Sophos 對 WannaCry 勒索軟體的指引

Sophos 繼續努力保護客戶免受 WannaCry 勒索軟體的攻擊。我們的努力已經取得成果，但是我們繼續看到許多關於這次攻擊所導致的問題。我們應該做些什麼來保護我們的組織，還有下一步該做麼？

本文的目的就是回答這些問題。

發生了什麼事？

一支名為 Wanna (又稱 WannaCry、WCry、WanaCrypt、WanaCrypt0r 和 Wana DeCrypt0r) 的勒索軟體在上星期五在全球各地快速散播，綁架了非常多的電腦系統。英國國家衛生服務醫院 (NHS) 遭受猛烈攻擊，電話系統和 IT 系統遭綁架勒索。從此，攻擊擴散到全球。

它會加密受害者的文件，並將附檔名變更為.wnry、.wcry、.wncry 和 .wncrypt。然後它會向使用者顯示一個要求贖金的視窗：

分析證實該攻擊似乎是使用被稱為「影子經紀人」(“Shadow Brokers”) 的一群駭客所外洩的可疑 NSA 程式碼發動的。它使用了 ShadowBrokers 的 APT EternalBlue Exploit (CC-1353) 的變種。還對檔案、圖片和影片等文件使用強大的加密。

這與以前的勒索軟體攻擊有所不同。為什麼？

WannaCry 攻擊有一些特殊的地方。典型的勒索軟體感染發生在受害者點擊惡意電子郵件附件或連結之後。但在這次攻擊中，惡意軟體能夠利用遠端程式碼執行 (RCE) 弱點，讓沒有任何動作但沒有套用修補程式的電腦遭到感染。

正因為如此，這支勒索軟體就像十年前的蠕蟲爆發一樣快速傳播，如 Slammer 和 Conficker。

具體來說，WannaCry 會攻擊一個 Windows 弱點，但 Microsoft 已經在今年 3 月發布了修補程式。這個漏洞出現在 Windows Server Message Block (SMB) 服務中，Windows 電腦會利用它來在本地網路上共享檔案和印表機。Microsoft 在 MS17-010 公告中解決了這個問題。

執行舊版且不再受到支援的 Windows 版本的組織受害特別嚴重。事實上，這次 Microsoft 為所有使用者提供專為自訂支援平台 (如 Windows XP) 開發的安全更新，是非常不尋常的。該軟體巨擘在一份聲明中表示：

我們知道我們的一些客戶仍在運作不再受到主流支援的 Windows 版本。這意味著這些客戶將不會收到 3 月發佈的安全更新。有鑑於對客戶及其業務的潛在影響，我們決定為自訂支援的平台進行安全更新，如 Windows XP、Windows 8 和 Windows Server 2003，已經發佈可由此處下載。

這樣就沒事了嗎？

不太可能。隨著上個星期五該程式碼出現，我們認為模仿者將來會出現並自行發動攻擊，以搶佔牟利的機會。我們也預期未來幾天將會餘波盪漾，員工返回工作後發現公司電腦受害而需要善後處理。

Sophos 如何保護客戶？

Sophos 繼續更新針對該威脅的保護措施。使用 Intercept X 和 Sophos EXP 產品的 Sophos 客戶也將看到 CryptoGuard 技術能成功阻擋這個勒索軟體。請注意，雖然 Intercept X 和 EXP 可以阻擋其行為並在所有情況下還原已被刪除或加密的檔案，但我們發現勒索軟體宣告畫面和註解可能還是會出現。

我還應該做什麼？

請確保所有 Windows 環境都已按照 Microsoft 安全公告 MS17-010 – Critical 的指引進行更新。Microsoft 正在為 WannaCrypt 攻擊提供客戶指引。如上所述，Microsoft 已經決定為僅適用於Windows XP、Windows 8 和 Windows Server 2003 的自訂支援平台進行安全更新，可由此處下載：

正如我們一直強調的，修補作業至關重要。Sophos 客戶請繼續查看 Wana Decrypt0r 2.0 勒索軟體知識庫，我們會持續更新最新資訊。

相關資訊

• Wanna Decrypter 2.0 勒索軟體攻擊須知
• 人類總要重蹈覆轍: WannaCry的肆虐可歸功於人們忘記Slammer和Conficker攻擊的教訓
• Microsoft 對 WannaCrypt 攻擊的客戶指引
• MS17-010：Windows SMB 伺服器安全更新說明：2017 年 3 月 14 日

英文原文: https://news.sophos.com/en-us/2017/05/15/sophos-guidance-on-wannacry-ransomware/

(本博文為翻譯本，內容以英文原文為準)