博客更新日期:2017年5月15日 23:24:21 (格林尼治時間):
賽門鐵克發現兩個WannaCry勒索軟件與Lazarus犯罪團伙的潛在聯系:
-
已知的Lazarus使用工具和WannaCry勒索軟件共同出現:賽門鐵克發現���,Lazarus組織在設備上使用的專有工具同時感染了早期版本的WannaCry�����,但這些WannaCry的早期變體并沒有能力通過SMB傳播����。Lazarus工具可能被用作傳播WannaCry的手段��,但這一點還未得到證實���。
-
共享代碼:谷歌人員Neel Mehta在博客中聲稱����,Lazarus工具和WannaCry勒索軟件之間共享了某些代碼�。賽門鐵克確認該共享代碼是一種SSL��。這種SSL工具使用了75個特殊序列的密碼�,至今我們只在Lazarus工具(包括Contopee和Brambul)和WannaCry變體中見到過這種序列���。
雖然以上發現不能表明 Lazarus組織和WannaCry的確切聯系�����,但賽門鐵克認為�,上述聯系足以值得采取進一步調查���。隨著真相慢慢浮出水面��,我們將繼續分享更多的調查信息�����。
自5月12日(星期五)起��,一種名為“WannaCry”(Ransom.Wannacry)的惡性勒索軟件已在全球范圍內攻擊了數十萬臺計算機�。該勒索軟件比其他類型的勒索軟件更加危險�,這是由于該勒索軟件能夠利用Windows計算機的嚴重漏洞����,自行在企業機構的網絡中進行傳播��。微軟公司在2017年3月發布了該漏洞的補丁程序(MS17-010)����。今年4月�,一個名為“Shadow Brokers”的黑客組織泄露了一系列文件��,其中�����,被稱為“永恒之藍”的漏洞被發布至網絡�����,黑客組織曾聲稱盜取了Equation 網絡間諜團伙的相關數據����。
我是否受到保護����,抵御WannaCry勒索軟件的攻擊�����?
賽門鐵克端點安全解決方案(Symantec Endpoint Protection�,SEP)和諾頓軟件能夠主動阻擋任何試圖利用該漏洞的行為�,這意味著�,在WannaCry首次出現前�����,用戶 就已經得到了全面的保護����。
Blue Coat全球情報網絡(GIN)可對所有授權產品進行自動檢測�����,偵測所有基于網絡的感染嘗試意圖�����。
賽門鐵克和諾頓產品結合多種技術�����,自動保護用戶抵御WannaCry的攻擊�����。
主動保護由以下技術提供:
-
IPS網絡保護
-
SONAR行為檢測技術
-
先進的機器學習技術
-
智能威脅云
通過啟用上述技術���,用戶將獲取全部自動保護功能�。賽門鐵克建議SEP用戶將軟件版本更新至SEP 14����,以獲得機器學習簽名技術所提供的主動保護功能�。
基于網絡的保護
為了阻擋攻擊者對MS17-010漏洞的嘗試攻擊�����,賽門鐵克還采取了以下IPS保護措施:
- 操作系統攻擊:微軟SMB MS17-010 披露嘗試(2017年5月2日發布)
- 攻擊:殼代碼下載活動(2017年4月24日發布)
SONAR行為檢測技術
-
SONAR.AM.E.!g18
-
SONAR.AM.E!g11
-
SONAR.Cryptlk!g1
-
SONAR.Cryptlocker!g59
-
SONAR.Cryptlocker!g60
-
SONAR.Cryptlocker!g80
-
SONAR.Heuristic.159
-
SONAR.Heur.Dropper
-
SONAR.Heur.RGC!g151
-
SONAR.Heur.RGC.CM!g13
-
SONAR.Heuristic.158
-
SONAR.Heuristic.161
-
SONAR.SuspDataRun
-
SONAR.SuspLaunch!g11
-
SONAR.SuspLaunch!gen4
-
SONAR.TCP!gen1
智能機器學習技術
-
Heur.AdvML.A
-
Heur.AdvML.B
-
Heur.AdvML.D
反病毒
為了拓展保護和識別能力�����,以下反病毒簽名已更新完畢:
-
Ransom.Wannacry
-
Ransom.CryptXXX
-
Trojan.Gen.8!Cloud
-
Trojan.Gen.2
賽門鐵克建議用戶運行LiveUpdate��,并檢查軟件是否為以下版本或更新版本�,確保擁有最新的保護:
以下IPS 簽名也能阻擋Ransom.Wannacry的相關活動:
企業機構應該確保安裝最新的Windows安全更新程序���,尤其是MS17-010�����,防止該惡意軟件的傳播�����。
勒索軟件WannaCry是什么�?
WannaCry能夠搜索并解密176種不同文件�,并在文件名后附加 .WCRY�。該勒索軟件要求受害者以比特幣支付300美元的贖金�。勒索信息中指出����,如果延遲支付���,贖金將會在3天后增加一倍�����;如果延遲支付7天���,加密文件將被刪除�。
我是否能夠恢復加密文件����?或者��,我應該支付贖金�?
現在��,還無法對加密文件進行解密�。如果受害者擁有備份�����,便可以通過備份來恢復被感染的文件�����。賽門鐵克不建議受害者支付贖金�����。
在一些情況下����,文件不通過備份也可得到恢復��。保存在“桌面”����、“我的文檔”或可移動驅動器的文件若被加密���,并且原始文件遭到清除——這些文件將無法恢復��。保存在計算機其他位置的文件若被加密�����,并且原始文件遭到簡單刪除——這些文件可使用數據恢復工具進行恢復����。
WannaCry何時出現�����?傳播速度如何�����?
WannaCry首次出現于5月12日(星期五)�。賽門鐵克發現����,在當天8:00左右(格林威治時間)試圖對Windows漏洞進行攻擊的次數激增�。在周六和周日���,賽門鐵克阻擋的試圖對Windows漏洞進行攻擊的次數略有下降���,但仍然保持高位�����。
圖.1 賽門鐵克每小時阻擋WannaCry試圖對Windows漏洞進行攻擊的次數
圖.2 賽門鐵克每天阻擋WannaCry試圖對Windows漏洞進行攻擊的次數
圖3.賽門鐵克于5月11日至15日檢測到WannaCry的熱度圖
受到影響的人群��?
任何未下載最新補丁的Windows計算機都有可能受到WannaCry的影響�����。由于這種病毒可在網絡中快速傳播����,因此企業機構面臨更高的風險�。全球范圍內已有很多企業機構遭受該惡意軟件的攻擊�,歐洲為重災區��。同樣�,個人計算機也有可能受到感染�。
這是否是一次針對性攻擊����?
不�,在現階段���,我們不認為這是一次針對性攻擊�����。勒索軟件活動通常選擇任意目標��。
為什么WannaCry給眾多企業機構帶來如此多的麻煩����?
WannaCry能夠利用微軟Windows中的已知漏洞��,即使在沒有用戶互動的情況下��,仍舊可以在公司網絡中自行傳播��。計算機若未安裝最新的Windows安全更新程序���,則將面臨感染的風險�。
WannaCry如何進行傳播����?
雖然WannaCry可利用漏洞自行在企業機構的網絡中進行傳播����,但感染方式�,即第一臺受到感染的計算機的受感染方式——仍未得到證實�。賽門鐵克發現��,一些惡意網站托管WannaCry�,但看起來只是模仿性攻擊����,與最初的攻擊毫無關聯����。
是否已經有很多受害者支付了贖金�?
對勒索者提供的三個比特幣網站進行分析后���,賽門鐵克發現�,在寫這篇博文時���,受害者在207 次單獨交易中共支付了31.21比特幣(53,845美元)�����。
抵御勒索軟件的最佳實踐:
-
勒索軟件變種會不定期出現�����,賽門鐵克建議用戶�,始終保持安全軟件為最新版本�����,從而抵御網絡攻擊����。
-
保持操作系統和其他軟件為更新版本��。軟件更新經常包括可能被攻擊者所利用的新型安全漏洞補丁�����。這些漏洞可能被攻擊者所利用����。
-
賽門鐵克發現�����,電子郵件是當今主要傳染方式之一���。用戶應警惕未知電子郵件�,尤其是包含鏈接和/或附件的電子郵件��。
-
用戶需要特別謹慎對待那些建議啟用宏以查看附件的Microsoft Office子郵件���。除非對來源有絕對的把握����,否則請立即刪除來源不明的電子郵件���,并且務必不要啟動宏功能�����。
-
備份數據是打擊勒索攻擊的最有效方法���。攻擊者通過加密受害者的寶貴文件并使其無法訪問��,從而向受害者施加壓力����。如果受害者擁有備份���,當感染被清理后���,即可恢復文件�����。對于企業用戶而言��,備份應當被適當保護����,或者存儲在離線狀態���,使攻擊者無法刪除��。
通過使用云服務��,幫助減輕勒索病毒感染導致的威脅�。這是由于云服務或保留文件的以前版本�����,并且允許用戶通過“回滾”到未加密的文件��。
技術支援:
賽門鐵克建議�����,如用戶遇到威脅問題���,請與賽門鐵克技術支援中心聯絡�����。
中國: 800 810 3992 或 400 810 9771
香港: 852 3071 4616
臺灣: 0080 1861 032
