近日，WannaCry的突然出現(xiàn)引起廣泛電腦使用者關(guān)注。

Forcepoint安全實(shí)驗(yàn)室檢測發(fā)現(xiàn)WannaCry在全球多地均有出現(xiàn)。一個(gè)重要的發(fā)現(xiàn)是被“WannaCry”攻擊的是針對未及時(shí)更新補(bǔ)丁的系統(tǒng)。

勒索軟件攻擊對話

Forcepoint的Email安全、Web 安全、NGFW安全產(chǎn)品已經(jīng)全面保護(hù)用戶免遭感染，但是此次攻擊的本質(zhì)多數(shù)是由于一封未被檢測的公網(wǎng)郵件，或者一封被安全意識薄弱的員工人為從隔離區(qū)釋放的郵件所致，在點(diǎn)擊郵件中的惡意鏈接之后被重定向至一個(gè)惡意站點(diǎn)，之后自動下載惡意程序感染主機(jī)，加密數(shù)據(jù)文件，彈出窗口進(jìn)行勒索。正如上周Forcepoint博客中所言的Jaff勒索軟件一樣，采用縱深安全防御機(jī)制在很大程度上可以終止攻擊和斬?cái)鄠鞑ァ?/span>

被感染主機(jī)將被自動替換桌面背景

大家知道，對于基于郵件的此類攻擊，員工安全意識提升才是最關(guān)鍵的防范措施。如果自我蔓延的勒索軟件成為一種新模式，各機(jī)構(gòu)的安全風(fēng)險(xiǎn)大多源于其單個(gè)用戶的無意操作，比如點(diǎn)擊了惡意鏈接或者打開了一個(gè)惡意文件。此外，這個(gè)惡意軟件攻擊的MS17-010 漏洞的已在近兩個(gè)月前進(jìn)行了修補(bǔ)。各機(jī)構(gòu)的安全能力的差異就在于是否重視安全問題，同時(shí)，是否及時(shí)更新安全補(bǔ)丁。

為此，Forcepoint提出如下建議：

1) 確保組織機(jī)構(gòu)內(nèi)所有Windows機(jī)器上安裝MS7-010安全更新;

2) 確保安裝Web和郵件安全解決方案，它們可以在郵件通道幫助您阻止惡意郵件、在Web通道使用實(shí)時(shí)安全檢測機(jī)制阻斷惡意程序下載以及惡意URL過濾；

3) 遵從2016 微軟發(fā)布的指導(dǎo) - 在所有Windows系統(tǒng)上禁 SMBv1。

建議“kill-switch” domainiuqerfsodp9ifjaposdfihgosureifaewrwergwea[.]com可臨時(shí)性不被阻斷，以進(jìn)一步阻止惡意軟件在機(jī)構(gòu)內(nèi)的蔓延。目前，可臨時(shí)將其加入白名單條目，確保可以使用足夠長的時(shí)間，直至穩(wěn)定和持久的保護(hù)措施到位。

Forcepoint 安全實(shí)驗(yàn)室會一如既往地持續(xù)調(diào)查和監(jiān)視這一類新的安全威脅。

文章摘自Forcepoint準(zhǔn)能科技

歡迎聯(lián)系寶通集團(tuán)咨詢Forcepoint產(chǎn)品信息

寶通集團(tuán)聯(lián)系方式

咨詢熱線：400-830-0107
寶通官網(wǎng)：m.bjshst.cn
客戶垂詢郵箱：Customer@ex-channel.com

客戶垂詢QQ：1305742380
地址：深圳市福田區(qū)深南大道1006號國際創(chuàng)新中心C座11樓
郵編：518026