勒索软体 Wanna Decrypter 2.0攻击: 您要知道的事宜

[[191798]]

按2017年5月15日的更新:

• 多个新闻报导都针对这个大型勒索软件攻击报导，据悉这是利用由一群称为Shadow Brokers黑客泄漏的NSA代码所发动。这与SophosLab的调查一致，请留意我们更多即将发出的详细报告。

• Sophos将继续就事件发展为客户更新Knowledge Base Article (KBA)文章。数个更新於上周未已发出，在”More Guidance from Sophos”一拦中总结。

• 微软(Microsoft)采取不常见的步骤，让所有人都可得到其客户支持平台的安全更新(比如Windows XP)。这软件巨擘表示：「我们知道我们一些客户正使用不能再取得主流支援的Windows版本，这意味着这些户不会收到三月份推出的安全更新(Security Updates)。由於这可能影响到客户和其业务，我们决定推出安全更新至只限於客户支持平台丶Windows XP丶Windows 8和Windows Server 2003, 可於此下载。

• 「由於这攻击的代码依然不明，我们应预计这几天会有黑客抄袭并发动其攻击，以乘机获利。」信息科技顾问公司TrustedSec CEO暨创办人Dave Kennedy表示。

• 如果不是一位研究员利用Twitter处理@Malware TechBlog找到代码中隐藏的类似的kill switch，这攻击会更大型。这研究员出了一个详述其发现的帖文。在帖文中，他说：「一件非常重要的事情是我们的流量转向(sinkholing)只停止这样本，但没有任何方法阻止他们移除网域检查并再度尝试攻击，所以尽快更新并未有补丁的系统至关重要。」

在上个星期五，许多企业都遭受到灾难性的网路威胁袭击;勒索软体Wanna Decrypter 2.0席卷了全英国的医院网站;该病毒仍在全球各地不断扩散。

今年三月份，Microsoft 才发布了 Windows 漏洞修补程式。Wanna Decrypter 2.0 正是利用该 Windows 本地网路档案共用和列印功能伺服器区块 (Windows Server Message Block, SMB) 进行了网路威胁袭击。Microsoft 发布的 MS17-010 公告可解决这个问题。

SophosLabs 表示这个勒索软体 – 被称为WannaCry丶WCry丶WanaCrypt和WanaCrypt0r，会加密受害者的档案，并将档案副档名更改为 .wnry丶.wcry丶.wncry 和 .wncrypt。

Sophos 现在正在保护客户免於这个威胁。Sophos 会侦测包括 Troj/Ransom-EMG丶Mal/Wanna-A丶Troj/Wanna-C 和 Troj/Wanna-D。使用 Intercept X 的客户可以发现 CryptoGuard 技术已经可以阻挡这个勒索软体。此外，Sophos 已经为客户发布了新的知识库文章 (KBA)。

NHS 确认遭受勒索软体攻击

英国国家医疗服务体系 (NHS) 确认遭到该勒索软体攻击，其电话和 IT 系统资料均被劫持。NHS Digital 在其官网已经发布病毒攻击公告：

上周五，英国国家网路安全中心 (National Cyber Security Centre, 英国健康和国家医疗服务体系的部门) 为被病毒入侵的医院和 IT 系统提供安全防护支援，以防止勒索软体进一步扩散。

受害者会收到如下的勒索资讯：

Sophos安全防護指南

这是Sophos就今次攻击的个别勒索软件种类提供保护的更新信息:

如前所提，Sophos 已经为客户提供防护能力，Intercept X和EXP用户不用做任何事。Sophos Endpoint Protection和Sophos Home用户应立即更新版本。

防御措施

除了以上安全指南，我们还建议企业和个人使用者采取以下几个安全防御措施：

• 为系统备份，即使您正使用未有支援的XP丶Windows 8或Windows Server 2003，阅读微软的WannaCrypt攻击的客户指南。
• Ÿ参考Sophos Knowledge Base中关於Wanna Decrypt0r 2.0 Ransomware文章。
• Ÿ 定期备份并将最新备份存放到异地：除了勒索软体袭击，火灾丶水灾丶窃盗丶笔记型电脑遗失或不慎操作等意外事件，都会使档案突然遗失。只要您加密备份资料，就无需担心备份装置遭盗窃。
• Ÿ对来路不明的附件提高警觉。诈骗者往往会利用您的矛盾心理。如果您无法确定一件文件是您要的档案，就不要打开它;如果非要打开才能确定是不是您要的档案，请直接忽略它。
• Ÿ请启用 Sophos Intercept X 解决方案来阻挡未经授权的档案加密行为，拦截勒索软体威胁攻击。

来源

其他相关资讯连结：

• 对抗勒索软体攻击的一般作法，请查看知识库文章《How to stay protected against ransomware》。
• 为了防范 JavaScript 附件的风险，请设定 Windows 档案总管使用记事本开启 .JS 文件。
• 为了防范误导性的档案名称，请设定 Windows 档案总管显示档案副档名。
• 如需了解更多有关勒索软体资讯，请留意我们的 Techknow的最新资讯。
• 为了保护您的朋友和家人免受勒索软体袭击，请使用适用於 Windows 和 Mac 设备的免费的 Sophos Home家用版安全解决方案。