【简介】2017年5月12日晚,WanaCrypt0r 2.0勒索病毒在全球爆发(简称 WCry2.0)。 在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。
WannaCry 勒索软件
根据美联社、英国标准晚报等多家媒体报道,一种名为WannaCry(永恒之蓝)的电脑勒索病毒正在全球蔓延,许多国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区,目前也已由国外进入中国。
这款勒索病毒主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。根据网络安全机构通报显示,永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows机器,无需用户任何操作,就可以将所有磁盘文件加密、锁死,后缀变为.onion,随后,黑客可以远程控制木马,向用户勒索“赎金”。“赎金”需要以比特币的形式支付。虚拟货币支付形式分散、难以追踪,所以非常受黑客欢迎。
根据BBC与CNN的报道显示,5月12日英国本土超过16家医院受到大规模黑客攻击,系统瘫痪,既定的手术被迫取消,救护车也被迫转往其他医院。黑客要求医院支付价值300美金比特币,才可获取密钥,并重新打开文件。如果三天之内仍未完成支付,赎金将翻倍。
而中国的蠕虫病毒感染重灾区集中在高校。据悉,目前全国范围内有数十所高校的校园网感染了这一病毒,而正值毕业季,许多学生的毕业论文和设计都因感染病毒而被锁死。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击。之所以国内教育网首当其冲的原因,由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。
在小范围的互联网内,一旦有某一个人没有封掉445端公口、或者没有给Windows打补丁,那么整个区域内的电脑都会被病毒感染。而作为个人用户一旦感染此病毒,千万不要给钱,因为即便交了赎金,文件也可能无法恢复。只能在把硬盘低格后,重新安装操作系统。
经过分析,该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
统一威胁管理 UTM
Fortinet 统一威胁管理系统包括防火墙、VPN、入侵保护、防病毒、防恶意软件、防垃圾邮件、Web内容过滤等安全功能,可在一台单一设备中识别多种安全威胁。尤其FortiGate的应用控制功能可以让网络管理员轻松控制千种以上的应用,无论是监控还是流量控制都可以简单实现。除此之外,它还可以实现反间谍软件,漏洞扫描和WAN优化等功能,给用户以更多的选择。
在中国,Fortinet 防火墙硬件设备和UTM通常是分开销售的。如果没有购买UTM,就不具备防病毒、入侵保护、Web过滤等功能。
升级病毒库和IPS库
针对5月12日爆发的WannaCry 勒索软件攻击,Fortinet的安全团队立即做出了反应,只要将病毒库和IPS库升级到最新版本,就可以防范WannaCry 勒索软件攻击。
① 选择菜单【系统管理】-【配置】-【FortiGuard】,将右边窗口拉到最下方,点开【AV&IPS下载选项】,点击【立即升级】。
② 根据网络的情况,升级时间略有不同。
【提示】 大部分情况下都会配置自动升级,间隔若干个小时。
查看病毒库和IPS库版本
怎样才能知道防火墙的病毒库和IPS是不是最新版本,只要查看FortriGuard就可以了。
① 在FortiGuard分布网络界面,可以看到病毒库和IPS库的版本号,后面显示的升级日期,是这个库的更新日期,并不是指防火墙的升级日期。如果不能确定这是不是最新库,还有一个方法,点击【立即登录】。
②会跳转到飞塔支持官网,输入登录密码。
③ 登录后选择菜单【Download】-【FortiGuard Server Updates】。
④ 选择防火墙的固件版本和型号,可以看到最新病毒库和IPS库版本。
⑤ 经过对比,可以看到防火墙的病毒库和IPS库已经是升级到最新的版本了。
【提示】 可以下载飞塔支持官网的病毒库和IPS库文件,点击FortiGuard分布网络界面对应的更新按钮,进行手动升级。
应用 UTM
任何一个好的工具却不使用,那和没有是一样的。
① 在所有上网策略中,安全配置文件启用反病毒、网页过滤、IPS。这样就可以了。
反病毒
飞塔防火墙会根据病毒库的病毒特征来识别病毒。
① 选择菜单【安全配置文件】-【反病毒】,这里并不能看到病毒库的内容。
② 打开网址:http://fortiguard.com/encyclopedia/virus/7385618/w32filecoder-wannacryptor-d-tr,可以看到WannaCry 勒索软件被判别为木马。加入日期是2017年5月12日,特征ID是7385618。
③ 可以在菜单【日志与报告】-【反病毒】,过滤病毒ID,来快速查看是否拦截到 WannaCry 勒索软件攻击。
IPS
入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销。
① 选择菜单【安全配置文件】-【入侵防御】,我们可以看到升级到最新IPS库后,有10880条签名,点击【显示IPS签名】。
② 搜索Handling,我们可以找到签名为:MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution,动作为阻断。这个签名有什么作用?
③ 打开网址 http://www.fortiguard.com/encyclopedia/ips/43796,我们可以看到这条签名是阻止对SMB服务器漏洞的攻击,对应的微软漏洞MS17-010。
④ 而本次正是针对MS17-010漏洞的攻击。
Web 过滤
Fortinet阻断了已知的 WannaCry 勒索软件C&C服务器。
FortiClient
FortiClient 是VPN客户软件。同时也具备杀毒功能。
① FortiClient及时得到更新,所具备的杀毒功能可以防范 WannaCry 勒索软件攻击。