趨勢科技3招 防範勒索病毒

工商時報【林淑惠╱台北報導】 大規模勒索病毒災情時有所聞，光上月就再傳Petya病毒泛濫災情。為有效防範於未然，趨勢科技日前針對橫掃全歐洲的勒索病毒Petya，提出3個防範措施，一，套用MS17-010修補更新、二，停用TCP連接埠445、三，嚴格管制擁有系統管理權限的使用者群組。 趨勢科技表示，對照先前造成全球大恐慌的WannaCry勒索病毒，Petya散播的管道主要有兩種，其一為同樣利用透過微軟的安全性弱點：MS17-010 - Eternalblue針對企業及消費者進行勒索攻擊。 而與上次WannaCry不同的是，這次Petya入侵電腦後，會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定，並建立排程工作於1小時內重新開機，一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗，無法進行其他操作。 另一個值得注意的是，駭客利用微軟官方的 PsExec 遠端執行工具，以APT(目標式)攻擊手法入侵企業，一旦入侵成功，將可潛伏於企業內部網路、並感染控制企業內部重要伺服器，進一步發動勒索病毒攻擊，對企業內部機密資料進行加密勒索，以達到牟利之目的。 如何防範Nyetya這波攻勢，趨勢科技提出建議，包括更新修補程式，無論是企業用戶或是消費者，都建議安裝更新電腦作業系統最新的修補程式，尤其是跟安全性弱點MS17-010相關的安全性修補程式，此外也可透過GPO 或是微軟官方的說明，停用此類含有漏洞的 Windows Server Message Block (SMB) ，正確配置SMB服務才能免於受到此次攻擊影響，企業用戶也應嚴格管制擁有系統管理權限的使用者群組。 再者，應安裝資安防護軟體，目前趨勢科技的XGen?多層式企業端產品與消費端產品都已經自動將病毒碼更新，已可有效防範此次的Petya威脅，消費者可用PC-cillin 2017 雲端版中的勒索剋星保護重要資料，而趨勢科技也提供企業用戶Patch Support的服務，可至Support Petya Page(＜https://success.trendmicro.com/solution/1117665＞)連結下載。 思科Talos威脅情報中心也指出，Nyetya和WannaCry都是經由永恆之藍（EternalBlue）傳播，但同時也有利用Psexec和WMI兩個微軟元件來傳播。Nyetya樣本已被列入思科AMP資安方案的黑名單，協助客戶在第一時間得到防護。