2017年5月12日,这是让全世界繁忙疯狂的一天。99个国家遭到了勒索软件攻击的重创,各行各业惨遭波及。截至中午,已有7.5万台电脑被感染。
发生了什么?
当天上午开始,一个名为WanaCrypt0r的新型勒索软件开始快速传播。WanaCrypt0r的一个变种WeCry最初于今年2月被发现。
造成这一勒索软件如此疯狂传播的原因是其结合黑客工具永恒之蓝,利用了Windows系统已知的漏洞,而该漏洞于3月已经通过Windows Updates修复。这是一个SMB漏洞(MS17-010),恶意代码能在系统间传播。Windows不再提供支持的旧系统无法收到补丁,而许多支持的系统则没有进行更新。兼容性测试和资源有限造成的延误常常使得未打补丁的系统暴露在风险中。
蠕虫病毒是利用通过电子邮件附件传播。一旦触发,蠕虫病毒通过RDP会话以及此前提到的SMB漏洞传播勒索软件。蠕虫病毒以最快的速度将勒索软件传播到尽可能多的系统。勒索软件将目标文件加密,并向受害者发出勒索信。MalwareBytes实验室对代码和可执行文件有一个详细的分析。
攻击者索要价值高达600美元的比特币以换取解密。
黑客组织Shadow Brokers在2017年4月的泄露中公布了黑客工具永恒之蓝。此次泄露包含了Shadow Brokers声称从NSA窃取的黑客工具和漏洞利用。截至撰稿,攻击者尚不明确,kill switch已经触发,阻止病毒变种造成新的感染。
我们要如何应对?
梭子鱼高级威胁保护的多个层面在初期即检测到这些可执行文件,订购了规则库更新服务的梭子鱼客户能防止来自漏洞利用的威胁。
梭子鱼安全专家Jonathan Tanner给出了以下建议,预防攻击:
• 保持更新,尤其技术上曾有过多个漏洞的产品。主动订购并更新您的杀毒解决方案,如果是梭子鱼的客户,订购规则库更新服务。
• 停止服务的操作系统应当尽快替换。不在延长支持范围内的操作系统即便无法马上替换,也应当立即从网络中移除。
• 对电子邮件及其附件不要放松警惕。电子邮件是几乎所有攻击的首要方式。在此次攻击中,只要一人打开蠕虫病毒会导致网络上所有其他有漏洞的设备被感染。
• 关闭系统上不使用或不必要的服务。每个服务都是潜在的攻击对象。
• 部署强大的电子邮件安全网关,防止您的用户遭到攻击。梭子鱼提供30天免费试用电子邮件安全设备和服务,您可以亲自来体验 。
• 定期备份所有数据。如果您正在寻求具有灵活部署选项的综合解决方案,可免费试用梭子鱼备份设备。
我们学到了什么?
多层安全解决方案和数据保护战略是网络安全的重要组成部分,但帮助您的同事和公司领导认识到网络攻击的风险正变得前所未有地重要。这种认识加上持续的培训和警惕举措,将帮助您的用户进行自我保护。