Check Point支招如何应对WannaCry攻击

就最近大规模爆发的WannaCry 勒索软件攻击，Check Point以色列捷邦安全软件科技有限公司的威胁情报及研究团队向全球机构提出忠告，切勿支付WannaCry所索取的赎金，因为目前尚没有任何付赎金后得到返还文件的个案报道，而最有效的抗击方法是从一开始就使得机构的网络系统不受感染。

Check Point 表示：“WannaCry 采用的勒索软件比较新，大约是在2017年2月出现，然而随后产生变种，它的散播速度非常快，欧洲及亚洲的多家机构已经受到冲击，这充分显示勒索软件的巨大杀伤力，以及它可以很快就令重要服务停顿。机构抗击此等勒索软件的最有效方法，是从一开始就使得网络系统不受其感染，通过扫描、阻挡、过滤等方法在可疑的文档及内容到达网络前便把它们拒之门外。此外，机构也要对其员工进行有关教育工作，让他们知道不明来历的电邮、以及来自相熟联系人的可疑电邮的威胁风险。”

Check Point威胁情报及研究团队并提醒受WannaCry 影响的用户千万不要支付其索求的赎金。截止5月14日，WannaCry 勒索软件关联的三个比特币账户已累计收到超过 33,000 美元。然则，目前尚未有任何返还文件的相关案例报道，这表明解密过程本身存在问题。

Check Point解释说，与在勒索软件市场上的竞争对手不同，WannaCry 似乎无法将付款与对应付款人相关联。大多数勒索软件，例如 Cerber，会为每位受害者生成唯一的 ID 和比特币钱包，从而知道向谁发送密钥。然而，WannaCry 却只要求交付赎金，然后受害者只能空等。他们可以按下“核对付款”按钮，但到目前为止，这也只是唯一的结果：

大多数成功的勒索软件都有颇完善的联系受害人功能。然而 WannaCry 同样不在此列。联系该恶意软件创建者的唯一途径是通过勒索信页面的“联系我们”，Check Point的人员曾试图以此作出联系，但仍未收到回复。

最后，到目前为止的研究结果让Check Point对 WannaCry 创建者解密文件的能力置疑。该恶意软件包含两个单独的解密/加密例程，一个用于大部分受害者文件， 每个文件皆以唯一的密钥加密。要解密这些文件，需要来自创建者的私有 RSA 密钥，创建者应在“.dky”文件中提供此密钥。

第二个加密/解密例程则用于 10 个可解密文件以作为“免费演示”，意在向受害者保证解密文件的可能性，以说服他们支付赎金。这 10 个特定文件在加密期间随机选择，每个文件同样使用唯一密钥进行加密。但是，这 10 个文件的私有 RSA 密钥存储在受害者的本地计算机上。如下所示：

(图A 主解密函数)

(图B 演示解密函数)

图 A 所示，主解密函数试图调用一个推测应包含私有 RSA 密钥的“.dky”文件，并以此解密受害者计算机上的所有文件。在图 B 中，我们可以看到类似函数，但其调用由加密程序模块放置的“f.wnry”文件，其中包含一个演示文件列表。私有 RSA 密钥已被硬编码到该模块中。两组函数都调用模块 import_RSA_key（图 C）- 主解密程序含有连接至“.dky”文件的路径（作为参数），而演示解密程序则含有空路径。

(图C 两个例程的 import_RSA_key 函数)

所有这些考量因素 - 没有任何关于找回文件的相关报告、存在问题的支付和解密系统，以及虚假的解密操作演示，都令人怀疑 WannaCry 开发者履行承诺解密文件的能力。

Check Point 提供以下对抗 WannaCry 的保护措施：

• 网络保护 (SandBlast)

•威胁提取和威胁仿真

•防僵尸网络/防病毒

• 终端保护（SandBlast 代理）

•反勒索软件

•威胁提取和威胁仿真

•防僵尸网络/防病毒

•反恶意软件

• IPS 保护能够防止来自外部和内部分区间的感染：

•Microsoft Windows EternalBlue SMB 远程代码执行 https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html

•Microsoft Windows SMB 信息泄露 (MS17-010:CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

•Microsoft Windows NT Null CIFS 会话

•非兼容 CIFSo

常规保护

• Windows 电脑应针对“Microsoft 安全公告 MS17-010 – 严重 Microsoft Windows SMB 服务器安全更新 (4013389)”中探讨的漏洞安装补丁 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• 确保有可用备份且未在网络上共享
• 隔离来自电子邮件网关的加密密码保护附件

原文发布时间为：2017年5月22日

本文来自合作伙伴至顶网，了解相关信息可以关注至顶网。