WannaCry 勒索軟體肆虐 Fortinet 提供建議協助企業免受威脅

業務部2017-05-152min0
勒索軟體(Ransomware)已經成為增長最快的惡意軟體威脅,目標包括一般家庭用戶、醫療保健系統,以及企業網路。根據Fortinet的追蹤分析顯示,自2016年1月1日起,每天平均有4,000多宗勒索軟體攻擊。

勒索軟體 (Ransomware) 已經成為增長最快的惡意軟體威脅,目標包括一般家庭用戶、醫療保健系統,以及企業網路。根據 Fortinet 的追蹤分析顯示,自 2016 年 1 月 1 日起,每天平均有 4,000 多宗勒索軟體攻擊。

5 月 12 日,FortiGuard Labs 研究團隊便開始追蹤當天迅速傳播的新型勒索軟體變種。這是一種高毒性且會自我複製的勒索軟體,已經影響了俄羅斯內政部、中國地區大學、匈牙利和西班牙電訊商,以及由英國國家衛生服務機構管理的醫院和診所等大型組織。特別值得注意的是,它的贖金要求支援二十多種語言。

這個勒索軟體被稱為 WannaCry 、 WCry 、 WanaCrypt0r 、 WannaCrypt 或 Wana Decrypt0r,是透過美國國家安全局代號「Eternal Blue」工具的漏洞所傳播。這漏洞由黑客組織 Shadow Brokers 上月於網上披露,利用 Microsoft Server Message Block 1.0 (SMBv1) 協定中的弱點來進行攻擊。

受影響的 Microsoft 產品包括:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012 及 Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Server Core 安裝選項

Microsoft 在 3 月份在 Microsoft 安全公告 MS17-010 中,已發布針對此漏洞的重要更新程式。 Fortinet 同月則發布入侵防禦系統特徵 (IPS signature) 來檢測和阻止這漏洞,並於今天發布了新防毒特徵 (AntiVirus signature) 以檢測和抵禦此次攻擊。 第三方的測試單位也證實了 Fortinet Anti-Virus 和 FortiSandbox 能有效地阻止這種惡意軟體。有關 IPS 和 AV 特徵的詳細資訊,請參閱本文尾段。

我們強烈建議所有客戶採取下列步驟:

  • 於網路所有受影響的節點安裝 Microsoft 發布的更新程式。
  • 確保 Fortinet 防毒和 IPS 檢測以及網路過濾引擎都已啟用,防止下載到惡意軟體,並確保網路過濾能把回到命令和控制 (C&C) 伺服器的通訊封阻。
  • 將 UDP 埠 137/138 和 TCP 埠 139/445 隔離。

我們亦建議用戶和企業組織採取以下預防措施:

  • 建立常規程序來為所有裝置的作業系統、軟體和韌體安裝更新程式。擁有大量裝置的大型組織可考慮採用集中的更新程式管理系統。
  • 部署入侵防禦系統、防毒措施和網路過濾技術,並隨時保持更新。
  • 定期備份資料之餘,亦要驗證其完整性並加密,測試復原備份過程,以確保其可用性。
  • 掃描所有收發電郵來檢測威脅,並為最終用戶過濾可執行文件。
  • 安排防毒和反惡意軟體程式定期自動執行掃描。
  • 停用經電郵傳輸的文件巨集碼 (macro scripts) 。考慮改用 Office Viewer 等工具預覽 Microsoft Office 附件,而不用 Office 套件的應用程式直接開啟檔案。
  • 建立業務持續性計劃和資安事件因應策略,並定期執行漏洞評估。

如果組織已受到勒索軟體的影響,您必須:

  • 立即從網路中刪除受感染的裝置,防止勒索軟體進一步擴展到網路或其他共享裝置。
  • 如果您的網路已受感染,請立即截斷所有連接裝置。
  • 如果裝置受到感染但資料並未完全損壞,馬上把裝置關機,可能有機會把握時間清理和恢復資料,控制損害程度並防止情況惡化。
  • 把備份資料儲存於離線模式。檢測到病毒時應立即切斷備份系統連接,並加以掃描來確保備份中沒有惡意軟體。
  • 立即聯繫執法機關回報任何勒索軟體案件,並請求協助。

客戶的系統安全性對於 Fortinet 來說至關重要。我們正在積極監測情況以因應任何新的惡意行為,並就最新發展發佈資訊。

解決方案

  • 入侵防禦系統特徵(IPS signature)
    MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
  • 防毒特徵(AntiVirus signature)

W32/Filecoder_WannaCryptor.B!tr

W32/WannaCryptor.B!tr

W32/Generic.AC.3EE509!tr

W32/GenKryptik.1C25!tr

CVE 安全漏洞資料庫(CVE security vulnerability database):2017-0143 thru 2017-0148

previous史上第一勒索蠕蟲WannaCry/Wcry大舉入侵 全球氾濫!

nextCheck Point事件回應團隊追蹤 WannaCryptor勒索軟體全球肆虐活動狀況

發表迴響

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、 MIS 、 IT 人員必備之專業雜誌網站。

與我們聯絡
加入《網路資訊》雜誌社群

© Copyright 2025 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416

探索更多來自 網路資訊雜誌 的內容

立即訂閱即可持續閱讀,還能取得所有封存文章。

Continue reading

Secret Link