以上發現不能表明 Lazarus組織和WannaCry的確切聯系,但賽門鐵克認為,上述聯系足以值得采取進一步調查。隨著真相慢慢浮出水面,我們將繼續分享更多的調查信息。

自5月12日(星期五)起,一種名為“WannaCry”(Ransom.Wannacry)的惡性勒索軟件已在全球范圍內攻擊了數十萬臺計算機。該勒索軟件比其他類型的勒索軟件更加危險,這是由于該勒索軟件能夠利用Windows計算機的嚴重漏洞,自行在企業機構的網絡中進行傳播。微軟公司在2017年3月發布了該漏洞的補丁程序(MS17-010)。今年4月,一個名為“Shadow Brokers”的黑客組織泄露了一系列文件,其中,被稱為“永恒之藍”的漏洞被發布至網絡,黑客組織曾聲稱盜取了Equation 網絡間諜團伙的相關數據。

我是否受到保護,抵御WannaCry勒索軟件的攻擊?

賽門鐵克端點安全解決方案(Symantec Endpoint Protection,SEP)和諾頓軟件能夠主動阻擋任何試圖利用該漏洞的行為,這意味著,在WannaCry首次出現前,用戶 就已經得到了全面的保護。

Blue Coat全球情報網絡(GIN)可對所有授權產品進行自動檢測,偵測所有基于網絡的感染嘗試意圖。

賽門鐵克和諾頓產品結合多種技術,自動保護用戶抵御WannaCry的攻擊。主動保護由以下技術提供:

通過啟用上述技術,用戶將獲取全部自動保護功能。賽門鐵克建議SEP用戶將軟件版本更新至SEP 14,以獲得機器學習簽名技術所提供的主動保護功能。

基于網絡的保護

為了阻擋攻擊者對MS17-010漏洞的嘗試攻擊,賽門鐵克還采取了以下IPS保護措施:

SONAR行為檢測技術

智能的機器學習技術

反病毒

為了拓展保護和識別能力,以下反病毒簽名已更新完畢:

賽門鐵克建議用戶運行LiveUpdate,并檢查軟件是否為以下版本或更新版本,確保擁有最新的保護:

以下IPS 簽名也能阻擋Ransom.Wannacry的相關活動:

企業機構應該確保安裝最新的Windows安全更新程序,尤其是MS17-010,防止該惡意軟件的傳播。

勒索軟件WannaCry是什么?

WannaCry能夠搜索并解密176種不同文件,并在文件名后附加 .WCRY。該勒索軟件要求受害者以比特幣支付300美元的贖金。勒索信息中指出,如果延遲支付,贖金將會在3天后增加一倍;如果延遲支付7天,加密文件將被刪除。

我是否能夠恢復加密文件?是否應該支付贖金?

現在,還無法對加密文件進行解密。如果受害者擁有備份,便可以通過備份來恢復被感染的文件。賽門鐵克不建議受害者支付贖金。

在一些情況下,文件不通過備份也可得到恢復。保存在“桌面”、“我的文檔”或可移動驅動器的文件若被加密,并且原始文件遭到清除——這些文件將無法恢復。保存在計算機其他位置的文件若被加密,并且原始文件遭到簡單刪除——這些文件可使用數據恢復工具進行恢復。

WannaCry何時出現?傳播速度如何?

WannaCry首次出現于5月12日(星期五)。賽門鐵克發現,在當天8:00左右(格林威治時間)試圖對Windows漏洞進行攻擊的次數激增。在周六和周日,賽門鐵克阻擋的試圖對Windows漏洞進行攻擊的次數略有下降,但仍然保持高位。

圖.1 賽門鐵克每小時阻擋WannaCry試圖對Windows漏洞進行攻擊的次數 圖.1 賽門鐵克每小時阻擋WannaCry試圖對Windows漏洞進行攻擊的次數 圖.2 賽門鐵克每天阻擋WannaCry試圖對Windows漏洞進行攻擊的次數 圖.2 賽門鐵克每天阻擋WannaCry試圖對Windows漏洞進行攻擊的次數 圖3.賽門鐵克于5月11日至15日檢測到WannaCry的熱度圖 圖3.賽門鐵克于5月11日至15日檢測到WannaCry的熱度圖

受到影響的人群?

任何未下載最新補丁的Windows計算機都有可能受到WannaCry的影響。由于這種病毒可在網絡中快速傳播,因此企業機構面臨更高的風險。全球范圍內已有很多企業機構遭受該惡意軟件的攻擊,歐洲為重災區。同樣,個人計算機也有可能受到感染。

這是否是一次針對性攻擊?

不,在現階段,我們不認為這是一次針對性攻擊。勒索軟件活動通常選擇任意目標。

為何WannaCry給眾多企業機構帶來如此多麻煩?

WannaCry能夠利用微軟Windows中的已知漏洞,即使在沒有用戶互動的情況下,仍舊可以在公司網絡中自行傳播。計算機若未安裝最新的Windows安全更新程序,則將面臨感染的風險。

WannaCry如何進行傳播?

雖然WannaCry可利用漏洞自行在企業機構的網絡中進行傳播,但感染方式,即第一臺受到感染的計算機的受感染方式——仍未得到證實。賽門鐵克發現,一些惡意網站托管WannaCry,但看起來只是模仿性攻擊,與最初的攻擊毫無關聯。

是否已經有很多受害者支付了贖金?

對勒索者提供的三個比特幣網站進行分析后,賽門鐵克發現,在寫這篇博文時,受害者在207 次單獨交易中共支付了31.21比特幣(53,845美元)。

抵御勒索軟件的最佳實踐:

技術支援

賽門鐵克建議,如用戶遇到威脅問題,請與賽門鐵克技術支援中心聯絡。

环亚ag88手机版