Check Point 表示:“WannaCry 采用的勒索軟件比較新,大約是在2017年2月出現(xiàn),然而隨后產(chǎn)生變種,它的散播速度非常快,歐洲及亞洲的多家機(jī)構(gòu)已經(jīng)受到?jīng)_擊,這充分顯示勒索軟件的巨大殺傷力,以及它可以很快就令重要服務(wù)停頓。機(jī)構(gòu)抗擊此等勒索軟件的最有效方法,是從一開始就使得網(wǎng)絡(luò)系統(tǒng)不受其感染,通過掃描、阻擋、過濾等方法在可疑的文檔及內(nèi)容到達(dá)網(wǎng)絡(luò)前便把它們拒之門外。此外,機(jī)構(gòu)也要對其員工進(jìn)行有關(guān)教育工作,讓他們知道不明來歷的電郵、以及來自相熟聯(lián)系人的可疑電郵的威脅風(fēng)險(xiǎn)。”
Check Point威脅情報(bào)及研究團(tuán)隊(duì)并提醒受WannaCry 影響的用戶千萬不要支付其索求的贖金。截止5月14日,WannaCry 勒索軟件關(guān)聯(lián)的三個(gè)比特幣賬戶已累計(jì)收到超過 33,000 美元。然則,目前尚未有任何返還文件的相關(guān)案例報(bào)道,這表明解密過程本身存在問題。
Check Point解釋說,與在勒索軟件市場上的競爭對手不同,WannaCry 似乎無法將付款與對應(yīng)付款人相關(guān)聯(lián)。大多數(shù)勒索軟件,例如 Cerber,會(huì)為每位受害者生成唯一的 ID 和比特幣錢包,從而知道向誰發(fā)送密鑰。然而,WannaCry 卻只要求交付贖金,然后受害者只能空等。他們可以按下“核對付款”按鈕,但到目前為止,這也只是唯一的結(jié)果:
大多數(shù)成功的勒索軟件都有頗完善的聯(lián)系受害人功能。然而 WannaCry 同樣不在此列。聯(lián)系該惡意軟件創(chuàng)建者的唯一途徑是通過勒索信頁面的“聯(lián)系我們”,Check Point的人員曾試圖以此作出聯(lián)系,但仍未收到回復(fù)。
最后,到目前為止的研究結(jié)果讓Check Point對 WannaCry 創(chuàng)建者解密文件的能力置疑。該惡意軟件包含兩個(gè)單獨(dú)的解密/加密例程,一個(gè)用于大部分受害者文件, 每個(gè)文件皆以唯一的密鑰加密。要解密這些文件,需要來自創(chuàng)建者的私有 RSA 密鑰,創(chuàng)建者應(yīng)在“。dky”文件中提供此密鑰。
第二個(gè)加密/解密例程則用于 10 個(gè)可解密文件以作為“免費(fèi)演示”,意在向受害者保證解密文件的可能性,以說服他們支付贖金。這 10 個(gè)特定文件在加密期間隨機(jī)選擇,每個(gè)文件同樣使用唯一密鑰進(jìn)行加密。但是,這 10 個(gè)文件的私有 RSA 密鑰存儲在受害者的本地計(jì)算機(jī)上。如下所示:
(圖A 主解密函數(shù))
(圖B 演示解密函數(shù))
圖 A 所示,主解密函數(shù)試圖調(diào)用一個(gè)推測應(yīng)包含私有 RSA 密鑰的“。dky”文件,并以此解密受害者計(jì)算機(jī)上的所有文件。在圖 B 中,我們可以看到類似函數(shù),但其調(diào)用由加密程序模塊放置的“f.wnry”文件,其中包含一個(gè)演示文件列表。私有 RSA 密鑰已被硬編碼到該模塊中。兩組函數(shù)都調(diào)用模塊 import_RSA_key(圖 C)- 主解密程序含有連接至“。dky”文件的路徑(作為參數(shù)),而演示解密程序則含有空路徑。
(圖C 兩個(gè)例程的 import_RSA_key 函數(shù))
所有這些考量因素 - 沒有任何關(guān)于找回文件的相關(guān)報(bào)告、存在問題的支付和解密系統(tǒng),以及虛假的解密操作演示,都令人懷疑 WannaCry 開發(fā)者履行承諾解密文件的能力。
Check Point 提供以下對抗 WannaCry 的保護(hù)措施:
- 網(wǎng)絡(luò)保護(hù) (SandBlast)
- 威脅提取和威脅仿真
- 防僵尸網(wǎng)絡(luò)/防病毒
- 終端保護(hù)(SandBlast 代理)
- 反勒索軟件
- 威脅提取和威脅仿真
- 防僵尸網(wǎng)絡(luò)/防病毒
- 反惡意軟件
lIPS 保護(hù)能夠防止來自外部和內(nèi)部分區(qū)間的感染:
- Microsoft Windows EternalBlue SMB 遠(yuǎn)程代碼執(zhí)行
- Microsoft Windows SMB 遠(yuǎn)程代碼執(zhí)行 (MS17-010:CVE-2017-0143)
- Microsoft Windows SMB 遠(yuǎn)程代碼執(zhí)行 (MS17-010:CVE-2017-0144)
- Microsoft Windows SMB 遠(yuǎn)程代碼執(zhí)行 (MS17-010:CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html
- Microsoft Windows SMB 遠(yuǎn)程代碼執(zhí)行 (MS17-010:CVE-2017-0146)
- Microsoft Windows SMB 信息泄露 (MS17-010:CVE-2017-0147)
- Microsoft Windows NT Null CIFS 會(huì)話
- 非兼容 CIFSo
常規(guī)保護(hù)
lWindows 電腦應(yīng)針對“Microsoft 安全公告 MS17-010 - 嚴(yán)重 Microsoft Windows SMB 服務(wù)器安全更新 (4013389)”中探討的漏洞安裝補(bǔ)丁
- 確保有可用備份且未在網(wǎng)絡(luò)上共享
- 隔離來自電子郵件網(wǎng)關(guān)的加密密碼保護(hù)附件
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動(dòng)設(shè)備的安全保護(hù),以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護(hù)。
