勒索軟體病毒

什麼是勒索軟體?

勒索軟體病毒屬於一種惡意軟體,旨在破壞文件並使其無法使用,但仍讓電腦使用者仍可使用並存取該電腦。勒索軟體攻擊者會強迫受害者以特定方式支付贖金,隨後再返還受害者存取自己資料的權限。但光是刪除工具並無法解密勒索軟體。

「Ransomlockers」則是相關類型的惡意軟體,可鎖定電腦而阻止使用者存取自己的裝置或資料。受害者可能會收到來自於所在地執法部門的訊息,要求支付「罰款」以免牢獄之災並解鎖他們的電腦。

勒索軟體類型

雖然目前尚無詳盡的勒索軟體病毒類型列表,但有一些著名的勒索軟體範例。

Petya

「Petya」是一種特洛伊木馬勒索軟體,可對受感染電腦上加密其檔案。 與 「WannaCry」類似,Petya 同樣使用 EternalBlue 漏洞作為散播的手段之一。但也使用經典的 SMB 網路散播技術,這代表即使已針對 EternalBlue 修復,它仍可在企業之內傳播。

瞭解更多資訊

WannaCry

比起其他常見類型的勒索軟體,「WannaCry」能刺探利用 Windows 電腦的重大漏洞,自行在公司的網路中散佈,因此具有更高的危險性。即使 Microsoft 已透過 2017 年 3 月發行的修補程式 (MS17-010) 修正該漏洞,仍須特別留意。這個被稱為「Eternal Blue」的漏洞,是在 4 月時由名為 「Shadow Brokers」的團體透過一系列漏洞而發佈上線,且該團體聲稱其竊取了「Equation」網路間諜組織的資料。

WannaCry 可搜索並加密 176 種不同的檔案類型,並將 .WCRY 附加到檔案名稱末端。它會要求使用者支付價值等同 300 美元的比特幣贖金。另註明支付金額將在 3 天之後翻倍。如果 7 天後沒有付款,就會刪除遭加密的檔案。然而,賽門鐵克並未在該勒索軟體中發現任何會刪除檔案的程式碼。

瞭解更多資訊

賽門鐵克產品如何保護您免受勒索軟體的威脅

為了遏止勒索軟體,必須對所有控制點進行深度防禦

電子郵件

Symantec Email Security.cloud, Symantec Messaging Gateway

  • 在檔案或文件內執行惡意指標的靜態分析
  • 傳送電子郵件前先在沙箱內觸發可能的惡意程序檔,
    並在發現惡意行為的跡象時加以封鎖
  • 在發送電子郵件,與點擊時間 (click-time) 後發送的連結分析之前,透過後續的即時連結封鎖惡意連結

網頁

Symantec Secure Web Gateway 解決方案1

  • 封鎖惡意網站,包含指令和控制,以及加密伺服器
  • 運用多層式和即時的威脅資訊饋送,分析檔案內是否有來自不明網址的可疑行為,以偵測勒索軟體的活動
  • 惡意軟體分析會尋找勒索軟體特有的行為,並在傳送之前先在沙箱內觸發未知檔案

端點

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • 進階機器學習可偵測變種惡意軟體
  • 模擬器可破解侵入性的惡意軟體,行為分析可發現勒索軟體的行動
  • IPS 可阻止勒索軟體嘗試下載加密金鑰
  • 偵測到勒索軟體時隔離端點,避免其橫向移動
  • 從所有端點尋找勒索軟體的入侵指標 (IoC)

工作負載

Symantec Data Center Security: Server Advanced

  • 「立即可用」的 IPS 規則,可避免勒索軟體的可執行檔滲入系統並在系統上執行
  • 未使用完整 IPS 防護的客戶可部署政策,以封鎖特定的惡意軟體可執行檔
  • 還可套用其他規則,以封鎖所有傳入/傳出的 SMB 流量
  • 您也可新增可執行檔雜湊到全域不執行清單,以封鎖勒索軟體

瞭解更多資訊

賽門鐵克 2018 年網路安全威脅研究報告

勒索軟體雖然已不若之前盛行且勒索贖金也降低了,但變種的數量卻增加 46%。

閱讀報告

部落格

WannaCry:此次勒索軟體攻擊與 Lazarus 團體有密切關聯

程式碼與基礎架構的相似度顯示:WannaCry 與對 Sony Pictures 及 Bangladesh Bank 發動攻擊的團體有密切關聯。

整合式防禦策略,在每一攻擊點防禦勒索軟體

賽門鐵克的進階勒索軟體防護解決方案,為所有控制點提供了整合式的全方位防禦。

Data Center Security Server Advanced 阻止 WannaCry

進一步瞭解賽門鐵克如何針對 WannaCry 勒索軟體提供防護。

WannaCry 勒索軟體:賽門鐵克的資安事端應變前 10 種方法可提供協助

IR 將如何檢測、矯正與預防未來的勒索軟體攻擊。

WannaCry 勒索軟體:對保險業的 6 大影響

本文闡述了保險業在網路攻擊時所面臨的新風險。

由 WannaCry 封鎖的檔案是否可解密:技術分析

自 WannaCry 勒索軟體蠕蟲散播以來,一直佔據了全球新聞版面。

您應瞭解的 WannaCry 勒索軟體內容

瞭解這款勒索軟體的散佈方式,以及如何保護網路避免遭受類似攻擊。

賽門鐵克橫跨多個產品線的多層式防禦措施,可保護客戶免受勒索軟體的攻擊,並保護如電子郵件、網頁、端點、資料中心伺服器在內的多種攻擊媒介和目標。SONAR 行為偵測技術亦可主動防止感染。

端點:賽門鐵克端點防護和諾頓
賽門鐵克 端點防護 (SEP) 和 諾頓 整合了相關技術,從 4 月 24 日起,即在 WannaCry 首次出現前,即封鎖了 WannaCry 利用漏洞所發動的攻擊。實際上,SEP 中的進階機器學習功能並沒有任何更新,即在軟體發動日當天主動封鎖所有 WannaCry。包括 SEP 14、SEP Cloud、SEP Small Business Edition 在內的所有 SEP 版本,均對 WannaCry 具有自動防護功能。請參閱下列詳細資料與建議,以獲取更多資訊。

電子郵件:Symantec Email Security.cloud 與 Symantec Messaging Gateway
Symantec Email Security.cloud 與 Symantec Messaging Gateway 產品,即針對 Wannacry 的電子郵件攻擊,提供自動防護功能。

網頁:Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG) 封鎖可疑網站並阻止可能含有勒索軟體的下載行為。SWG 解決方案涵蓋 ProxySG、WSS、GIN、Content and Malware Analysis、Security Analytics 以及 SSLV。

工作負載:Symantec Data Center Security: Server Advanced
Symantec Data Center Security: Server Advanced (DCS:SA) 入侵防禦策略,立即阻止 WannaCry。Symantec DCS:SA 政策的三個層級:Windows 6.0 (或更高版本) Basic、Hardening、Whitelisting,均可封鎖 WannaCry 勒索軟體攻擊,避免可疑的可執行檔進入系統之中。客戶若未部署完整入侵防禦功能,亦可套用目標式入侵防禦政策以封鎖勒索軟體執行。

附註:請參閱 Data Center Security Server 的勒索軟體部落格文章,瞭解更多詳細資料說明。

端點管理:Symantec IT Management Suite
Symantec IT Management Suite (ITMS) 針對端點和資料中心伺服器,提供修補程式和更新檔案。Microsoft Windows SMB Server (4013389) 修補程式的安全升級已於 3 月發佈,並於同日由 ITMS 支援 

附註:ITMS 7.5 將修補 Windows 7/8.1 系統,但 Windows 10 系統則需要 ITMS 7.6 或更高版本。

Cyber Security Service :客戶可以從賽門鐵克託管安全服務中,監控 WannaCry 警示並偵測勒索軟體是否於企業中散播。賽門鐵克另可為 WannaCry 受害者提供資安事端應變服務,包括準備、追踪、後續響應。

查看賽門鐵克產品如何保護您免受 Wannacry 等勒索軟體侵害的 詳細介紹 。

針對 Symantec Endpoint Protection 和 Norton 客戶的詳細資訊

賽門鐵克建議客戶啟用以下技術,實現全面主動防護:

  • 入侵預防
  • SONAR 行為偵測技術
  • 進階機器學習

附註:我們建議 Symantec Endpoint Protection 客戶應移轉到 SEP 14,以利用進階機器學習所提供的主動防護功能。