勒索軟體(Ransomware)已經成為增長最快的惡意軟體威脅，目標包括一般家庭用戶、醫(yī)療保健系統(tǒng)，以及企業(yè)網路。根據Fortinet的追蹤分析顯示，自2016年1月1日起，每天平均有4,000多宗勒索軟體攻擊。

根據Fortinet的追蹤分析顯示，自2016年1月1日起，每天平均有4,000多宗勒索軟體攻擊。

FortiGuard Labs研究團隊於5月12日便開始追蹤當天迅速傳播的新型勒索軟體變種。這是一種高毒性且會自我複製的勒索軟體，已經影響了俄羅斯內政部、中國地區(qū)大學、匈牙利和西班牙電訊商，以及由英國國家衛(wèi)生服務機構管理的醫(yī)院和診所等大型組織。特別值得注意的是，它的贖金要求支援二十多種語言。

這個勒索軟體被稱為WannaCry、WCry、WanaCrypt0r、WannaCrypt或Wana Decrypt0r，是透過美國國家安全局代號「Eternal Blue」工具的漏洞所傳播。這漏洞由黑客組織Shadow Brokers上月於網上披露，利用Microsoft Server Message Block 1.0 (SMBv1)協(xié)定中的弱點來進行攻擊。

受影響的Microsoft產品

?Windows Vista

?Windows Server 2008

?Windows 7

?Windows Server 2008 R2

?Windows 8.1

?Windows Server 2012及Windows Server 2012 R2

?Windows RT 8.1

?Windows 10

?Windows Server 2016

?Windows Server Core安裝選項

Microsoft在3月份在Microsoft安全公告MS17-010中，已發(fā)布針對此漏洞的重要更新程式。Fortinet同月則發(fā)布入侵防禦系統(tǒng)特徵(IPS signature)來檢測和阻止這漏洞，並於今天發(fā)布了新防毒特徵(AntiVirus signature)以檢測和抵禦此次攻擊。 第三方的測試單位也證實了Fortinet Anti-Virus和FortiSandbox能有效地阻止這種惡意軟體。有關IPS和AV特徵的詳細資訊，請參閱本文尾段。

強烈建議採取下列步驟

?於網路所有受影響的節(jié)點安裝Microsoft發(fā)布的更新程式。

?確保Fortinet 防毒和IPS檢測以及網路過濾引擎都已啟用，防止下載到惡意軟體，並確保網路過濾能把回到命令和控制(C&C)伺服器的通訊封阻。

?將UDP埠137/138和TCP埠139/445隔離。

建議用戶和企業(yè)組織採取下列預防措施

?建立常規(guī)程序來為所有裝置的作業(yè)系統(tǒng)、軟體和韌體安裝更新程式。擁有大量裝置的大型組織可考慮採用集中的更新程式管理系統(tǒng)。

?部署入侵防禦系統(tǒng)、防毒措施和網路過濾技術，並隨時保持更新。

?定期備份資料之餘，亦要驗證其完整性並加密，測試復原備份過程，以確保其可用性。

?掃描所有收發(fā)電郵來檢測威脅，並為最終用戶過濾可執(zhí)行文件。

?安排防毒和反惡意軟體程式定期自動執(zhí)行掃描。

?停用經電郵傳輸?shù)奈募藜a(macro scripts)?？紤]改用Office Viewer等工具預覽Microsoft Office附件，而不用Office套件的應用程式直接開啟檔案。

?建立業(yè)務持續(xù)性計劃和資安事件因應策略，並定期執(zhí)行漏洞評估。

如果組織已受到勒索軟體的影響，必須：

?立即從網路中刪除受感染的裝置，防止勒索軟體進一步擴展到網路或其他共享裝置。

?如果您的網路已受感染，請立即截斷所有連接裝置。

?如果裝置受到感染但資料並未完全損壞，馬上把裝置關機，可能有機會把握時間清理和恢復資料，控制損害程度並防止情況惡化。

?把備份資料儲存於離線模式。檢測到病毒時應立即切斷備份系統(tǒng)連接，並加以掃描來確保備份中沒有惡意軟體。

?立即聯(lián)繫執(zhí)法機關回報任何勒索軟體案件，並請求協(xié)助。

客戶的系統(tǒng)安全性對於Fortinet來說至關重要。我們正在積極監(jiān)測情況以因應任何新的惡意行為，並就最新發(fā)展發(fā)佈資訊。

提供解決方案

?入侵防禦系統(tǒng)特徵(IPS signature)：

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

?防毒特徵(AntiVirus signature)：

W32/Filecoder_WannaCryptor.B!tr

W32/WannaCryptor.B!tr

W32/Generic.AC.3EE509!tr

W32/GenKryptik.1C25!tr

?CVE安全漏洞資料庫（CVE security vulnerability database）：

2017-0143 thru 2017-0148