使用趨勢科技產品防禦 WCRY 勒索病毒

技術支援
解決方案編號 更新時間
1117391 2017/05/19 03:24 (PST)


對應產品 對應作業系統
Deep Discovery Analyzer - All;Deep Discovery Inspector - All;Deep Security - All;OfficeScan - All;Worry-Free Business Security Standard/Advanced - All;
Windows - 10, All

問題描述

趨勢科技發現最新的勒索病毒 WCRY(WannaCry)在全球各地的爆發案件,並已密切監控中。

受害者電腦被感染後,WannaCry 可以加密 176 種類型的檔案,包括了資料庫檔案、多媒體檔案、微軟的 Office 檔案。WannaCry 留下的說明檔案中指出,贖金的價碼高達 300 美金等值的比特幣,金額還會隨著時間而增加,被加密的檔案在七天後會被刪除。

解決方案

WannaCry 如何感染電腦?

WannaCry 使用 Shadow Brokers 洩漏出的弱點攻擊套件「EternalBlue」攻擊微軟的安全性弱點 CVE-2017-0144。雖然微軟在2017年3月已經針對此安全性弱點發布了MS17-010 修補程式,但是沒有安裝修補程式的電腦仍然很容易被感染。

WannaCry 的蠕蟲特性讓它可以在網路之間散佈,自動感染區域網路內連線的電腦。所以只要其中一台電腦遭到感染,整個網路環境都暴露於風險之中。

趨勢科技同時也密切注意類似的威脅(例如:Uiwix 勒索病毒及 Monero-Mining 惡意程式,兩者皆攻擊同一個微軟弱點 CVE-2017-0144),並會持續更新我們的偵測防禦狀況(例如:Ransom_UIWIX.A 與 TROJ_COINMINER.WN)。相關資訊請參閱 After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit

 

降低感染風險的步驟

執行最佳實作

  • 安裝修補程式並且更新系統,或是考慮虛擬補丁的解決方案; 
  • 啟動防火牆、入侵偵測系統、入侵防禦系統;
  • 主動監控進出的網路流量;
  • 針對其他入侵點如 Email、網站部署安全防禦措施;
  • 除了行為監控阻止系統內的異動外,也部署應用程式控管阻止可疑程式執行;
  • 妥善分類資料並切割區域網路,以降低資料暴露受損的風險;
  • 使用 GPO 或依照微軟說明停用 SMB (v1);
  • 確保安裝所有修補程式,尤其是與 MS17-010 相關的修補程式(或是使用虛擬補丁解決方案);

 

趨勢科技產品與防護措施

趨勢科技建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上,我們已能針對這樣的新威脅事件提供某種程度的防護能力:

  • 設定更新與下一代技術:
    趨勢科技客戶使用最新版本 OfficeScan 與 WorryFree Business Security 請確保已啟用「預測性機器學習」功能(OfficeScan XG 版本、Worry-Free Services)以及所有與勒索病毒相關的防護功能。相關設定資訊請參考此則 KB 文章https://success.trendmicro.com/solution/1112223 
  • 病毒碼: 
    趨勢科技已可偵測已知的病毒變種及元件,請確認您已更新病毒碼至下列版本:
    • 雲端病毒碼 – 13.401.00
    • 傳統掃瞄病毒碼 - 13.401.00 
      請時時保持病毒碼更新到最新版本以防病毒變種攻擊;
  • 趨勢科技網頁信譽評等服務(Web Reputation Services,WRS)已加入已知的命令控制伺服器(Command and Control servers,C&C)。 
  • 趨勢科技 Deep Security 與 Vulnerability Protection 已釋出了防堵此漏洞的規則更新。建議客戶儘快下載並套用至最新的規則更新
    • IPS Rules 1008224, 1008228, 1008225, 1008227 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點; 
  • 趨勢科技 Deep Discovery Inspector 客戶請確認已更新以下規則並監控是否偵測 C&C 連線
    • DDI Rule 2383:  CVE-2017-0144 – Remote Code Execution – SMB (Request) 
  • 趨勢科技 TippingPoint 客戶請確認已更新以下規則
    • Filters 5614, 27433, 27711, 27935, 27928 – 涵蓋 MS17-010 以及防護 Windows SMB 遠端程式碼執行弱點;
    • ThreatDV Filter 30623 - 降低對外的 C2 通訊; 
    • Policy Filter 11403 - 提供針對 SMB 的額外防護;

  • Trend Micro Endpoint Application Control (EAC) 管理員利用此產品的「Lockdown」模式,僅經過預先設定的應用程式方能執行運作,可保護使用者避免此勒索病毒攻擊。

  • Trend Micro Cloud Edge 下列規則可保護使用者防禦此勒索病毒: 
    • Rule 1133615: SMB Microsoft Windows SMB Server SMBv1 CVE-2017-0145 Buffer Overflow (CVE-2017-0145)
    • Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
    • Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2
    • Rule 1133637: SMB Microsoft MS17-010 SMB Remote Code Execution -3
    • Rule 1133638: SMB Microsoft MS17-010 SMB Remote Code Execution -4

  • Trend Micro Home Network Security 下列規則可保護使用者防禦此勒索病毒:
    • Rule 1133635: SMB Microsoft MS17-010 SMB Remote Code Execution -1
    • Rule 1133636: SMB Microsoft MS17-010 SMB Remote Code Execution -2

參考資料

專家分析文章

技術資訊

第三方資訊

 

趨勢科技強烈建議,請務必儘速套用軟體廠商釋出的重大修補更新。若客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問,請洽您的授權趨勢科技技術支援代表以尋求進一步協助。


評定這個解決方案
此解決方案是否能解決您的問題?

請提供您的寶貴意見,幫助我們改進這一解決方案。

 
  *注意! 此為諮詢百科收集建議使用, 系統不會提供任何回覆
 

 

透過以下社群網站聯絡我們