使用趨勢科技產品防禦 WCRY 勒索病毒

WannaCry 如何感染電腦？

WannaCry 使用 Shadow Brokers 洩漏出的弱點攻擊套件「EternalBlue」攻擊微軟的安全性弱點 CVE-2017-0144。雖然微軟在2017年3月已經針對此安全性弱點發布了MS17-010 修補程式，但是沒有安裝修補程式的電腦仍然很容易被感染。

WannaCry 的蠕蟲特性讓它可以在網路之間散佈，自動感染區域網路內連線的電腦。所以只要其中一台電腦遭到感染，整個網路環境都暴露於風險之中。

趨勢科技同時也密切注意類似的威脅（例如：Uiwix 勒索病毒及 Monero-Mining 惡意程式，兩者皆攻擊同一個微軟弱點 CVE-2017-0144），並會持續更新我們的偵測防禦狀況（例如：Ransom_UIWIX.A 與 TROJ_COINMINER.WN）。相關資訊請參閱 After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit。

降低感染風險的步驟

執行最佳實作

• 安裝修補程式並且更新系統，或是考慮虛擬補丁的解決方案； 
• 啟動防火牆、入侵偵測系統、入侵防禦系統；
• 主動監控進出的網路流量；
• 針對其他入侵點如 Email、網站部署安全防禦措施；
• 除了行為監控阻止系統內的異動外，也部署應用程式控管阻止可疑程式執行；
• 妥善分類資料並切割區域網路，以降低資料暴露受損的風險；
• 使用 GPO 或依照微軟說明停用 SMB (v1)；
• 確保安裝所有修補程式，尤其是與 MS17-010 相關的修補程式（或是使用虛擬補丁解決方案）；

趨勢科技產品與防護措施

趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上，我們已能針對這樣的新威脅事件提供某種程度的防護能力：

• 設定更新與下一代技術：
  趨勢科技客戶使用最新版本 OfficeScan 與 WorryFree Business Security 請確保已啟用「預測性機器學習」功能（OfficeScan XG 版本、Worry-Free Services）以及所有與勒索病毒相關的防護功能。相關設定資訊請參考此則 KB 文章https://success.trendmicro.com/solution/1112223 

• 病毒碼： 
  趨勢科技已可偵測已知的病毒變種及元件，請確認您已更新病毒碼至下列版本：
• 雲端病毒碼 – 13.401.00
• 傳統掃瞄病毒碼 - 13.401.00 
  請時時保持病毒碼更新到最新版本以防病毒變種攻擊；

• 趨勢科技網頁信譽評等服務（Web Reputation Services，WRS）已加入已知的命令控制伺服器（Command and Control servers，C&C）。 

• 趨勢科技 Deep Security 與 Vulnerability Protection 已釋出了防堵此漏洞的規則更新。建議客戶儘快下載並套用至最新的規則更新
• IPS Rules 1008224, 1008228, 1008225, 1008227 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點； 

• 趨勢科技 Deep Discovery Inspector 客戶請確認已更新以下規則並監控是否偵測 C&C 連線
• DDI Rule 2383:  CVE-2017-0144 – Remote Code Execution – SMB (Request) 

• 趨勢科技 TippingPoint 客戶請確認已更新以下規則
• Filters 5614, 27433, 27711, 27935, 27928 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點；
• ThreatDV Filter 30623 - 降低對外的 C2 通訊； 
• Policy Filter 11403 - 提供針對 SMB 的額外防護；
  
  
• Trend Micro Endpoint Application Control (EAC) 管理員利用此產品的「Lockdown」模式，僅經過預先設定的應用程式方能執行運作，可保護使用者避免此勒索病毒攻擊。
  
  
• Trend Micro Cloud Edge 下列規則可保護使用者防禦此勒索病毒： 
• Rule 1133615: SMB Microsoft Windows SMB Server SMBv1 CVE-2017-0145 Buffer Overflow (CVE-2017-0145)
• Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
• Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
• Rule 1133637: SMB Microsoft MS17-010 SMB Remote Code Execution -3
• Rule 1133638: SMB Microsoft MS17-010 SMB Remote Code Execution -4
  
  
• Trend Micro Home Network Security 下列規則可保護使用者防禦此勒索病毒：
• Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
• Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2

參考資料

專家分析文章

• TrendLabs Security Intelligence Blog: Massive WannaCry/Wcry Ransomware Attack Hits Various Countries
• TrendLabs Security Intelligence Blog: After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit
• Trend Micro SimplySecurity Blog: WannaCry & The Reality of Patching
• Trend Micro SimplySecurity Blog: WannaCry and the Executive Order
• Defense Strategies Blog: Defending against WannaCry/Wcry Ransomware
• Trend Micro Security News:  Malware Using Exploits from Shadow Brokers Leak Reportedly in the Wild

技術資訊

• Virus Encyclopedia: Ransom_Wana.A
• Virus Encyclopedia: Ransom_WCRY.I
• Support Advisory:  Indicators Showing Interception / Blocking on WCRY (WannaCry) Ransomware
• Support Article: Latest Trend Micro Protection Against Shadow Brokers Tools (including "Eternalblue")
• Trend Micro Security News: WCRY: What Your IT/SYS Admins Need to Do

第三方資訊

• Microsoft Security Bulletin MS17-010: Critical Security Update for Windows SMB Server (4013389)
• 在較舊版本作業系統上與 MS17-010 相關的其他修補程式：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

趨勢科技強烈建議，請務必儘速套用軟體廠商釋出的重大修補更新。若客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問，請洽您的授權趨勢科技技術支援代表以尋求進一步協助。