KFA006-不可不知WannaCry勒索病毒

發生什麼事

2017年5月12日世界上多個組織宣稱遭到名為WannaCry的勒索病毒的加密攻擊,受感染的電腦無法正常使用且所有文件都被加密,直到支付高達300元比特幣(何謂比特幣請參考維基百科)的 ”贖金” 才允許解密這些被加密的文件,雖然WannaCry的宣告聲明中提到,將到六個月後免費解密這些文件(釋放肉票),但針對緊急又重要的文件檔案,誰又能等待六個月呢?

誰受害了?範圍有多大?

受害遍佈全世界眾多公共基礎設施組織,這是一個全球性的疫情,收到來自60多個國家的報告,它攻擊了醫療、電信、交通機構以及電力公司等。例如:英國公營醫療服務機構是受影響最嚴重的組織之一,其被癱瘓的國民保健服務系統(National Health Service,簡稱NHS)服務轄下48機構,造成數以千計的病人因而受到影響。F-Secure 實驗室統計受到影響的國家,依序為俄羅斯和中國,然後是法國、台灣、美國、烏克蘭及南韓。

為什麼疫情如此嚴重且擴散迅速?

WannaCry利用微軟作業系統的伺服器訊息區塊(Server Message Block,縮寫SMB)又稱網路檔案分享系統(Common Internet File System,縮寫為CIFS)的弱點(EternalBlue漏洞,針對這SMBv1版本),並配合蠕蟲病毒的特性,感染後自動探偵測區網內其他擁有該漏洞的電腦,進行將自身再次複製至這些電腦,進而擴大受害範圍,這過程使用者不會收到任何通知。雖微軟已在2017年3月修補了這個漏洞(MS17-010),但在許多個IT環境及停止更新的老舊作業系統(Win XP)並未能即時修補該漏洞,又或許使用盜版的作業系統(特別是在中國和俄羅斯),關閉了Windows更新功能,造成整個受害範圍比想像中更加嚴重。

F-Secure如何防範WannaCry的威脅?

F-Secure端點產品提供三層防護機制來防衛WannaCry的攻擊,防護機制如下:

  • 1.F-Secure含有軟體修補/更新功能,能夠通知管理者並透過自動修補/更新這些弱點,以防止WannaCry使用EternalBlue漏洞入侵電腦。
  • 2.F-Secure使用DeepGuard防護功能,使用行為分析配合雲端機制即時攔阻WannaCry的攻擊。
  • 3.F-Secure的防火牆功能,封鎖WannaCry在內網中橫向的擴散。

企業防範WannaCry的實際作法?

  • 1.確保企業端點安裝F-Secure企業版防護軟體,並開啟DeepGuard和即時防護功能。
  • 2.使用F-Secure軟體修補/更新功能,達到漏洞能被即時被補修,或手動進行修補該漏洞(Windows SMB伺服器的安全性更新4013389,參閱:MS17-010資訊安全公告)註:若無法立即修補該漏洞,建議參照微軟知識2696547,停用SMBv1協定減少入侵機率。
  • 3.使用防火牆功能,封鎖來自網際網路和不信任位址的TCP 445流量,F-Secure防火牆預設封鎖所TCP 445的連線。

附錄:

WananCry感染聲明畫面:

關於WannaCry的資訊:

其他微軟修補/更新檔下載位址:

適合作業系統 下載位址
1 Windows Server 2003 SP2 x64 KB4012598
2 Windows Server 2003 SP2 x86 KB4012598
3 Windows XP SP2 x64 KB4012598
4 Windows XP SP3 x86 KB4012598
5 Windows XP Embedded SP3 x86 KB4012598
6 Windows 8 x86 KB4012598
7 Windows 8 x64 KB4012598

微軟針對WananCry的更新說明:

網址:https://blogs.technet.microsoft.com/MSRC/2017/05/12/CUSTOMER-GUIDANCE-FOR-WANNACRYPT-ATTACKS/

微軟關於勒索病毒的說明:

網址:https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

其他相關問題,歡迎聯繫F-Secure中小企業版總代理 科益國際客服中心,我們會儘快為您服務。客服專線:(02)2585-8725;客服信箱:service@techez.com.tw

關於 芬-安全 F-Secure

芬-安全 F-Secure 是一家具有多年銷售企業和個人安全防護經驗的歐洲資訊安全公司,防護勒索軟體感染,也針對高級網路攻擊提供全面的安全服務體系及芬-安全的獲獎產品。 芬-安全 F-Secure 的專利安全創新和先進的威脅情報技術,保護上萬各公司和數百萬的用戶安全。 芬-安全 F-Secure 的安全專家比市場上任何一家廠商更頻繁地參與了歐洲資訊犯罪現場調查。在全世界有超過 200 多家運營商和上千家分銷商銷售 芬-安全。 芬-安全 F-Secure 成立於 1988 年,在赫爾辛基納斯達克交易所上市。

2016 年在台設立台灣客服中心 www.fservice.com.tw 提供個人版用戶在地的貼心服務。同時授權湛揚科技www.t-tech.com.tw 為芬-安全個人版總代理;科益國際 www.techez.com.tw 為芬-安全企業版中小型客戶總代理,提供台灣中小型企業客戶 芬-安全 F-Secure 全方位企業安全解決方案。

如想進一步瞭解歡迎聯絡:芬-安全F-Secure中小企業版總代理-科益國際 芬享安全小組,02-2585-8725 #201~202,或e-mail service@techez.com.tw 將有專人為您服務。