最新勒索程式 RANSOM_WANA.A 攻擊以及趨勢科技防護策略
趨勢科技發現最新的勒索程式 WCRY(WannaCry)在全球各地的爆發案件,並已密切監控中。初步分析顯示此勒索程式是攻擊Microsoft的安全性弱點:MS17-010 – Eternalblue。而此安全性弱點與早先 Shadow Brokers 發布的黑客工具有關。
請參考下列趨勢科技網誌文章及病毒百科以獲取 WCRY 勒索程式的變種及元件等相關資訊:
· 網誌: http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/
· 病毒百科:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom_Wana.A
趨勢科技產品與防護措施 -
首先最重要的是此波攻擊是針對已知的微軟安全性弱點,請用戶透過 GPO 或是微軟官方的說明停用 SMB。此外,我們強烈建議您為作業系統安裝最新的修補程式,尤其是跟安全性弱點 MS17-010 相關的安全性修補程式。
趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上,我們已能針對這樣的新威脅事件提供某種程度的防護能力:
· 設定更新與下一代技術:
趨勢科技用戶使用最新版本 OfficeScan 與 WorryFree Business Security 請確保已啟用「預測性機器學習」功能(OfficeScan XG 版本、Worry-Free Services)以及所有與勒索程式相關的防護功能。相關設定資訊請參考https://success.trendmicro.com/solution/1112223 。
· 病毒碼:
趨勢科技已可偵測已知的病毒變種及元件,請確認您已更新病毒碼至下列版本:
雲端病毒碼 – 13.399.00
傳統掃瞄病毒碼 - 13.401.00
· 趨勢科技網頁信譽評等服務(Web Reputation Services,WRS)已加入已知的命令控制伺服器(Command and Control servers,C&C)。
· 趨勢科技 Cloud Edge 用戶請確認以更新以下規則
IPS Rules 1133635, 1133636, 1133657, 1133638 – SMB Microsoft MS17-010 SMB Remote Code Execution。
· 趨勢科技 Deep Security 與 Vulnerability Protection 已釋出了防堵此漏洞的規則更新。建議用戶儘快下載並套用至最新的規則更新
IPS Rules 1008224, 1008228, 1008225, 1008227 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
· 趨勢科技 Deep Discovery Inspector 用戶請確認已更新以下規則並監控是否偵測C&C連線
DDI Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
· 趨勢科技 TippingPoint 用戶請確認已更新以下規則
Filters 5614, 27433, 27711, 27935, 27928 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation
趨勢科技強烈建議,用戶請務必儘速套用軟體廠商發佈的重大修補更新。若用戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問,請洽您的授權趨勢科技技術支援代表以尋求進一步協助。
