“WannaCry”恶意软件是如何传播的,用户应该如何保护自己?

信息安全 恶意软件 勒索软件 想哭
2021-08-15 22:06:26

有一种新的攻击类型正在影响世界各地的许多系统(包括英国的 NHS 和西班牙的 Telefonica),这些系统被称为“WannaCry”

这似乎是一种标准的网络钓鱼/勒索软件攻击,但一旦进入目标网络,它也会像蠕虫一样传播。

这种恶意软件如何危害人们的系统以及人们保护自己免受这种攻击的最佳方式是什么?

4个回答

WannaCry 攻击是利用Microsoft Windows 操作系统中的SMBv1远程代码执行漏洞发起的。微软于 3 月 14 日修补了EternalBlue漏洞,并于 2017 年 4 月 14 日通过“Shadowbrokers dump”公开提供。但是,许多公司和公共组织尚未在其系统中安装补丁。微软针对旧版 Windows 的补丁在攻击后于上周发布。

如何预防 WannaCry 感染?

  1. 确保所有主机都启用了端点反恶意软件解决方案。

  2. 安装官方 Windows 补丁 (MS17-010) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx,该补丁关闭了在此勒索软件攻击中使用的 SMB Server 漏洞。

  3. 扫描所有系统。检测到恶意软件攻击为 MEM:Trojan.Win64.EquationDrug.gen 后,重新启动系统。确保安装了 MS17-010 补丁。

  4. 将所有重要数据备份到外部硬盘驱动器或云存储服务。

更多信息在这里:https ://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

该勒索软件使用 SMBv1(服务器消息块版本 1)中已知的、公开披露的漏洞。它是一种应用程序级协议,用于在网络环境中共享文件和打印机。

SMBv1 协议常见于联网的 Windows 环境中,包括 Windows XP、Windows 7、8、8.1 和 10 等操作系统。Windows Vista 及更高版本允许使用 SMBv1,即使它们支持改进的 SMBv2 和 v3协议。

那些不使用 Microsoft 实现的环境不太可能受到漏洞利用和相关漏洞的影响。此外,那些不支持 SMBv1 的环境也不受影响。

您可以按照 Microsoft 的说明禁用 SMBv1 支持:https: //support.microsoft.com/kb/2696547

运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的用户可以通过删除“SMB1.0/CIFS 文件共享支持”的 Windows 功能来禁用该支持。

微软实施的 SMBv1 存在六个主要漏洞。前五个(也是更重要的)是允许远程任意代码执行的。最后一个允许“数据披露”。勒索软件利用前五个漏洞并利用它们。

用户/企业可以采取的减轻这种勒索软件和其他软件的措施包括:

  • 确保系统已修补,漏洞已于 2017 年 3 月修补。
  • 保留系统或关键用户/业务数据的最新备份。
  • 使用和维护防病毒解决方案
  • 使用备份方案,例如 GFS(祖父、父亲、儿子)。
  • 删除对 SMBv1 的使用或支持(见上文)。
  • 隔离网络以减少损害影响。
  • 如果可能,请使用一组不同的系统和操作系统。

网页链接:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.microsoft.com/en-us/library/aa365233(VS.85).aspx

http://www.eweek.com/security/wannacry-ransomware-attack-hits-victims-with-microsoft-smb-exploit

思科发布了一篇关于此的文章,比我见过的任何其他文章都更详细。它们的基本预防步骤如下:

  • 确保所有基于 Windows 的系统都已完全修补。至少,确保已应用 Microsoft 公告 MS17-010。
  • 根据已知的最佳实践,任何拥有可通过 Internet(端口 139、445)公开访问的 SMB 的组织都应立即阻止入站流量。

至少根据那个微软公告,这似乎是一个 SMBv1 漏洞,而不是 SMBv2。

谁有风险?运行此处补丁公告中列出的操作系统的任何人:https ://technet.microsoft.com/en-us/library/security/ms17-010.aspx

如何?恶意软件可以通过多种方式传播,一旦一个端点受到威胁,该恶意软件的“蠕虫”方面就会利用 ms17-010。因此,它可能是单击链接,打开已通过电子邮件等发送的存档等。https://www.microsoft.com/en-us/security/portal/mmpc/help/infection.aspx

好像是?你在跟我开玩笑吗 ;-)

观看它的传播:https ://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

妥协指标:https ://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/

扫描易受攻击的端点(nmap): https ://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

其它你可能感兴趣的问题
上一篇页面上的广告可以读取我的密码吗? 下一篇SSL3“贵宾犬”漏洞