已知的Lazarus使用工具和WannaCry勒索軟件共同出現：賽門(mén)鐵克發(fā)現，Lazarus組織在設備上使用的專(zhuān)有工具同時(shí)感染了早期版本的WannaCry，但這些WannaCry的早期變體并沒(méi)有能力通過(guò)SMB傳播。Lazarus工具可能被用作傳播WannaCry的手段，但這一點(diǎn)還未得到證實(shí)。

賽門(mén)鐵克于5月11日至15日檢測到WannaCry的熱度圖

　　共享代碼：谷歌人員Neel Mehta在博客中聲稱(chēng)，Lazarus工具和WannaCry勒索軟件之間共享了某些代碼。賽門(mén)鐵克確認該共享代碼是一種SSL。這種SSL工具使用了75個(gè)特殊序列的密碼，至今我們只在Lazarus工具（包括Contopee和Brambul）和WannaCry變體中見(jiàn)到過(guò)這種序列。

　　雖然以上發(fā)現不能表明 Lazarus組織和WannaCry的確切聯(lián)系，但賽門(mén)鐵克認為，上述聯(lián)系足以值得采取進(jìn)一步調查。隨著(zhù)真相慢慢浮出水面，我們將繼續分享更多的調查信息。

　　自5月12日（星期五）起，一種名為“WannaCry”（Ransom.Wannacry）的惡性勒索軟件已在全球范圍內攻擊了數十萬(wàn)臺計算機。該勒索軟件比其他類(lèi)型的勒索軟件更加危險，這是由于該勒索軟件能夠利用Windows計算機的嚴重漏洞，自行在企業(yè)機構的網(wǎng)絡(luò )中進(jìn)行傳播。微軟公司在2017年3月發(fā)布了該漏洞的補丁程序（MS17-010）。今年4月，一個(gè)名為“Shadow Brokers”的黑客組織泄露了一系列文件，其中，被稱(chēng)為“永恒之藍”的漏洞被發(fā)布至網(wǎng)絡(luò )，黑客組織曾聲稱(chēng)盜取了Equation 網(wǎng)絡(luò )間諜團伙的相關(guān)數據。

　　賽門(mén)鐵克端點(diǎn)安全解決方案（Symantec Endpoint Protection，SEP）和諾頓軟件能夠主動(dòng)阻擋任何試圖利用該漏洞的行為，這意味著(zhù)，在WannaCry首次出現前，用戶(hù) 就已經(jīng)得到了全面的保護。

　　Blue Coat全球情報網(wǎng)絡(luò )（GIN）可對所有授權產(chǎn)品進(jìn)行自動(dòng)檢測，偵測所有基于網(wǎng)絡(luò )的感染嘗試意圖。

　　賽門(mén)鐵克和諾頓產(chǎn)品結合多種技術(shù)，自動(dòng)保護用戶(hù)抵御WannaCry的攻擊。

　　主動(dòng)保護由以下技術(shù)提供：

　　通過(guò)啟用上述技術(shù)，用戶(hù)將獲取全部自動(dòng)保護功能。賽門(mén)鐵克建議SEP用戶(hù)將軟件版本更新至SEP 14，以獲得機器學(xué)習簽名技術(shù)所提供的主動(dòng)保護功能。

　　基于網(wǎng)絡(luò )的保護

　　為了阻擋攻擊者對MS17-010漏洞的嘗試攻擊，賽門(mén)鐵克還采取了以下IPS保護措施：

　　SONAR行為檢測技術(shù)

　　SONAR.AM.E.!g18

　　SONAR.AM.E!g11

　　SONAR.Cryptlk!g1

　　SONAR.Cryptlocker!g59

　　SONAR.Cryptlocker!g60

　　SONAR.Cryptlocker!g80

　　SONAR.Heuristic.159

　　SONAR.Heur.Dropper

　　SONAR.Heur.RGC!g151

　　SONAR.Heur.RGC.CM!g13

　　SONAR.Heuristic.158

　　SONAR.Heuristic.161

　　SONAR.SuspDataRun

　　SONAR.SuspLaunch!g11

　　SONAR.SuspLaunch!gen4

　　SONAR.TCP!gen1

　　智能機器學(xué)習技術(shù)

　　Heur.AdvML.A

　　Heur.AdvML.B

　　Heur.AdvML.D

　　為了拓展保護和識別能力，以下反病毒簽名已更新完畢：

　　Ransom.Wannacry

　　Ransom.CryptXXX

　　Trojan.Gen.8!Cloud

　　Trojan.Gen.2

　　賽門(mén)鐵克建議用戶(hù)運行LiveUpdate，并檢查軟件是否為以下版本或更新版本，確保擁有最新的保護：

　　20170512.009

　　以下IPS 簽名也能阻擋Ransom.Wannacry的相關(guān)活動(dòng)：

　　System Infected: Ransom.Ransom32 Activity

　　企業(yè)機構應該確保安裝最新的Windows安全更新程序，尤其是MS17-010，防止該惡意軟件的傳播。

　　WannaCry能夠搜索并解密176種不同文件，并在文件名后附加 .WCRY。該勒索軟件要求受害者以比特幣支付300美元的贖金。勒索信息中指出，如果延遲支付，贖金將會(huì )在3天后增加一倍；如果延遲支付7天，加密文件將被刪除。

　　我是否能夠恢復加密文件？或者，我應該支付贖金？

　　現在，還無(wú)法對加密文件進(jìn)行解密。如果受害者擁有備份，便可以通過(guò)備份來(lái)恢復被感染的文件。賽門(mén)鐵克不建議受害者支付贖金。

　　在一些情況下，文件不通過(guò)備份也可得到恢復。保存在“桌面”、“我的文檔”或可移動(dòng)驅動(dòng)器的文件若被加密，并且原始文件遭到清除——這些文件將無(wú)法恢復。保存在計算機其他位置的文件若被加密，并且原始文件遭到簡(jiǎn)單刪除——這些文件可使用數據恢復工具進(jìn)行恢復。

　　WannaCry首次出現于5月12日（星期五）。賽門(mén)鐵克發(fā)現，在當天8:00左右（格林威治時(shí)間）試圖對Windows漏洞進(jìn)行攻擊的次數激增。在周六和周日，賽門(mén)鐵克阻擋的試圖對Windows漏洞進(jìn)行攻擊的次數略有下降，但仍然保持高位。

　賽門(mén)鐵克每小時(shí)阻擋WannaCry試圖對Windows漏洞進(jìn)行攻擊的次數

　　任何未下載最新補丁的Windows計算機都有可能受到WannaCry的影響。由于這種病毒可在網(wǎng)絡(luò )中快速傳播，因此企業(yè)機構面臨更高的風(fēng)險。全球范圍內已有很多企業(yè)機構遭受該惡意軟件的攻擊，歐洲為重災區。同樣，個(gè)人計算機也有可能受到感染。

　　不，在現階段，我們不認為這是一次針對性攻擊。勒索軟件活動(dòng)通常選擇任意目標。

　　為什么WannaCry給眾多企業(yè)機構帶來(lái)如此多的麻煩？

　　WannaCry能夠利用微軟Windows中的已知漏洞，即使在沒(méi)有用戶(hù)互動(dòng)的情況下，仍舊可以在公司網(wǎng)絡(luò )中自行傳播。計算機若未安裝最新的Windows安全更新程序，則將面臨感染的風(fēng)險。

　　雖然WannaCry可利用漏洞自行在企業(yè)機構的網(wǎng)絡(luò )中進(jìn)行傳播，但感染方式，即第一臺受到感染的計算機的受感染方式——仍未得到證實(shí)。賽門(mén)鐵克發(fā)現，一些惡意網(wǎng)站托管WannaCry，但看起來(lái)只是模仿性攻擊，與最初的攻擊毫無(wú)關(guān)聯(lián)。

　　對勒索者提供的三個(gè)比特幣網(wǎng)站進(jìn)行分析后，賽門(mén)鐵克發(fā)現，在寫(xiě)這篇博文時(shí)，受害者在207 次單獨交易中共支付了31.21比特幣（53,845美元）。

　　勒索軟件變種會(huì )不定期出現，賽門(mén)鐵克建議用戶(hù)，始終保持安全軟件為最新版本，從而抵御網(wǎng)絡(luò )攻擊。

　　保持操作系統和其他軟件為更新版本。軟件更新經(jīng)常包括可能被攻擊者所利用的新型安全漏洞補丁。這些漏洞可能被攻擊者所利用。

　　賽門(mén)鐵克發(fā)現，電子郵件是當今主要傳染方式之一。用戶(hù)應警惕未知電子郵件，尤其是包含鏈接和/或附件的電子郵件。

　　用戶(hù)需要特別謹慎對待那些建議啟用宏以查看附件的Microsoft Office子郵件。除非對來(lái)源有絕對的把握，否則請立即刪除來(lái)源不明的電子郵件，并且務(wù)必不要啟動(dòng)宏功能。

　　備份數據是打擊勒索攻擊的最有效方法。攻擊者通過(guò)加密受害者的寶貴文件并使其無(wú)法訪(fǎng)問(wèn)，從而向受害者施加壓力。如果受害者擁有備份，當感染被清理后，即可恢復文件。對于企業(yè)用戶(hù)而言，備份應當被適當保護，或者存儲在離線(xiàn)狀態(tài)，使攻擊者無(wú)法刪除。

　　通過(guò)使用云服務(wù)，幫助減輕勒索病毒感染導致的威脅。這是由于云服務(wù)或保留文件的以前版本，并且允許用戶(hù)通過(guò)“回滾”到未加密的文件。