按2017年5月15日的更新:
- 多个新闻报导都针对这个大型勒索软件攻击报导,据悉这是利用由一群称为Shadow Brokers黑客泄漏的NSA代码所发动。这与SophosLab的调查一致,请留意我们更多即将发出的详细报告。
- Sophos将继续就事件发展为客户更新Knowledge Base Article (KBA)文章。数个更新於上周未已发出,在”More Guidance from Sophos”一拦中总结。
- 微软(Microsoft)采取不常见的步骤,让所有人都可得到其客户支持平台的安全更新(比如Windows XP)。这软件巨擘表示:「我们知道我们一些客户正使用不能再取得主流支援的Windows版本,这意味着这些户不会收到三月份推出的安全更新(Security Updates)。由於这可能影响到客户和其业务,我们决定推出安全更新至只限於客户支持平台丶Windows XP丶Windows 8和Windows Server 2003, 可於此下载。
- 「由於这攻击的代码依然不明,我们应预计这几天会有黑客抄袭并发动其攻击,以乘机获利。」信息科技顾问公司TrustedSec CEO暨创办人Dave Kennedy表示。
- 如果不是一位研究员利用Twitter处理@Malware TechBlog找到代码中隐藏的类似的kill switch,这攻击会更大型。这研究员出了一个详述其发现的帖文。在帖文中,他说:「一件非常重要的事情是我们的流量转向(sinkholing)只停止这样本,但没有任何方法阻止他们移除网域检查并再度尝试攻击,所以尽快更新并未有补丁的系统至关重要。」
在上个星期五,许多企业都遭受到灾难性的网路威胁袭击;勒索软体Wanna Decrypter 2.0席卷了全英国的医院网站;该病毒仍在全球各地不断扩散。
今年三月份,Microsoft 才发布了 Windows 漏洞修补程式。Wanna Decrypter 2.0 正是利用该 Windows 本地网路档案共用和列印功能伺服器区块 (Windows Server Message Block, SMB) 进行了网路威胁袭击。Microsoft 发布的 MS17-010 公告可解决这个问题。
SophosLabs 表示这个勒索软体 - 被称为WannaCry丶WCry丶WanaCrypt和WanaCrypt0r,会加密受害者的档案,并将档案副档名更改为 .wnry丶.wcry丶.wncry 和 .wncrypt。
Sophos 现在正在保护客户免於这个威胁。Sophos 会侦测包括 Troj/Ransom-EMG丶Mal/Wanna-A丶Troj/Wanna-C 和 Troj/Wanna-D。使用 Intercept X 的客户可以发现 CryptoGuard 技术已经可以阻挡这个勒索软体。此外,Sophos 已经为客户发布了新的知识库文章 (KBA)。
NHS 确认遭受勒索软体攻击
英国国家医疗服务体系 (NHS) 确认遭到该勒索软体攻击,其电话和 IT 系统资料均被劫持。NHS Digital 在其官网已经发布病毒攻击公告:
上周五,英国国家网路安全中心 (National Cyber Security Centre, 英国健康和国家医疗服务体系的部门) 为被病毒入侵的医院和 IT 系统提供安全防护支援,以防止勒索软体进一步扩散。
受害者会收到如下的勒索资讯:
Sophos安全防護指南
这是Sophos就今次攻击的个别勒索软件种类提供保护的更新信息:
如前所提,Sophos 已经为客户提供防护能力,Intercept X和EXP用户不用做任何事。Sophos Endpoint Protection和Sophos Home用户应立即更新版本。
防御措施
除了以上安全指南,我们还建议企业和个人使用者采取以下几个安全防御措施:
- 为系统备份,即使您正使用未有支援的XP丶Windows 8或Windows Server 2003,阅读微软的WannaCrypt攻击的客户指南。
- Ÿ参考Sophos Knowledge Base中关於Wanna Decrypt0r 2.0 Ransomware文章。
- Ÿ 定期备份并将最新备份存放到异地:除了勒索软体袭击,火灾丶水灾丶窃盗丶笔记型电脑遗失或不慎操作等意外事件,都会使档案突然遗失。只要您加密备份资料,就无需担心备份装置遭盗窃。
- Ÿ对来路不明的附件提高警觉。诈骗者往往会利用您的矛盾心理。如果您无法确定一件文件是您要的档案,就不要打开它;如果非要打开才能确定是不是您要的档案,请直接忽略它。
- Ÿ请启用 Sophos Intercept X 解决方案来阻挡未经授权的档案加密行为,拦截勒索软体威胁攻击。
来源
其他相关资讯连结:
- 对抗勒索软体攻击的一般作法,请查看知识库文章《How to stay protected against ransomware》。
- 为了防范 JavaScript 附件的风险,请设定 Windows 档案总管使用记事本开启 .JS 文件。
- 为了防范误导性的档案名称,请设定 Windows 档案总管显示档案副档名。
- 如需了解更多有关勒索软体资讯,请留意我们的 Techknow的最新资讯。
- 为了保护您的朋友和家人免受勒索软体袭击,请使用适用於 Windows 和 Mac 设备的免费的 Sophos Home家用版安全解决方案。