勒索軟體(Ransomware)已經(jīng)成為增長(zhǎng)最快的惡意軟體威脅，目標(biāo)包括一般家庭用戶、醫(yī)療保健系統(tǒng)，以及企業(yè)網(wǎng)路。根據(jù)Fortinet的追蹤分析顯示，自2016年1月1日起，每天平均有4,000多宗勒索軟體攻擊。

根據(jù)Fortinet的追蹤分析顯示，自2016年1月1日起，每天平均有4,000多宗勒索軟體攻擊。

FortiGuard Labs研究團(tuán)隊(duì)于5月12日便開始追蹤當(dāng)天迅速傳播的新型勒索軟體變種。這是一種高毒性且會(huì)自我復(fù)制的勒索軟體，已經(jīng)影響了俄羅斯內(nèi)政部、中國(guó)地區(qū)大學(xué)、匈牙利和西班牙電訊商，以及由英國(guó)國(guó)家衛(wèi)生服務(wù)機(jī)構(gòu)管理的醫(yī)院和診所等大型組織。特別值得注意的是，它的贖金要求支援二十多種語言。

這個(gè)勒索軟體被稱為WannaCry、WCry、WanaCrypt0r、WannaCrypt或Wana Decrypt0r，是透過美國(guó)國(guó)家安全局代號(hào)「Eternal Blue」工具的漏洞所傳播。這漏洞由黑客組織Shadow Brokers上月于網(wǎng)上披露，利用Microsoft Server Message Block 1.0 (SMBv1)協(xié)定中的弱點(diǎn)來進(jìn)行攻擊。

受影響的Microsoft產(chǎn)品

?Windows Vista

?Windows Server 2008

?Windows 7

?Windows Server 2008 R2

?Windows 8.1

?Windows Server 2012及Windows Server 2012 R2

?Windows RT 8.1

?Windows 10

?Windows Server 2016

?Windows Server Core安裝選項(xiàng)

Microsoft在3月份在Microsoft安全公告MS17-010中，已發(fā)布針對(duì)此漏洞的重要更新程式。 Fortinet同月則發(fā)布入侵防御系統(tǒng)特征(IPS signature)來檢測(cè)和阻止這漏洞，并于今天發(fā)布了新防毒特征(AntiVirus signature)以檢測(cè)和抵御此次攻擊。第三方的測(cè)試單位也證實(shí)了Fortinet Anti-Virus和FortiSandbox能有效地阻止這種惡意軟體。有關(guān)IPS和AV特征的詳細(xì)資訊，請(qǐng)參閱本文尾段。

強(qiáng)烈建議采取下列步驟

?于網(wǎng)路所有受影響的節(jié)點(diǎn)安裝Microsoft發(fā)布的更新程式。

?確保Fortinet 防毒和IPS檢測(cè)以及網(wǎng)路過濾引擎都已啟用，防止下載到惡意軟體，并確保網(wǎng)路過濾能把回到命令和控制(C&C)伺服器的通訊封阻。

?將UDP埠137/138和TCP埠139/445隔離。

建議用戶和企業(yè)組織采取下列預(yù)防措施

?建立常規(guī)程序來為所有裝置的作業(yè)系統(tǒng)、軟體和韌體安裝更新程式。擁有大量裝置的大型組織可考慮采用集中的更新程式管理系統(tǒng)。

?部署入侵防御系統(tǒng)、防毒措施和網(wǎng)路過濾技術(shù)，并隨時(shí)保持更新。

?定期備份資料之余，亦要驗(yàn)證其完整性并加密，測(cè)試復(fù)原備份過程，以確保其可用性。

?掃描所有收發(fā)電郵來檢測(cè)威脅，并為最終用戶過濾可執(zhí)行文件。

?安排防毒和反惡意軟體程式定期自動(dòng)執(zhí)行掃描。

?停用經(jīng)電郵傳輸?shù)奈募藜a(macro scripts)。考慮改用Office Viewer等工具預(yù)覽Microsoft Office附件，而不用Office套件的應(yīng)用程式直接開啟檔案。

?建立業(yè)務(wù)持續(xù)性計(jì)劃和資安事件因應(yīng)策略，并定期執(zhí)行漏洞評(píng)估。

如果組織已受到勒索軟體的影響，必須：

?立即從網(wǎng)路中刪除受感染的裝置，防止勒索軟體進(jìn)一步擴(kuò)展到網(wǎng)路或其他共享裝置。

?如果您的網(wǎng)路已受感染，請(qǐng)立即截?cái)嗨羞B接裝置。

?如果裝置受到感染但資料并未完全損壞，馬上把裝置關(guān)機(jī)，可能有機(jī)會(huì)把握時(shí)間清理和恢復(fù)資料，控制損害程度并防止情況惡化。

?把備份資料儲(chǔ)存于離線模式。檢測(cè)到病毒時(shí)應(yīng)立即切斷備份系統(tǒng)連接，并加以掃描來確保備份中沒有惡意軟體。

?立即聯(lián)系執(zhí)法機(jī)關(guān)回報(bào)任何勒索軟體案件，并請(qǐng)求協(xié)助。

客戶的系統(tǒng)安全性對(duì)于Fortinet來說至關(guān)重要。我們正在積極監(jiān)測(cè)情況以因應(yīng)任何新的惡意行為，并就最新發(fā)展發(fā)布資訊。

提供解決方案

?入侵防御系統(tǒng)特征(IPS signature)：

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

?防毒特征(AntiVirus signature)：

W32/Filecoder_WannaCryptor.B!tr

W32/WannaCryptor.B!tr

W32/Generic.AC.3EE509!tr

W32/GenKryptik.1C25!tr

?CVE安全漏洞資料庫(kù)（CVE security vulnerability database）：

2017-0143 thru 2017-0148