勒索软件病毒

什么是“勒索软件”?

勒索软件病毒是一种恶意软件,它会破坏文档并使其无法使用,但计算机用户仍可以访问该计算机。勒索软件攻击者会强迫受害者通过特定的付款方式支付赎金,才能拿回数据的访问权限。不幸的是,移除工具无法解密勒索软件。

Ransomlockers 是一种相关类型的恶意软件,锁定用户电脑来阻止他们访问自己的设备或数据。受害者还可能会收到看似来自当地执法部门的邮件,要求受害者缴纳“罚款”以避免被捕并解锁他们的电脑。

勒索软件的类型

以下是一些比较知名的勒索软件示例,但并非勒索软件病毒类型的详尽列表。

Petya

Petya 是一种特洛伊木马勒索软件,会对感染计算机上的文件进行加密。 类似于  WannaCry,Petya 使用 EternalBlue 漏洞作为自身传播的手段之一。但它也使用经典的 SMB 网络传播技术,这意味着它可以在组织机构内传播,即使该机构已经修补了 EternalBlue。

了解更多信息

WannaCry

WannaCry 的危害性远远超过其他常见勒索软件类型,因为它能够利用 Windows 计算机中的关键漏洞在企业网络中传播。Microsoft 已于 2017 年 3 月修补了此漏洞 (MS17-010)。这个被称为“永恒之蓝”(Eternal Blue) 的漏洞在 4 月被一个名叫 Shadow Brokers 的团伙发布在网上, 他们公开了一系列最新泄露事件,并声称盗取了 Equation 网络间谍团伙的数据。

WannaCry 可搜索并加密 176 种文件类型,并将 .WCRY 附加到文件名的末尾。它要求用户以比特币形式支付 300 美元的赎金。该勒索信指出,如果逾期不付,三日后赎金会翻倍。如果七日后不付,加密的文件会被直接删除。然而,赛门铁克在勒索软件中没有发现任何会导致文件被删除的代码。

了解更多信息

赛门铁克如何保证您远离勒索软件

务必在所有控制点实施深度防御以阻止勒索软件传播

电子邮件

Symantec Email Security.cloud、Symantec Messaging Gateway

  • 在文件或文档内执行恶意迹象静态分析

  • 发送电子邮件前触发沙盒中潜在的恶意脚本,一旦出现恶意行为迹象立即阻断
  • 发送电子邮件前采用实时链接追踪技术阻止恶意链接,并在邮件投递后单击链接时立即进行分析

Web

Symantec Secure Web Gateway 解决方案1

  • 阻断恶意站点,包括命令和控制服务器以及加密服务器
  • 利用多层防护技术和实时威胁馈送,分析来自未知 URL 的文件是否存在可疑行为,从而判断是否存在勒索软件活动
  • 恶意软件分析可查找是否存在勒索软件特定行为,并在发送前触发沙盒中的未知文件

Endpoint

Symantec Endpoint Protection 142、ATP: Endpoint (EDR)

  • 高级机器学习技术可检测多态恶意软件
  • 模拟器可解压躲避式恶意软件,同时,行为分析可揭示勒索软件活动
  • IPS 会阻止勒索软件下载加密密钥的企图
  • 检测到勒索软件时隔离端点,从而避免横向移动
  • 在所有端点搜索勒索软件感染迹象

工作负载

Symantec Data Center Security: Server Advanced

  • 预置的 IPS 规则可防止勒索软件在系统上安装或执行可执行文件
  • 未采用全面 IPS 防护的客户可部署策略以拦截特定的恶意软件可执行文件
  • 应用其他规则拦截所有进站/出站 SMB 通信
  • 还可向全局非运行列表添加可执行文件哈希值来阻止勒索软件

了解更多信息

赛门铁克 2018 年《互联网安全威胁报告》

勒索软件逐渐从大生意变成了普通商品,虽然变种数量上涨了 46%,但赎金日渐下滑。

阅读报告

博客

WannaCry:勒索软件攻击的种种迹象表明,Lazarus 团伙有重大作案嫌疑

代码和基础架构的相似之处,表明该勒索软件与索尼影业和孟加拉银行的袭击存在密切联系。

集成式防御战略在各个攻击点拦截勒索软件

赛门铁克的高级勒索软件防护解决方案为所有控制点提供一体化防御。

Data Center Security Server Advanced 拦截 WannaCry

了解有关赛门铁克解决方案如何抵御 WannaCry 勒索软件的更多信息。

WannaCry 勒索软件:赛门铁克事件响应团队推荐的 10 大技巧

IR 如何检测、修复和预防未来的勒索软件攻击。

WannaCry 勒索软件:保险业遭受的 6 大影响

本文阐述了保险业面临的网络攻击新风险。

WannaCry 锁定的文件可解锁:技术分析

自 WannaCry 开始传播以来,勒索软件蠕虫一直是全球各大媒体的头条新闻。

关于 WannaCry 勒索软件,您需要知道的一些事

了解该勒索软件的攻击和传播方式,全力保护您的网络远离类似攻击。

赛门铁克通过跨越多个产品线的分层防御措施来保护客户远离勒索软件的攻击,保护包括电子邮件、Web、端点和数据中心服务器在内的多种攻击载体和目标。SONAR 行为检测技术同样能够主动抵御感染。

端点:Symantec Endpoint Protection 和 Norton
在 WannaCry 首次出现前,Symantec  Endpoint Protection  (SEP) 和  Norton   采用一系列技术组合成功拦截了自 4 月 24 日以来 WannaCry 发起的漏洞利用攻击。实际上,SEP 中的高级机器学习功能在尚未更新的情况下成功地阻截了全部 WannaCry 感染。包括 SEP 14、SEP Cloud 和 SEP Small Business Edition 在内的所有 SEP 版本都具有抵御 WannaCry 的自动保护功能。请参见下文的“详细信息和建议”部分,了解更多信息。

电子邮件:Symantec Email Security.cloud 和 Symantec Messaging Gateway
Symantec  Email Security.cloud  和 Symantec  Messaging Gateway  产品可自动抵御 WannaCry 发起的电子邮件攻击。

网站:Symantec Secure Web Gateway
Symantec  Secure Web Gateway  (SWG) 可阻止用户访问恶意网站和下载可能包含勒索软件的文件。SWG 解决方案包括 ProxySG、WSS、GIN、Content and Malware Analysis、Security Analytics 以及 SSLV。

工作负载:Symantec Data Center Security: Server Advanced
Symantec Data Center Security: Server Advanced (DCS:SA) 的预置入侵防护策略可阻止 WannaCry。Windows 6.0(及更高版本)Basic、Hardening 和 Whitelisting 这三种 Symantec DCS:SA 策略级别可阻止恶意执行文件进入系统,以此抵御 WannaCry 勒索软件攻击。未部署完整入侵防御功能的客户可应用目标性入侵防御策略来阻止勒索软件的执行。

注:请参阅 数据中心安全服务器 关于勒索软件的博客文章,了解更多详细信息和说明。

端点管理:Symantec IT Management Suite
Symantec  IT Management Suite  (ITMS) 提供端点和数据中心服务器适用的漏洞修补和更新功能。Microsoft 于 3 月发布了 Security Update for Microsoft Windows SMB Server (4013389) 补丁以阻止 WannaCry,从 当天开始 ITMS 就内置了该补丁的支持

注意:ITMS 7.5 将修补 Windows 7/8.1 系统,但修补 Windows 10 系统需要 ITMS 7.6 或更高版本。

网络安全服务: 客户可采用赛门铁克的 Managed Security Services 来监控 WannaCry 警报,并检测企业内勒索软件的传播情况。赛门铁克还可以提供事件响应服务,包括应对准备、查毒和 WannaCry 攻击的响应服务。

查看 详细说明 ,了解赛门铁克产品如何保护您远离 WannaCry 和其他勒索软件攻击。

面向 Symantec Endpoint Protection 和 Norton 用户的详情和建议

赛门铁克建议客户启用以下技术以实现全面主动防护:

  • 入侵防护
  • SONAR 行为检测技术
  • 高级机器学习

注意:Symantec Endpoint Protection 客户最好迁移到 SEP 14 以发挥高级机器学习功能的主动保护优势。