Sophos 对 WannaCry 勒索软件的指引

Sophos 继续努力保护客户免受 WannaCry 勒索软件的攻击。我们的努力已经取得成果，但是我们继续看到许多关于这次攻击所导致的问题。我们应该做些什么来保护我们的组织，还有下一步该做么?

本文的目的就是回答这些问题。

发生了什么事?

一支名为 Wanna (又称 WannaCry丶WCry丶WanaCrypt丶WanaCrypt0r 和 Wana DeCrypt0r) 的勒索软件在上星期五在全球各地快速散播，绑架了非常多的电脑系统。英国国家卫生服务医院 (NHS) 遭受猛烈攻击，电话系统和 IT 系统遭绑架勒索。从此，攻击扩散到全球。

它会加密受害者的文件，并将附档名变更为.wnry丶.wcry丶.wncry 和 .wncrypt。然后它会向使用者显示一个要求赎金的视窗：




分析证实该攻击似乎是使用被称为“影子经纪人” ("Shadow Brokers") 的一群骇客所外泄的可疑 NSA 程序码发动的。它使用了 ShadowBrokers 的 APT EternalBlue Exploit (CC-1353) 的变种。还对档案丶图片和影片等文件使用强大的加密。

这与以前的勒索软件攻击有所不同。为什么?

WannaCry 攻击有一些特殊的地方。典型的勒索软件感染发生在受害者点击恶意电子邮件附件或连结之后。但在这次攻击中，恶意软件能够利用远端程序码执行 (RCE) 弱点，让没有任何动作但没有套用修补程序的电脑遭到感染。

正因为如此，这支勒索软件就像十年前的蠕虫爆发一样快速传播，如 Slammer 和 Conficker。

具体来说，WannaCry 会攻击一个 Windows 弱点，但 Microsoft 已经在今年 3 月发布了修补程序。这个漏洞出现在 Windows Server Message Block (SMB) 服务中，Windows 电脑会利用它来在本地网路上共享档案和印表机。Microsoft 在 MS17-010 公告中解决了这个问题。

执行旧版且不再受到支持的 Windows 版本的组织受害特别严重。事实上，这次 Microsoft 为所有使用者提供专为自订支持平台 (如 Windows XP) 开发的安全更新，是非常不寻常的。该软件巨擘在一份声明中表示：

我们知道我们的一些客户仍在运作不再受到主流支持的 Windows 版本。这意味着这些客户将不会收到 3 月发布的安全更新。有鉴于对客户及其业务的潜在影响，我们决定为自订支持的平台进行安全更新，如 Windows XP丶Windows 8 和 Windows Server 2003，已经发布可由下载。

这样就没事了吗?

不太可能。随着上个星期五该程序码出现，我们认为模仿者将来会出现并自行发动攻击，以抢占牟利的机会。我们也预期未来几天将会馀波荡漾，员工返回工作后发现公司电脑受害而需要善后处理。

Sophos 如何保护客户?

Sophos 继续更新针对该威胁的保护措施。使用 Intercept X 和 Sophos EXP 产品的 Sophos 客户也将看到 CryptoGuard 技术能成功阻挡这个勒索软件。请注意，虽然 Intercept X 和 EXP 可以阻挡其行为并在所有情况下还原已被删除或加密的档案，但我们发现勒索软件宣告画面和注解可能还是会出现。

我还应该做什么?

请确保所有 Windows 环境都已按照 Microsoft 安全公告 MS17-010 - Critical 的指引进行更新。Microsoft 正在为 WannaCrypt 攻击提供客户指引。如上所述，Microsoft 已经决定为仅适用于Windows XP丶Windows 8 和 Windows Server 2003 的自订支持平台进行安全更新，可下载：

正如我们一直强调的，修补作业至关重要。Sophos 客户请继续查看 Wana Decrypt0r 2.0 勒索软件知识库，我们会持续更新最新资讯。

相关信息

· Wanna Decrypter 2.0 勒索软件攻击须知

· 人类总要重蹈覆辙: WannaCry的肆虐可归功于人们忘记Slammer和Conficker攻击的教训

· Microsoft 对 WannaCrypt 攻击的客户指引

· MS17-010：Windows SMB 服务器安全更新说明：2017 年 3 月 14 日

线上研讨会

立即参加「如何防御勒索软件威胁」在线研讨会 (普通话) – 5月26日(星期五)

原文: https://news.sophos.com/en-us/2017/05/15/sophos-guidance-on-wannacry-ransomware/