不可不知WannaCry勒索病毒

[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][fusion_text]發生什麼事？

在2017年5月12日世界上多個組識宣稱遭到名為WannaCry的勒索病毒的加密攻擊，受感染的電腦無法正常使用且所有文件都被加密，直到支付高達300元比特幣

（何謂比特幣請參考維基百科）的 ”贖金” 才允許解密這些被加密的文件，雖然WannaCry的宣告聲明中提到，將到六個月後免費解密這些文件（釋放肉票），但針對緊急又重要的文件檔案，誰又能等待六個月呢？

誰受害了？範圍有多大？

受害遍佈全世界眾多公共基礎設施組識，這是一個全球性的疫情，收到來自60多個國家的報告，它攻擊了醫療、電信、交通機構以及電力公司等。例如：英國公營醫療服務機構是受影響最嚴重的組識之一，其被癱瘓的國民保健服務系統（National Health Service，簡稱NHS）服務轄下48機構，造成數以千計的病人因而受到影響。F-Secure 實驗室統計受到影響的國家，依序為俄羅斯和中國，然後是法國、台灣、美國、烏克蘭及南韓。

為什麼疫情如此嚴重且擴散迅速？

WannaCry利用微軟作業系統的伺服器訊息區塊（Server Message Block，縮寫SMB）又稱網路檔案分享系統（Common Internet File System，縮寫為CIFS）的弱點（EternalBlue漏洞，針對SMBv1版本），並配合蠕蟲病毒的特性，感染後自動探測區網內其他擁有該漏洞的電腦，進行將自身再次複製至這些電腦，進而擴大受害範圍，這過程使用者不會收到任何通知。雖微軟已在2017年3月修補了這個漏洞（MS17-010），但在許多個IT環境及停止更新的老舊作業系統（Win XP）並未能即時修補該漏洞，又或許使用盜版的作業系統（特別是在中國和俄羅斯），關閉了Windows更新功能，造成整個受害範圍比想像中更加嚴重。

F-Secure如何防範WannaCry的威脅？

F-Secure端點產品提供三層防護機制來防衛WannaCry的攻擊，防護機制如下：

1. F-Secure含有軟體修補/更新功能，能夠通知管理者並透過自動修補/更新這些弱點，以防止WannaCry使用EternalBlue漏洞入侵電腦。
2. F-Secure使用DeepGuard防護功能，使用行為分析配合雲端機制即時攔阻WannaCry的攻擊。
3. F-Secure的防火牆功能，封鎖WannaCry在內網中橫向的擴散。

企業防範WannaCry的實際作法？

1. 確保企業端點安裝F-Secure企業版防護軟體，並開啟DeepGuard和即時防護功能。
2. 使用F-Secure軟體修補/更新功能，達到漏洞能被即時被補修，或手動進行修補該漏洞（Windows SMB伺服器的安全性更新4013389，參閱：MS17-010資訊安全公告）。
   註：若無法立即修補該漏洞，建議參照 微軟知識2696547，停用SMBv1協定減少入侵機率。

3. 使用防火牆功能，封鎖來自網際網路和不信任位址的TCP 445流量，F-Secure防火牆預設不啟用所有的TCP 445連線。

附錄：

WananCry感染聲明畫面：

關於WannaCry的資訊：

• 其他微軟修補/更新檔下位址：
  

  序	適合作業系統	下載位址	序	適合作業系統	下載位址
  1	Windows Server 2003 SP2 x64	KB4012598	11	Windows Vista SP2 x64	KB4012598
  2	Windows Server 2003 SP2 x86	KB4012598	12	Windows Vista SP2 x86	KB4012598
  3	Windows Server 2008 SP2 x64	KB4012598	13	Windows 7 SP1 x64	KB4012212
  4	Windows Server 2008 SP2 x86	KB4012598	14	Windows 7 SP1 x86	KB4012212
  5	Windows Server 2008 R2 SP1 x64	KB4012212	15	Windows 7 Embedded x86	KB4012212
  6	Windows Server 2012 x64	KB4012214	16	Windows 7 Embedded x64	KB4012212
  7	Windows Server 2012 R2 x64	KB4012213	17	Windows 8 x86	KB4012598
  8	Windows XP SP2 x64	KB4012598	18	Windows 8 x64	KB4012598
  9	Windows XP SP3 x86	KB4012598	19	Windows 8.1 x86	KB4012213
  10	Windows XP Embedded SP3 x86	KB4012598	20	Windows 8.1 x64	KB4012213

• 微軟針對WananCry的更新說明：

網址：https://blogs.technet.microsoft.com/MSRC/2017/05/12/CUSTOMER-GUIDANCE-FOR-WANNACRYPT-ATTACKS/

• F-Secure對WananCry威脅描述：

網址：https://www.f-secure.com/v-descs/trojan_w32_wannacryptor.shtml

本文出處：https://safeandsavvy.f-secure.com/2017/05/13/what-you-need-to-know-about-wannacry-now/[/fusion_text][fusion_text]

其他相關問題，歡迎聯繫 F-Secure 企業版專業代理商科益客服中心，將會儘快為您服務。
客服專線：（02）2585－8725；客服信箱：Service@techez.com.tw

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]