Symantec-WannaCry勒索病毒预警
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
发生什么情况? 2017年5月12日,一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播,影响了大量的企业用户,特别是在欧洲。
WannaCry 是什么样勒索?
WannaCry 用已加密数据文件,并要求用户支付$300赎金比特币。赎金明确说明指出,支付金额将三天后增加一倍。如果付款在七天后,加密的文件将被删除。
勒索信息截图(中文) 勒索信息截图(英文) 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么,以及如何支付赎金
同时WannaCry加密文件具有以下扩展名,并将.WCRY到添加到文件名的结尾: •.lay6
•.sqlite3
•.sqlitedb
•.accdb
•.java
•.class
•.mpeg
•.djvu
•.tiff
•.backup
•.vmdk
•.sldm
•.sldx
•.potm
•.potx
•.ppam
•.ppsx
•.ppsm
•.pptm
•.xltm
•.xltx
•.xlsb
•.xlsm
•.dotx
•.dotm
•.docm
•.docb
•.jpeg
•.onetoc2
•.vsdx
•.pptx
•.xlsx
•.docx
此勒索软件的传播是利用微软已知SMBv2中的远程代码执行漏洞:MS17-010
使用Symantec防护软件否得到保护,免受威胁?
使用了赛门铁克和诺顿的客户已经检测WannaCry并实施有效的保护。以下检测病毒和漏洞
n病毒
l Ransom.CryptXXX
l Trojan.Gen.8!Cloud
l Trojan.Gen.2
l Ransom.Wannacry
n入侵防御系统
l21179(OS攻击:的Microsoft Windows SMB远程执行代码3)
l23737(攻击:下载的Shellcode活动)
l30018(OS攻击:MSRPC远程管理接口绑定)
l23624(OS攻击:的Microsoft Windows SMB远程执行代码2)
l23862(OS攻击:的Microsoft Windows SMB远程执行代码)
l30010(OS攻击:的Microsoft Windows SMB RCE CVE-2017-0144)
l22534(系统感染:恶意下载活动9)
l23875(OS攻击:微软SMB MS17-010披露尝试)
l29064(系统感染:Ransom.Ransom32活动)
企业用户应确保安装了最新的Windows安全更新程序,尤其是MS17-010,以防止其扩散。 谁受到影响?
全球有许多组织受到影响,其中大多数在欧洲。
这是否是针对性的攻击?
不,在这时期并不能确认是有针对性的攻击。勒索战役通常是不分青红皂白的。
为什么造成了企业用户如此多的问题?
WannaCry在企业网络内具有自传播功能,而无需用户交互,利用微软的Windows已知的安全漏洞。如果没有最新的Windows安全更新的计算机都将具有感染的风险。
我可以恢复加密的文件?
解密现在还没有,但赛门铁克正在进行调查。赛门铁克不建议支付赎金。在可能的况下,已加密的文件应该从备份中恢复。
什么是保护免受勒索软件的最佳实践?
•新的变种勒索会不定期出现。始终保持安全软件是最新的,以保护自己免受危害。
•保持操作系统和其他软件更新。软件更新经常包括可能被勒索攻击者利用新发现的安全漏洞补丁。这些漏洞可能被勒索攻击者利用。
•电子邮件是主要传染方式之一。警惕意料之外的电子邮件,特别是如果它们包含的链接和/或附件。
•要特别谨慎,建议用户启用宏以查看其内容任何Microsoft Office的电子邮件附件。除非你有绝对的把握,这是来自可靠来源的一个真正的电子邮件,如果不启用宏,请立即删除来源不明电子邮件。
•备份重要数据是打击勒索攻击最有效方法。攻击者通过加密有价值的文件并使其无法访问,从而向被勒索折施加影响。如果被勒索者有备份副本,一旦感染被清理干净,我们就可以恢复我们文件。但是,企业组织应该确保备份被适当地保护或存储在离线状态,以便攻击者不能删除它们。
•使用云服务可以帮助减轻勒索病毒的感染,因为许多文件保留了以前版本的文件,允许用户“回滚”到未加密的文件。
我们建议
针对 Symantec Endpoint Protection 用户
Ø对于只安装SEP基本防病毒模块的用户请加装ips和应用程序模块这两个模块不会加重系统负载,但能有效防御新的威胁。
ØHIPS可以有效屏蔽网络上的恶意攻击,比如利用tcp 445 ms2017-010漏洞的入侵
Ø通过sep的应用程序控制模块的黑白名单功能,不依赖病毒库,直接把可疑程序加入黑名单禁止运行
Ø通过SEP自带防火墙的功能,直接禁止445端口的入站请求,防止扩散。
Ø请更新定义库至 AV: 5/12/2017 rev. 9,IPS: 5/12/2017 rev.11。
技术支援
如有其他问题,请与我们技术支援中心联络。
中国: 800 810 3992 或 400 810 9771
香港: 852 3071 4616
台湾: 0080 1861 032