首页 > 最新消息 >WannaCry:目前SOPHOS掌握的疫情信息

最新消息

2017-05-17

WannaCry:目前SOPHOS掌握的疫情信息


毫无疑问的,上个星期五5/12的 WannaCry 勒索软体攻击像野火一样快速扩散。利用 Microsoft 弱点来传播蠕虫的能力肯定是勒索软体攻击的新手法。但这几天来,这个攻击已经造成了许多恐惧 (和炒作)。每个人都应该有系统的来检视这一个事件。

以下是 Sophos 最新调查的信息,包括应该如何保护客户。由这里开始,我们来逐步检视如何利用它来宏观地防范整体攻击的趋势。这次事件并不是世界末日。

随著上个星期五该程式码出现,我们认为模仿者将来会出现并自行发动攻击,以抢占牟利的机会。

在上周末,与这种规模的攻击相比,设立用来收取赎金的帐户收到的款项数量比预期少。但在星期一上午,数字上升了,表示有更多人在星期一交付赎金。在上个星期六,3 个赎金帐户已经收到了 92 比特币,总额为 26,407.85 美元。截至上个星期天,3 个帐户内的赎金高达 30,706.61 美元。到这个星期一上午,共付款数为 181 笔,总额为 29.46564365 比特币 (50,504.23 美元)。

分析证实上星期五的攻击似乎是使用被称为「影子经纪人」("Shadow Brokers") 的一群骇客所外泄的可疑 NSA 程式码发动的。它使用了 Shadow Brokers 的 APT EternalBlue 入侵程式 (CC-1353) 的一个变种,并对档案、图片和影片等文件进行了增强式加密。

根据 SophosLabs 在上周末的研究,这个攻击并不具有精密型攻击的特点。相反的,攻击者是使用 NSA 资料倾印的精密手法来发动的。导致这种攻击扩散如此之快有三个关键因素:

  1. 引起威胁的程式码可以如蠕虫般迅速传播到网路上,而不需要在初始感染后进一步诱使使用者采取行动。
  2. 它利用了许多组织未修补的弱点。修补作业系统是安全策略的第一线,但是许多人仍然很难在自己的环境中实现定期更新。
  3. 部分组织仍在运作 Windows XP。Microsoft 已经停止了对 Windows XP 的支援,并且没有为此系统发布修补程式,但 Microsoft 随后针对此次攻击为 Windows XP 发布了修补程式。Microsoft 确实支援旧版本的 Windows,但需要支付额外的费用。

Sophos 技术长 Joe Levy 表示:

完美的攻击会自我传播,但会缓慢、随机和不可预测。我们发现这个攻击像野火一样快速扩散,但受影响的设备可能还会受到第二波攻击,因为潜在的弱点可能尚未被修补。问题在于弱点和攻击是分开的。我们可以快速阻挡攻击,但如果系统没有修补弱点,还有无限种方法会让疫情扩散。

仍然使用 Windows XP 的企业特别容易受到这种攻击。这个作页系统在 2001 年首次推出,至今已经 16 年,已被 W​​indows Vista 和 Windows 7、8 和 10 所取代。

到底是谁是这次袭击的背后主使者。Sophos 正在与执法机构合作,提供关于攻击起源和媒介的任何情报。该公司认为,最初的感染可能已经是透过一个包含恶意攻击装载的电子邮件送达,然后由一个受骗的使用者开启该邮件。

SOPHOS客户保护

Sophos 继续更新针对该威胁的保护措施。使用 Intercept X 和 Sophos EXP 产品的Sophos 客户也将看到 CryptoGuard 技术能成功阻挡这个勒索软体。请注意,虽然 Intercept X 和 EXP 可以阻挡其行为并在所有情况下还原已被删除或加密的档案,但我们发现勒索软体宣告画面和注解可能还是会出现。

Sophos 正在不断更新关于该主题的知识库文章,提供如何阻挡特定病毒家族的更新信息。

同时,我们强烈建议所有人都按照 Microsoft 安全公告 MS17-010 - Critical 的指引更新 Windows 环境。对于使用较旧版本 Windows 的使用者,Microsoft 已经为 WannaCrypt 攻击提供了客户指引,并决定为自订支援的平台提供安全更新 - Windows XP、Windows 8 和 Windows Server 2003,已经可以下载。

不是世界末日

和这次攻击同样重要的是,我们必须注意整体攻击趋势已经转变。这种攻击是融入旧手法而创新的一场完美风暴。SophosLabs 副总裁 Simon Reed 表示:

这次攻击显示出商业恶意软体使用最强大的入侵攻击手法来推动机会主义性质的目标,最终目的就是为了赚钱。

归根究底,以下建议永远适用于想要防范这些攻击的人。

防范入侵 Microsoft 弱点的恶意软体:

  • 保持所有修补程式为最新版本,并迅速套用它们。
  • 如果可能,请使用最新版本替换旧的 Windows 系统。

防范勒索软体的一般作法:

  • 定期备份,并在异地保留最近的备份副本。除了勒索软体之外,档案可能会任何理由突然消失,如火灾、洪水、窃盗、遗失笔记型电脑甚至意外删除等。加密您的备份,如此一来就不必担心备份装置落入他人之手。
  • 对不请自来的附件保持谨慎。骗徒都是利用您不知道是否应该开启档案的矛盾。除非打开它,否则您不确定它是否是想要的。如果怀疑,就删掉它。
  • 使用 Sophos Intercept X ,对于家庭 (非商业) 使用者来说请注册 Sophos Home Premium Beta,它可以阻挡未经授权的档案加密来防范发动攻击的勒索软体。

付还是不付?

最后还有一个问题是,受害者应该支付赎金还是置之不理。Sophos 在这个问题上大多采取中立立场。在一个完美的世界里,没有人愿意付钱给坏蛋。但是实际上各组织情况不同,部分人可能别无选择,认为只能付出代价才能重新开始业务。

在这次攻击中,到目前为止支付赎金似乎没有帮助。所以,Levy 认为支付赎金是不明智的:

一般来说,付钱是一个坏主意,除非组织真的觉得资料是不可替代的,而且确知赎金支付真的有效。在这次攻击中,它似乎没有什么效果。