賽門鐵克發現兩個wannacry勒索軟體與lazarus犯罪團夥的潛在聯絡:
已知的lazarus使用工具和wannacry勒索軟體共同出現:賽門鐵克發現,lazarus組織在裝置上使用的專有工具同時感染了早期版本的wannacry,但這些wannacry的早期變體並沒有能力通過smb傳播。lazarus工具可能被用作傳播wannacry的手段,但這一點還未得到證實。
共享**:谷歌人員neel mehta在部落格中聲稱,lazarus工具和wannacry勒索軟體之間共享了某些**。賽門鐵克確認該共享**是一種ssl。這種ssl工具使用了75個特殊序列的密碼,至今我們只在lazarus工具(包括contopee和brambul)和wannacry變體中見到過這種序列。
雖然以上發現不能表明 lazarus組織和wannacry的確切聯絡,但賽門鐵克認為,上述聯絡足以值得採取進一步調查。隨著真相慢慢浮出水面,我們將繼續分享更多的調查資訊。
自5月12日(星期五)起,一種名為「wannacry」(ransom.wannacry)的惡性勒索軟體已在全球範圍內攻擊了數十萬臺計算機。該勒索軟體比其他型別的勒索軟體更加危險,這是由於該勒索軟體能夠利用windows計算機的嚴重漏洞,自行在企業機構的網路中進行傳播。微軟公司在2023年3月發布了該漏洞的補丁程式(ms17-010)。今年4月,乙個名為「shadow brokers」的黑客組織洩露了一系列檔案,其中,被稱為「永恆之藍」的漏洞被發布至網路,黑客組織曾聲稱盜取了equation 網路間諜團夥的相關資料。
我是否受到保護,抵禦wannacry勒索軟體的攻擊?
賽門鐵克端點安全解決方案(symantec endpoint protection,sep)和諾頓軟體能夠主動阻擋任何試圖利用該漏洞的行為,這意味著,在wannacry首次出現前,使用者 就已經得到了全面的保護。blue coat全球情報網路(gin)可對所有授權產品進行自動檢測,偵測所有基於網路的感染嘗試意圖。賽門鐵克和諾頓產品結合多種技術,自動保護使用者抵禦wannacry的攻擊。
企業機構應該確保安裝最新的windows安全更新程式,尤其是ms17-010,防止該惡意軟體的傳播。
勒索軟體wannacry是什麼?
wannacry能夠搜尋並解密176種不同檔案,並在檔名後附加 .wcry。該勒索軟體要求受害者以位元幣支付300美元的贖金。勒索資訊中指出,如果延遲支付,贖金將會在3天後增加一倍;如果延遲支付7天,加密檔案將被刪除。
我是否能夠恢復加密檔案?或者,我應該支付贖金?
現在,還無法對加密檔案進行解密。如果受害者擁有備份,便可以通過備份來恢復被感染的檔案。賽門鐵克不建議受害者支付贖金。
在一些情況下,檔案不通過備份也可得到恢復。儲存在「桌面」、「我的文件」或可移動驅動器的檔案若被加密,並且原始檔案遭到清除——這些檔案將無法恢復。儲存在計算機其他位置的檔案若被加密,並且原始檔案遭到簡單刪除——這些檔案可使用資料恢復工具進行恢復。
wannacry何時出現?傳播速度如何?
wannacry首次出現於5月12日(星期五)。賽門鐵克發現,在當天8:00左右(格林威治時間)試圖對windows漏洞進行攻擊的次數激增。在週六和週日,賽門鐵克阻擋的試圖對windows漏洞進行攻擊的次數略有下降,但仍然保持高位。
圖.1 賽門鐵克每小時阻擋wannacry試圖對windows漏洞進行攻擊的次數
圖.2 賽門鐵克每天阻擋wannacry試圖對windows漏洞進行攻擊的次數
圖3.賽門鐵克於5月11日至15日檢測到wannacry的熱度圖
受到影響的人群?
這是否是一次針對性攻擊?
不,在現階段,我們不認為這是一次針對性攻擊。勒索軟體活動通常選擇任意目標。
為什麼wannacry給眾多企業機構帶來如此多的麻煩?
wannacry能夠利用微軟windows中的已知漏洞,即使在沒有使用者互動的情況下,仍舊可以在公司網路中自行傳播。計算機若未安裝最新的windows安全更新程式,則將面臨感染的風險。
wannacry如何進行傳播?
雖然wannacry可利用漏洞自行在企業機構的網路中進行傳播,但感染方式,即第一台受到感染的計算機的受感染方式——仍未得到證實。賽門鐵克發現,一些惡意**託管wannacry,但看起來只是模仿性攻擊,與最初的攻擊毫無關聯。
是否已經有很多受害者支付了贖金?
對勒索者提供的三個位元幣**進行分析後,賽門鐵克發現,在寫這篇博文時,受害者在207 次單獨交易中共支付了31.21位元幣(53,845美元)。
抵禦勒索軟體的最佳實踐:
◆勒索軟體變種會不定期出現,賽門鐵克建議使用者,始終保持安全軟體為最新版本,從而抵禦網路攻擊。
◆保持作業系統和其他軟體為更新版本。軟體更新經常包括可能被攻擊者所利用的新型安全漏洞補丁。這些漏洞可能被攻擊者所利用。
◆備份資料是打擊勒索攻擊的最有效方法。攻擊者通過加密受害者的寶貴檔案並使其無法訪問,從而向受害者施加壓力。如果受害者擁有備份,當感染被清理後,即可恢復檔案。對於企業使用者而言,備份應當被適當保護,或者儲存在離線狀態,使攻擊者無法刪除。
◆通過使用雲服務,幫助減輕勒索病毒感染導致的威脅。這是由於雲服務或保留檔案的以前版本,並且允許使用者通過「回滾」到未加密的檔案。
賽門鐵克針對勒索軟體Petya發布全球預警
昨晚,乙個名為petya的勒索軟體開始大肆傳播,許多企業遭遇攻擊。與wannacry勒索病毒類似,petya同樣是利用 永恆之藍 漏洞實現傳播。企業是否能夠抵禦petya勒索軟體攻擊?symantec endpoint protection sep 解決方案和諾頓產品能夠主動幫助使用者抵禦petya...
微軟發布針對最新IE漏洞的安全通報2963983
微軟於昨天發布了一篇最新的安全通報2963983 這篇安全通報主要介紹了乙個最新被披露的ie漏洞,漏洞涉及目前所有受支援的ie版本,並且包括windows xp中的ie版本。由於windows xp系統已經退役,因而在此篇安全通報文章中沒有將windows xp列為受影響的系統。對於現有的windo...
針對英特爾存在的重大漏洞,Linux發布了安全更新
前幾日,英特爾 cpu存在重大安全漏洞被傳的沸沸揚揚,據悉,這一漏洞能夠導致黑客訪問到個人電腦核心訪問的記憶體資料,其中包括使用者賬號密碼 應用程式檔案,檔案快取等。這個漏洞被命名為 meltdown 在linux中的解決方案是通過名為kernel page table的補丁集為intel x86 ...