转个帖，给大家压压惊，WannaCry 勒索病毒预警【看IPS防御】无聊来个双击玩SONAR

驭龙

国外区的测试，大家看过以后，会不会担心诺顿无法防御这次的wanna呢？事实上不必担心的，毕竟SONAR断网就无法发挥全部效果了，更重要的是Symantec的IPS可阻断wanna的入侵，进不来的话，何谈加密？官方在昨天（13日凌晨）深夜就已经发文了，只是我没有转发，今天来转发给大家压压惊。

PS：这次用诺顿的有中毒的吗？

官方原文中文版：

2017年5月12日，一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播，影响了大量的企业用户，特别是在欧洲。

WannaCry是什么样勒索？

WannaCry用已加密数据文件，并要求用户支付$300赎金比特币。赎金明确说明指出，支付金额将三天后增加一倍。如果付款在七天后，加密的文件将被删除。

勒索信息截图（中文） 勒索信息截图（英文）

        同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么，以及如何支付赎金

同时WannaCry 加密文件具有以下扩展名，并将.WCRY 到添加到文件名的结尾：

• .lay6
        • .sqlite3
        • .sqlitedb
        • .accdb
        • .java
        • .class
        • .mpeg
        • .djvu
        • .tiff
        • .backup
        • .vmdk
        • .sldm
        • .sldx
        • .potm
        • .potx
        • .ppam
        • .ppsx
        • .ppsm
        • .pptm
        • .xltm
        • .xltx
        • .xlsb
        • .xlsm
        • .dotx
        • .dotm
        • .docm
        • .docb
        • .jpeg
        • .onetoc2
        • .vsdx
        • .pptx
        • .xlsx
        • .docx

此勒索软件的传播是利用微软已知SMBv2 中的远程代码执行漏洞：MS17-010

使用Symantec 防护软件否得到保护，免受威胁？

使用了赛门铁克和诺顿的客户已经检测WannaCry 并实施有效的保护。以下检测病毒和漏洞
        n 病毒
        l Ransom.CryptXXX
        l Trojan.Gen.8!Cloud
        l Trojan.Gen.2
        l Ransom.Wannacry
        n 入侵防御系统
        l 21179（OS 攻击：的Microsoft Windows SMB 远程执行代码3）
        l 23737（攻击：下载的Shellcode 活动）
        l 30018（OS 攻击：MSRPC 远程管理接口绑定）
        l 23624（OS 攻击：的Microsoft Windows SMB 远程执行代码2）
        l 23862（OS 攻击：的Microsoft Windows SMB 远程执行代码）
        l 30010（OS 攻击：的Microsoft Windows SMB RCE CVE-2017-0144）
        l 22534（系统感染：恶意下载活动9）
        l 23875（OS 攻击：微软SMB MS17-010 披露尝试）
        l 29064（系统感染：Ransom.Ransom32 活动）
        企业用户应确保安装了最新的Windows 安全更新程序，尤其是MS17-010，以防止其扩散。

谁受到影响？
        全球有许多组织受到影响，其中大多数在欧洲。

这是否是针对性的攻击？
        不，在这时期并不能确认是有针对性的攻击。勒索战役通常是不分青红皂白的。

为什么造成了企业用户如此多的问题？
        WannaCry 在企业网络内具有自传播功能，而无需用户交互，利用微软的Windows 已知的安全漏洞。
        如果没有最新的Windows 安全更新的计算机都将具有感染的风险。

我可以恢复加密的文件？
        解密现在还没有，但赛门铁克正在进行调查。赛门铁克不建议支付赎金。在可能的况下，已加密的文件
        应该从备份中恢复。

什么是保护免受勒索软件的最佳实践？
        • 新的变种勒索会不定期出现。始终保持安全软件是最新的，以保护自己免受危害。
        • 保持操作系统和其他软件更新。软件更新经常包括可能被勒索攻击者利用新发现的安全漏洞补
        丁。这些漏洞可能被勒索攻击者利用。
        • 电子邮件是主要传染方式之一。警惕意料之外的电子邮件，特别是如果它们包含的链接和/或附
        件。
        • 要特别谨慎，建议用户启用宏以查看其内容任何Microsoft Office 的电子邮件附件。除非你有绝
        对的把握，这是来自可靠来源的一个真正的电子邮件，如果不启用宏，请立即删除来源不明电子
        邮件。

• 备份重要数据是打击勒索攻击最有效方法。攻击者通过加密有价值的文件并使其无法访问，从而
        向被勒索折施加影响。如果被勒索者有备份副本，一旦感染被清理干净，我们就可以恢复我们文
        件。但是，企业组织应该确保备份被适当地保护或存储在离线状态，以便攻击者不能删除它们。
        • 使用云服务可以帮助减轻勒索病毒的感染，因为许多文件保留了以前版本的文件，允许用户“回
        滚”到未加密的文件。

我们建议
        针对 Symantec Endpoint Protection 用户
        Ø 对于只安装SEP 基本防病毒模块的用户请加装ips 和应用程序模块这两个模块不会加重系
        统负载，但能有效防御新的威胁。
        Ø HIPS 可以有效屏蔽网络上的恶意攻击，比如利用tcp 445 ms2017-010 漏洞的入侵
        Ø 通过sep 的应用程序控制模块的黑白名单功能，不依赖病毒库，直接把可疑程序加入黑
        名单禁止运行
        Ø 通过SEP 自带防火墙的功能，直接禁止445 端口的入站请求，防止扩散。
        Ø 请更新定义库至 AV: 5/12/2017 rev. 9，IPS: 5/12/2017 rev.11。

技术支援
        如有其他问题，请与我们技术支援中心联络。
        中国: 800 810 3992 或 400 810 9771
        香港: 852 3071 4616
        台湾: 0080 1861 032

驭龙

玩一下双击，Windows 7 X32系统，NS 22.8 SONAR 11版本引擎 SDS特征库是1月24日的

测试方法为断网双击，确实是被过，文件被加密，不过文件加密以后重新联网，NS开始发威。

各种杀


各种回滚




SONAR各种杀




SDS特征库日期。


其中还出现过C杀和Reputation 1杀，但文件还是被加密，没有被回滚。

也就是说完全断网的环境中NS无法防御这个威胁，只要联网，中招的可能性微乎其微，因为从SONAR的报毒名看并不是与云库联动的报法

看来NS的SONAR断网真的会GG了，如果网络不稳定，不推荐使用NS

驭龙

jefffire 发表于 2017-5-15 12:05
12号之前的IPS特征库 翻了一遍 没找到相关漏洞特征入库的信息。

姐夫，你看东西不仔细哟，5月2日的IPS就已经拦截永恒之蓝了

https://www.symantec.com/securit ... -SU134-20170502.021

官方说的其他IPS特征码，我就不继续了，反正这个就足够了

驭龙

利用MS17-10的攻击好多啊，但是有IPS在，毫无压力，IPS已阻止这类MS17-10的攻击四千四百万攻击

Low prevalence
Due to the effectiveness of IPS in proactively blocking infections, Symantec is observing low infections of Adylkuzz. Symantec has blocked over 44 million attempts to exploit MS17-10 and observed fewer than 200 machines with Adylkuzz infections.
Protection Details
Network-based protection
Symantec has the following IPS protection in place to block attempts to exploit the MS17-010 vulnerability:
OS Attack: Microsoft SMB MS17-010 Disclosure Attempt (released May 2, 2017)
Attack: Shellcode Download Activity (released April 24, 2017)

pal家族

毛子12号中午也有blog

貌似所谓率先防御的某些几个，都是后知后觉的。

驭龙

pal家族 发表于 2017-5-14 10:24
毛子12号中午也有blog

貌似所谓率先防御的某些几个，都是后知后觉的。

那些就不要说了，哈

刚刚官方英文版也更新了，看针对这货，IPS和SONAR也调整最新对策了

Am I protected against this threat?

The Blue Coat Global Intelligence Network (GIN) provides automatic detection to all enabled products for web-based infection attempts.

Symantec and Norton customers are protected against WannaCry using a combination of technologies.

Antivirus

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
  

Customers should run LiveUpdate and verify that they have the following definition versions or later installed in order to ensure they have the most up-to-date protection:

• 20170512.009
  

SONAR protection

• SONAR behavior detection technology will also detect Wannacry variants.
  

Network based protection

Symantec also has the following IPS protection in place which has proven highly effective in proactively blocking attempts to exploit the MS17-010 vulnerability:

• OS Attack: Microsoft SMB MS17-010 Disclosure Attempt
• Attack: Shellcode Download Activity
  

The following IPS signature also blocks activity related to Ransom.Wannacry:

• System Infected: Ransom.Ransom32 Activity
  

Organizations should also ensure that they have the latest Windows security updates installed, in particular MS17-010 to prevent spreading.

pal家族

驭龙 发表于 2017-5-14 10:27
那些就不要说了，哈

刚刚官方英文版也更新了，看针对这货，IPS和SONAR也调整最新对策了

不怎么会说话的永远是最老老实实干事情的。
发微博和头条的，都是XX

驭龙

pal家族 发表于 2017-5-14 10:29
不怎么会说话的永远是最老老实实干事情的。
发微博和头条的，都是XX

说到不怎么说话的，让我想到DrWeb了，什么都没有发，似乎根本不尿wanna这货

pal家族

驭龙 发表于 2017-5-14 10:32
说到不怎么说话的，让我想到DrWeb了，什么都没有发，似乎根本不尿wanna这货

DrWeb向来不说话，真的很没有存在感啊~

驭龙

pal家族 发表于 2017-5-14 10:33
DrWeb向来不说话，真的很没有存在感啊~

毕竟人家去年的特征库都杀这个样本了，DPH都没有出手

超超~.~

刚换回NS，第一次这么近，好激动

zongk

"ips 和应用程序模块“就是入侵防护 和  应用程序与设备控制  吧，默认安装sep是不是就有

驭龙

zongk 发表于 2017-5-14 10:42
"ips 和应用程序模块“就是入侵防护 和  应用程序与设备控制  吧，默认安装sep是不是就有

IPS就可以防御，Symantec产品默认开启的