有防毒軟件公司表示,勒索軟件 WannaCry 早於今年四月以釣魚攻擊誘使用戶從 Dropbox 網址下載,但在上週末肆虐的是已進化為結合 Windows SMB 伺服器漏洞與勒索程式家族的新變種,建議用戶修補作業系統、正確配置 SMB 服務並備分檔案。
四月開始出現 針對多種常用檔案
趨勢科技表示,他們於今年四月中首次監測到勒索程式(RANSOM_WCR Y.C),最初它透過網絡釣魚攻擊誘使用戶從 Dropbox 網址下載惡意程式;而在上週末,他們發現這個肆虐全球的勒索程式 「WannaCry/Wcry」已進化為結合Windows Server Message Block 伺服器漏洞 EternalBlue(CVE- 2017-0144 和 MS17-10)與勒索程式家族(RANS OM_WCRY.I / RANSOM_WCRY.A)的新變種。
這次勒索程式大規模攻擊所用的漏洞 EternalBlue 據稱是 Shadow Brokers 黑客集團利用美國國家安全局外洩的漏洞進行攻擊, 之後可以將檔案送入目標系統,然後以服務形式執行此檔案,接著再將真正的勒索程式檔案送入受害系統,它會用 .WNCRY 副檔名來對檔案進行加密(也會送入另一個用來顯示勒索通知的檔案);被針對的副檔名共有 176種,包括 Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。
趨勢科技提供免費檢測工具
趨勢科技指出,微軟在今年三月份就已經修補這漏洞,呼籲無論是企業還是個人都應盡快更新系統以修補此安全性弱點,並強烈建議民眾為作業系統安裝最新的修補程式,尤其是跟安全性弱點 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 SMB,正確配置 SMB 服務才能免於受到此次攻擊影響,最後建議可以根據端點電腦、信件、伺服器、閘道、網絡安全等等採用分層式 防護以確保有效防禦各個潛在入侵點,並使用最新版本的防毒軟件。
趨勢科技又稱,他們現免費提供免費風檢評估工具「TrendMicro Machine Learning Assessment Tool」,讓企業了解可能面對的風險。
趨勢科技也建議用戶立即執行以下操作以防止勒索程式攻擊:
- 立即使用隨身碟、外接硬碟或者雲端空間,備份重要資料
- 關閉 Windows 系統的 445 等危險通訊埠,關閉網絡共用資料夾
- 不要點擊來路不明的網站和檔案等
- 修補相關漏洞,針對微軟 EternalBlue 安全性修補程式的安裝可點此: https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx ;而 Windows XP、Windows 8 等系統的用戶,可以下載安裝修補程式:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
- 如果用戶的電腦已遭攻擊,請記住千萬不要乖乖繳納贖金,這是無用之舉
- 開啟電腦作業系統的 Windows Update,隨時升級系統與修補漏洞
