亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告！

國內教育網已成重災區，亞信安全提供事前、事中、事後全面解決方案

2017年5月12日起， 全球性爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼， 經研究發現這是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件。“永恆之藍”通過掃描開放445檔案共享埠的Windows電腦甚至是電子資訊屏，無需使用者進行任何操作，只要開機聯網，不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等一系列惡意程式。

【感染全球的勒索資訊提示】

利用445檔案共享埠實施破壞的蠕蟲病毒，曾多次在國內爆發。因此，運營商很早就針對個人使用者將445埠封閉，但是教育網並未作此限制，仍然存在大量開放的445埠。據有關機構統計，目前國內平均每天有5000多臺電腦遭到NSA“永恆之藍”黑客武器的遠端攻擊，教育網已成重災區！

目前，亞信安全已截獲WannaCry/Wcry勒索軟體，並將其命名為：RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日，亞信安全伺服器深度安全防護系統Deep Security 和亞信安全深度威脅發現裝置TDA 已釋出補丁能夠抵禦該蠕蟲在內網的傳播。

據亞信安全中國病毒響應中心監測：該勒索軟體利用了微軟SMB遠端程式碼執行漏洞CVE-2017-0144，微軟已在今年3月份釋出了該漏洞的補丁。2017年4月黑客組織影子經紀人（Shadow Brokers）公佈的方程式組織（Equation Group）使用的“EternalBlue”中包含了該漏洞的利用程式，而該勒索軟體的攻擊者在借鑑了該“EternalBlue”後進行了這次全球性的大規模勒索攻擊事件。

針對此次“永恆之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件，我們目前提出相關產品的應對措施及風險應對方案：

• 亞信安全深度威脅發現裝置TDA

TDA於2017年4月26日已釋出檢測規則（Rule ID 2383），針對透過微軟SMB遠端程式碼執行漏洞CVE-2017-0144（MS17-010）所導致的相關網路攻擊進行檢測。利用此漏洞的攻擊包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。

TDA 的內網攻擊檢測能力是針對源頭的零日漏洞進行實時有效的網路攻擊行為檢測，讓使用者能快速從網路威脅情報的角度定位內網遭受攻擊的終端，以實施相對應的響應措施。同時，使用者可透過產品聯動方式與亞信安全終端安全產品 OfficeScan 以及亞信安全閘道器產品 DeepEdge 進行有效聯動以阻斷其攻擊。

• 亞信安全伺服器深度安全防護系統Deep Security

針對微軟遠端程式碼執行漏洞[1008306 - Microsoft Windows SMB Remote Code _execution Vulnerability (MS17-010)]， Deep Security在5月2日就已釋出了針對所有Windows 系統的IPS策略，使用者只需要對虛擬化系統做一次"建議掃描"操作，就能自動應用該策略，無論是有代理還是無代理模式，都能有效防護該勒索軟體。

• 亞信安全深度威脅安全閘道器Deep Edge

Deep Edge在4月26日就釋出了針對微軟遠端程式碼執行漏洞 CVE-2017-0144的4條IPS規則 （規則名稱：微軟MS17 010 SMB遠端程式碼執行1-4 規則號：1133635,1133636,1133637,1133638）。可在網路邊界及內網及時發現並攔截此次加密勒索軟體攻擊。

• 亞信安全深度威脅郵件閘道器DDEI

針對加密勒索軟體攻擊，使用者需要在Web和Mail兩個入口嚴加防範。雖然此次攻擊是黑客利用系統漏洞發起的勒索軟體攻擊，只需在Web渠道通過IPS或防火牆規則即可攔截，但廣大使用者切不可掉以輕心，因為還有大量的勒索軟體攻擊是通過郵件渠道發起的，我們還需要在郵件入口處加以防範，防止勒索軟體捲土重來。

• 亞信安全防毒牆網路版OfficeScan

針對亞信安全OfficeScan，目前各個版本可以通過更新最新病毒庫進行攔截該勒索病毒。同時即將於6月底釋出的OfficeScan 12測試版，在使用機器學習引擎不更新病毒庫的環境中，已能夠成功攔截該勒索軟體。機器學習引擎使用人工智慧技術，通過海量資料訓練而成，可以有效甄別惡意軟體特徵，不需要等待病毒庫，就可以幫助使用者有效的攔截各種未知的威脅軟體。

其他防護建議：

1.未升級作業系統的處理方式（不推薦，僅能臨時緩解）：啟用並開啟“Windows防火牆”，進入“高階設定”，在入站規則裡禁用“檔案和印表機共享”相關規則。

2.升級作業系統的處理方式（推薦）：建議廣大師生使用自動更新升級到Windows的最新版本。

教育網安全緩解措施：

1.在邊界出口交換路由裝置禁止外網對校園網135/137/139/445埠的連線；

2.在校園網路核心主幹交換路由裝置禁止135/137/139/445埠的連線。

建議加強系統加固：

1.及時升級作業系統到最新版本；

2.勤做重要檔案非本地備份；

3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新服務的作業系統。

亞信安全詳解WannaCry/Wcry勒索軟體感染流程

• 利用SMB遠端程式碼執行漏洞感染系統；

• 在被感染系統中執行惡意檔案，並開啟服務；

• 惡意檔案執行後，釋放真正的勒索軟體；

• 加密系統中的檔案，並提示勒索資訊；

• 被加密後的副檔名被統一改為“.WNCRY”，勒索軟體攻擊者索要相當於300美元的比特幣贖金。

【WannaCry/Wcry勒索軟體感染流程】

此次勒索軟體事件特別針對高校產生了極大影響，可能會在更廣闊的終端消費者群體內爆發，亞信安全提醒廣大使用者提高安全防範意識，做好資料備份策略，採用更加積極主動的工具制定事前、事中、事後的安全策略，才能應對隱藏在網路世界中的不法分子。