2017年5月12日,全球爆发一种新型比特币勒索病毒家族的攻击,该勒索软件名为Ransom.CryptXXX ( WannaCry)。该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,中国国内不少高校也遭到攻击。
WannaCry勒索软件的特点:
感染后,WannaCry勒索软件将会加密受害者的数据文件,并要求用户支付约$300比特币的赎金。攻击者表明,如果延迟支付,赎金将会在三天后增加一倍;如果延迟付款一个星期,加密文件将被删除。
不仅如此,攻击者还留下一个文件,文件名为“Plesae Read Me!.txt”(请首先阅读):
文中提到,受害者的重要文件已被加密。受害者必须遵守攻击者的指示来解锁文件 —— 根据指示支付$300赎金至特定地点。
值得注意的是,WannaCry勒索软件加密文件具有以下扩展名,并将.WCRY添加到文件名的结尾:
?.lay6
?.sqlite3
?.sqlitedb
?.accdb
?.java
?.class
?.mpeg
?.djvu
?.tiff
?.backup
?.vmdk
?.sldm
?.sldx
?.potm
?.potx
?.ppam
?.ppsx
?.ppsm
?.pptm
?.xltm
?.xltx
?.xlsb
?.xlsm
?.dotx
?.dotm
?.docm
?.docb
?.jpeg
?.onetoc2
?.vsdx
?.pptx
?.xlsx
?.docx
该勒索软件利用微软已知SMBv2中的远程代码执行漏洞:MS17-010 来进行传播。不过,目前通过整合技术,使用赛门铁克和诺顿产品的用户可有效抵御WannaCry的攻击。企业用户应确保安装最新微软安全更新程序,尤其是MS17-010,以防止该攻击的扩散。
勒索软件如何抵御:
?勒索软件变种会不定期出现,应该始终保持安全软件为最新版本,从而抵御 络攻击。
?保持操作系统和其他软件为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。
用户应警惕未知电子邮件,尤其是包含链接和/或附件的电子邮件。
?备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问,从而向受害者施加压力。如果受害者拥有备份,当感染被清理后,即可恢复文件。对于企业用户而言,备份应当被适当保护,或者存储在离线状态,使攻击者无法删除。
?通过使用云服务,帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本,并且允许用户通过“回滚”到未加密的文件。
个人用户预防方案:
1、关闭445等端口(其他关联端口如: 135、137、139)的外部 络访问权限,在服务器上关闭不必要的上述服务端口:打开控制面板— 络和共享中心—更改适配器设置—右键点击正在使用的 卡然后点击属性—取消勾选Microsoft 络文件和打印机共享—确定—重启系统。
2、前往Windows Update(微软自动更新)安装最新安全补丁。
3、各种安全软件的修复工具应该都已经出来了。
4、做好重要文件、资料备份。
赛门铁克的保护:
针对 Symantec Endpoint Protection 用户:
?对于安装SEP基本防病毒模块的用户,请加装ips和应用程序模块。该模块不会加重系统负载,且能够有效防御新型威胁。
?HIPS可以有效屏蔽 络恶意攻击,例如,利用tcp 445 ms2017-010漏洞的入侵。
?通过SEP应用程序控制模块的黑白名单功能,无需依赖病毒库,可直接把可疑程序加入黑名单,并禁止运行。
?通过SEP自带防火墙功能,直接禁止445端口的入站请求,防止扩散。
?更新定义库至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!