博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Check Point支招如何应对WannaCry攻击
阅读量:5876 次
发布时间:2019-06-19

本文共 2133 字,大约阅读时间需要 7 分钟。

就最近大规模爆发的WannaCry 勒索软件攻击,Check Point以色列捷邦安全软件科技有限公司的威胁情报及研究团队向全球机构提出忠告,切勿支付WannaCry所索取的赎金,因为目前尚没有任何付赎金后得到返还文件的个案报道,而最有效的抗击方法是从一开始就使得机构的网络系统不受感染。

Check Point 表示:“WannaCry 采用的勒索软件比较新,大约是在2017年2月出现,然而随后产生变种,它的散播速度非常快,欧洲及亚洲的多家机构已经受到冲击,这充分显示勒索软件的巨大杀伤力,以及它可以很快就令重要服务停顿。机构抗击此等勒索软件的最有效方法,是从一开始就使得网络系统不受其感染,通过扫描、阻挡、过滤等方法在可疑的文档及内容到达网络前便把它们拒之门外。此外,机构也要对其员工进行有关教育工作,让他们知道不明来历的电邮、以及来自相熟联系人的可疑电邮的威胁风险。”

Check Point威胁情报及研究团队并提醒受WannaCry 影响的用户千万不要支付其索求的赎金。截止5月14日,WannaCry 勒索软件关联的三个比特币账户已累计收到超过 33,000 美元。然则,目前尚未有任何返还文件的相关案例报道,这表明解密过程本身存在问题。

Check Point解释说,与在勒索软件市场上的竞争对手不同,WannaCry 似乎无法将付款与对应付款人相关联。大多数勒索软件,例如 Cerber,会为每位受害者生成唯一的 ID 和比特币钱包,从而知道向谁发送密钥。然而,WannaCry 却只要求交付赎金,然后受害者只能空等。他们可以按下“核对付款”按钮,但到目前为止,这也只是唯一的结果:

大多数成功的勒索软件都有颇完善的联系受害人功能。然而 WannaCry 同样不在此列。联系该恶意软件创建者的唯一途径是通过勒索信页面的“联系我们”,Check Point的人员曾试图以此作出联系,但仍未收到回复。

最后,到目前为止的研究结果让Check Point对 WannaCry 创建者解密文件的能力置疑。该恶意软件包含两个单独的解密/加密例程,一个用于大部分受害者文件, 每个文件皆以唯一的密钥加密。要解密这些文件,需要来自创建者的私有 RSA 密钥,创建者应在“.dky”文件中提供此密钥。

第二个加密/解密例程则用于 10 个可解密文件以作为“免费演示”,意在向受害者保证解密文件的可能性,以说服他们支付赎金。这 10 个特定文件在加密期间随机选择,每个文件同样使用唯一密钥进行加密。但是,这 10 个文件的私有 RSA 密钥存储在受害者的本地计算机上。如下所示:

(图A 主解密函数)

(图B 演示解密函数)

图 A 所示,主解密函数试图调用一个推测应包含私有 RSA 密钥的“.dky”文件,并以此解密受害者计算机上的所有文件。在图 B 中,我们可以看到类似函数,但其调用由加密程序模块放置的“f.wnry”文件,其中包含一个演示文件列表。私有 RSA 密钥已被硬编码到该模块中。两组函数都调用模块 import_RSA_key(图 C)- 主解密程序含有连接至“.dky”文件的路径(作为参数),而演示解密程序则含有空路径。

(图C 两个例程的 import_RSA_key 函数)

所有这些考量因素 - 没有任何关于找回文件的相关报告、存在问题的支付和解密系统,以及虚假的解密操作演示,都令人怀疑 WannaCry 开发者履行承诺解密文件的能力。

Check Point 提供以下对抗 WannaCry 的保护措施:

  • 网络保护 (SandBlast)

•威胁提取和威胁仿真

•防僵尸网络/防病毒

  • 终端保护(SandBlast 代理)

•反勒索软件

•威胁提取和威胁仿真

•防僵尸网络/防病毒

•反恶意软件

  • IPS 保护能够防止来自外部和内部分区间的感染:

•Microsoft Windows EternalBlue SMB 远程代码执行 

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0143) 

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0144) 

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0145) 

•Microsoft Windows SMB 远程代码执行 (MS17-010:CVE-2017-0146) 

•Microsoft Windows SMB 信息泄露 (MS17-010:CVE-2017-0147) 

•Microsoft Windows NT Null CIFS 会话

•非兼容 CIFSo

常规保护

  • Windows 电脑应针对“Microsoft 安全公告 MS17-010 – 严重 Microsoft Windows SMB 服务器安全更新 (4013389)”中探讨的漏洞安装补丁 
  • 确保有可用备份且未在网络上共享
  • 隔离来自电子邮件网关的加密密码保护附件
原文发布时间为:2017年5月22日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

转载地址:http://bfuix.baihongyu.com/

你可能感兴趣的文章
Spark:求出分组内的TopN
查看>>
Python爬取豆瓣《复仇者联盟3》评论并生成乖萌的格鲁特
查看>>
关于跨DB增量(增、改)同步两张表的数据小技巧
查看>>
飞秋无法显示局域网好友
查看>>
学员会诊之03:你那惨不忍睹的三层架构
查看>>
vue-04-组件
查看>>
Golang协程与通道整理
查看>>
解决win7远程桌面连接时发生身份验证错误的方法
查看>>
C/C++ 多线程机制
查看>>
js - object.assign 以及浅、深拷贝
查看>>
python mysql Connect Pool mysql连接池 (201
查看>>
Boost在vs2010下的配置
查看>>
android camera(四):camera 驱动 GT2005
查看>>
一起谈.NET技术,ASP.NET伪静态的实现及伪静态的意义
查看>>
20款绝佳的HTML5应用程序示例
查看>>
string::c_str()、string::c_data()及string与char *的正确转换
查看>>
11G数据的hive初测试
查看>>
如何使用Core Text计算一段文本绘制在屏幕上之后的高度
查看>>
==和equals区别
查看>>
2010技术应用计划
查看>>