自5月12日開始，全球多個國家發生了一起大規模信息安全攻擊事件，一種名為WannaCry2的“勒索病毒”軟件, 利用Windows系統漏洞入侵全球多個國家的高校內網、政府機構專網、金融機構的網絡系統等，導致了數萬臺計算機癱瘓。

什么是WannaCry2勒索病毒？

WannaCry2勒索病毒是一種快速傳播的網絡攻擊病毒，以偷竊用戶數據并用其對用戶進行勒索或敲詐的犯罪手段，在今年3月份首次被探測到，該攻擊一開始看似普通釣魚攻擊方式，也就是用戶點擊有問題的鏈接，激活了隱藏的惡意軟件并控制用戶設備，WannaCry2利用并激活公開的Windows操作系統漏洞，從一臺工作站高速傳播到整個網絡。因此該攻擊不像普通釣魚攻擊一次僅僅攻擊一個用戶的系統，而是“以一對多”的傳播方式快速攻擊網絡上的多個用戶。截止至今已經影響了近100個國家，攻擊來源至今尚不得而知，因此用戶需要盡快準備應對措施。

WannaCry2勒索病毒攻擊意味深長

設計這種“以一對多”攻擊方式的影響非常深遠，全球組織需要理解這些攻擊的基本要素，該勒索病毒本質上采取了一種靠勒索獲取利益的策略，但犯罪分子未來可能會采取新的策略和模式。例如，他們可以利用微軟漏洞以一對多攻擊模式偷竊個人敏感數據或植入遠程訪問木馬病毒，進行更多破壞。

對IBM安全軟件客戶的影響

針對此波攻擊，安全研究團隊就已經幫助IBM安全軟件用戶確保不受此類攻擊的影響，其中IBM的終端管理產品在微軟發布當天即3月14日發布了更新，IBM入侵防御系統在4月20日發布更新特征庫，更新后的產品具有對該漏洞的防御能力。因此，IBM自身的系統和使用IBM入侵防御系統以及通過IBM終端管理產品更新了補丁的用戶并未遭到此波病毒的入侵。

對于以后類似的勒索病毒軟件，甚至利用未知漏洞和其它方式進行攻擊的勒索軟件，IBM的安全免疫系統（SIEM + Endpoint）可以實施檢測并加以阻斷，可以防止用戶遭受侵害。如下圖所示：

IBM的SIEM平臺Qradar和終端管理平臺BigFix，可以很好的完成從更新補丁、異常告警到隔離終端等一系列工作，針對此類攻擊提供快速有效的響應。

非IBM安全軟件用戶建議

非IBM用戶除了盡快更新Windows系統相關補丁外，也可利用X-ForceExchange安全情報平臺獲得最新的安全信息。X-Force Exchange安全情報平臺在漏洞披露當天即發布了漏洞警告，提醒用戶升級相關補??；在攻擊爆發當天即發布預警，提醒用戶應對其進行足夠的重視，積極應對。并且除了公布漏洞和攻擊消息，X-Force Exchange安全情報平臺還提供了用于防御的Snort規則、此波攻擊主要IP、已發現惡意軟件哈希值等多項重要信息，便于用戶進行自查和防御。

給所有企業的防護行動建議

企業級客戶可以采取下面的步驟防范此類攻擊，或者現在就尋求幫助：

•立刻對系統打補丁以阻止攻擊。例如，IBM的 BigFix 解決方案幾個星期以前就可以自動部署防范WannaCry2的補丁包。

•部署安全情報系統以及時探測攻擊，例如Watson for Cyber Security。

•與企業安全團隊一起開發應急響應手冊, 以便在受到攻擊時快速進行響應和應對。

•確保您的雇員、供應商以及其他與您公司有業務往來的相關方得到日常安全培訓，例如如何發現可疑郵件（有可能藏有釣魚鏈接）。

•參考X-Force Ransomware Response Guide （X-Force專門針對勒索惡意軟件的指南）來評估組織是否準備好應對此類攻擊。

•跟蹤X-ForceExchange （X-Force 情報共享平臺）的最新發布內容以及網站SecurityIntelligence.com

歡迎聯系寶通集團咨詢IBM產品信息

寶通集團聯系方式

咨詢熱線：400-830-0107

寶通官網：www.bjrongxin.com

客戶垂詢郵箱：Customer@ex-channel.com

客戶垂詢QQ：1305742380

地址：深圳市福田區深南大道1006號國際創新中心C座11樓

郵編：518026