赛门铁克针对勒索软件WannaCry发布全球预警

2017年5月12日,全球爆发一种新型比特币勒索病毒家族的攻击,该勒索软件名为Ransom.CryptXXX(WannaCry)。该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,其中,欧洲用户为重灾区。

WannaCry勒索软件的特点:

感染后,WannaCry勒索软件将会加密受害者的数据文件,并要求用户支付约0比特币的赎金。攻击者表明,如果延迟支付,赎金将会在三天后增加一倍;如果延迟付款一个星期,加密文件将被删除。

勒索信息截图(中文)勒索信息截图(英文)

不仅如此,攻击者还留下一个文件,文件名为“Plesae Read Me!.txt”(请首先阅读):

文中提到,受害者的重要文件已被加密。受害者必须遵守攻击者的指示来解锁文件——根据指示支付0赎金至特定地点。

值得注意的是,WannaCry勒索软件加密文件具有以下扩展名,并将.WCRY添加到文件名的结尾:

  • .lay6
  • .sqlite3
  • .sqlitedb
  • .accdb
  • .java
  • .class
  • .mpeg
  • .djvu
  • .tiff
  • .backup
  • .vmdk
  • .sldm
  • .sldx
  • .potm
  • .potx
  • .ppam
  • .ppsx
  • .ppsm
  • .pptm
  • .xltm
  • .xltx
  • .xlsb
  • .xlsm
  • .dotx
  • .dotm
  • .docm
  • .docb
  • .jpeg
  • .onetoc2
  • .vsdx
  • .pptx
  • .xlsx
  • .docx

该勒索软件利用微软已知SMBv2中的远程代码执行漏洞:MS17-010来进行传播。

通过整合技术,使用赛门铁克和诺顿产品的用户可有效抵御WannaCry的攻击。

病毒:

  • Ransom.CryptXXX
  • Trojan.Gen.8!Cloud
  • Trojan.Gen.2
  • Ransom.Wannacry

入侵防御系统:

  • 21179(OS攻击:Microsoft Windows SMB远程执行代码3)
  • 23737(攻击:下载的Shellcode活动)
  • 30018(OS攻击:MSRPC远程管理接口绑定)
  • 23624(OS攻击:Microsoft Windows SMB远程执行代码2)
  • 23862(OS攻击:Microsoft Windows SMB远程执行代码)
  • 30010(OS攻击:Microsoft Windows SMB RCE CVE-2017-0144)
  • 22534(系统感染:恶意下载活动9)
  • 23875(OS攻击:微软SMB MS17-010披露尝试)
  • 29064(系统感染:Ransom.Ransom32活动)

赛门铁克强烈建议,企业用户应确保安装最新微软安全更新程序,尤其是MS17-010,以防止该攻击的扩散。

受到影响最大的受害者?

全球许多组织受到该攻击的影响,其中大多数在欧洲。

这是否是针对性的攻击?

不,在现阶段,并不能确认为针对性攻击。

为什么企业用户面临如此之多的问题?

通过利用微软已知的安全漏洞,WannaCry在企业网络内采取自传播功能,并且无需用户交互。如果用户没有进行最新的微软安全更新,其计算机或面临感染风险。

加密文件是否可以恢复?

目前,解密加密的文件还无法实现,但赛门铁克正在进行调查。针对此次事件,赛门铁克不建议支付赎金。

抵御勒索软件的最佳实践:

  • 勒索软件变种会不定期出现,赛门铁克建议用户,始终保持安全软件为最新版本,从而抵御网络攻击。
  • 保持操作系统和其他软件为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。
  • 赛门铁克发现,电子邮件是当今主要传染方式之一。用户应警惕未知电子邮件,尤其是包含链接和/或附件的电子邮件。
  • 用户需要特别谨慎对待那些建议启用宏以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握,否则请立即删除来源不明的电子邮件,并且务必不要启动宏功能。
  • 备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问,从而向受害者施加压力。如果受害者拥有备份,当感染被清理后,即可恢复文件。对于企业用户而言,备份应当被适当保护,或者存储在离线状态,使攻击者无法删除。
  • 通过使用云服务,帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本,并且允许用户通过“回滚”到未加密的文件。

赛门铁克的保护:

针对 Symantec Endpoint Protection 用户:

  • 对于安装SEP基本防病毒模块的用户,请加装ips和应用程序模块。该模块不会加重系统负载,且能够有效防御新型威胁。
  • HIPS可以有效屏蔽网络恶意攻击,例如,利用tcp 445 ms2017-010漏洞的入侵。
  • 通过SEP应用程序控制模块的黑白名单功能,无需依赖病毒库,可直接把可疑程序加入黑名单,并禁止运行。
  • 通过SEP自带防火墙功能,直接禁止445端口的入站请求,防止扩散。
  • 更新定义库至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。

技术支援

赛门铁克建议,如用户遇到威胁问题,请与赛门铁克技术支援中心联络。

中国: 800 810 3992

香港: 852 3071 4616

台湾: 0080 1861 032

原文发布时间为:2017年5月15日

时间: 2024-09-13 12:22:38

赛门铁克针对勒索软件WannaCry发布全球预警的相关文章

赛门铁克针对勒索软件Petya发布全球预警

昨晚,一个名为Petya的勒索软件开始大肆传播,许多企业遭遇攻击.与WannaCry勒索病毒类似,Petya同样是利用"永恒之蓝"漏洞实现传播. 企业是否能够抵御Petya勒索软件攻击? Symantec Endpoint Protection(SEP)解决方案和诺顿产品能够主动帮助用户抵御Petya勒索软件利用"永恒之蓝"漏洞进行传播.此外,赛门铁克SONAR行为检测技术同样能够主动防御Petya感染. 赛门铁克的产品已检测到Petya的组件Ransom.Pety

赛门铁克《勒索软件与企业2016》调查报告:企业将面临更多勒索软件威胁

任何IT管理者都不愿面对企业的数百台计算机感染勒索软件,关键系统处于离线,以至于企业的全部运营活动都面临威胁的处境.尽管大多数的勒索软件犯罪组织并没有特定的攻击目标,但是,赛门铁克发现,一部分犯罪组织已经将攻击目标转向特定企业,试图通过破坏企业的整体运营以获得巨额赎金. 赛门铁克的安全团队发现,在今年年初,一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例.在此类针对企业的攻击中,攻击者往往与网络间谍一样拥有高级专业知识,能够利用包含软件漏洞和合法软件的攻击

人民日报:中国政府将禁用赛门铁克和卡巴软件

<人民日报>周日早晨在其英文Twitter账号上发布一则消息,http://www.aliyun.com/zixun/aggregation/33141.html">中国政府采购部门"已经把赛门铁克和卡巴斯基"排除在安全软件供应商名单之外.该帐号随后又发布一则消息称,政府采购部门已经批准使用五款杀毒软件品牌,它们全部来自于中国,分别是:奇虎360.启明星辰.北京江民.冠群金辰和瑞星. 截至目前,赛门铁克发言人对此报道未予置评.卡巴斯基发言人阿里扬德罗·阿朗戈

赛门铁克发布针对WannaCry勒索软件的更新预警

赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系: 已知的Lazarus使用工具和WannaCry勒索软件共同出现:赛门铁克发现,Lazarus组织在设备上使用的专有工具同时感染了早期版本的WannaCry,但这些WannaCry的早期变体并没有能力通过SMB传播.Lazarus工具可能被用作传播WannaCry的手段,但这一点还未得到证实. 共享代码:谷歌人员Neel Mehta在博客中声称,Lazarus工具和WannaCry勒索软件之间共享了某些代码.赛门铁克确认

WannaCry绝非偶然,赛门铁克ISTR报告帮你温故知新

12日,全球爆发新型比特币勒索病毒,名为Ransom.CryptXXX(WannaCry).赛门铁克针对WannaCry发布全球预警后,15日又进一步更新了预警信息.   其实勒索病毒的发展演进一直是赛门铁克关注的重点之一,在赛门铁克发布最新的第22期<互联网安全威胁报告>(ISTR)中显示,随着勒索软件的不断升级,网络攻击者能够获得更加丰厚利润,导致这种恶意软件成为一个全球性问题.从近期发生的 WannaCry勒索软件的特性可以看出,这不是一个偶然爆发的全球性勒索软件攻击.据介绍,2016年

赛门铁克:“高度怀疑”WannaCry的幕后黑手是朝鲜

对WannaCry勒索软件攻击所用工具和基础设施的分析显示,该威胁与朝鲜黑客组织Lazarus关系紧密. 5月12日的全球大爆发,将全世界的目光都集中到了WannaCry身上,但该威胁其实早在之前就已活跃.至今为止,超过40万台电脑被WannaCry袭击--尽管得益于攻击开始后不久"断路开关"域名即被注册,不是所有被袭电脑都被植入勒索软件. 然而,2月出现的首例WannaCry变种,其与Lazarus组织之间的可能纽带,却早已被安全研究人员发现--虽说其间联系可能稍微有点牵强. 朝鲜已

赛门铁克:中国挤掉美国成僵尸电脑超级大国

根据赛门铁克最新发布的互联网安全报告(ISTR),2015年全球网络安全威胁事件23%源头来自中国大陆,年同比增长10%.赛门铁克认为高速增长的"肉鸡"电脑,以及其他被黑客控制的计算机系统是导致中国成为全球最大网络安全威胁源头的主要原因. 在中国境内被黑客和网络犯罪集团控制的"肉鸡"或者说僵尸电脑可以向全球范围发起攻击,而这些电脑的主人对此毫无察觉.操纵这些僵尸电脑的黑客可能来自全球任何角落,非常难以追踪. 2015年,中国的僵尸电脑数量暴增了84%,几乎占到全球数

赛门铁克预测2017: 互联网汽车成为被攻击的重灾区 只是时间问题

一年前,2015年的11月,赛门铁克发布的<诺顿网络安全报告>揭示了网络犯罪现状及对消费者个人造成的巨大影响,而且,即使曾遭遇过网络犯罪,消费者对移动或网络活动的信任度已经明显降低,但网络威胁并没有促使人们采取必要且简单的防护措施,受害者们通常还会继续保持自身的不安全行为,简单举例来说,消费者在遭遇网络攻击后,依然会在不同帐户上使用相同的密码. 这表明,尽管消费者对保护网上个人信息安全的意识逐渐提高,但仍旧不愿意采取相应的安全防范措施保障自身的网络安全,可黑客却在不断升级攻击手段.大众消费者的

专访赛门铁克:医院管理的零病毒+免维护

本文讲的是专访赛门铁克:医院管理的零病毒+免维护,2014年6月底,我国三级医院共1851家,二级医院6722家,目前这些医院基本上都构建了HIS和LIS主要的信息系统,再往下到社区医院,国家也在大力推进区域协同医疗平台.尽管如此,整个国内的医疗行业在IT的投入还是偏低的,根据<2014-2018年中国医疗信息化建设投资分析及前景预测报告>的数据,在发达国家基本上IT的投入占医院的年收入3%到5%,而国内这个比例只有0.3%到0.5%. 日前,在赛门铁克医疗行业媒体圆桌会上,赛门铁克华西区技术