近日，WannaCry的突然出現引起廣泛電腦使用者關注。

Forcepoint安全實驗室檢測發現WannaCry在全球多地均有出現。一個重要的發現是被“WannaCry”攻擊的是針對未及時更新補丁的系統。

勒索軟件攻擊對話

Forcepoint的Email安全、Web 安全、NGFW安全產品已經全面保護用戶免遭感染，但是此次攻擊的本質多數是由于一封未被檢測的公網郵件，或者一封被安全意識薄弱的員工人為從隔離區釋放的郵件所致，在點擊郵件中的惡意鏈接之后被重定向至一個惡意站點，之后自動下載惡意程序感染主機，加密數據文件，彈出窗口進行勒索。正如上周Forcepoint博客中所言的Jaff勒索軟件一樣，采用縱深安全防御機制在很大程度上可以終止攻擊和斬斷傳播。

被感染主機將被自動替換桌面背景

大家知道，對于基于郵件的此類攻擊，員工安全意識提升才是最關鍵的防范措施。如果自我蔓延的勒索軟件成為一種新模式，各機構的安全風險大多源于其單個用戶的無意操作，比如點擊了惡意鏈接或者打開了一個惡意文件。此外，這個惡意軟件攻擊的MS17-010 漏洞的已在近兩個月前進行了修補。各機構的安全能力的差異就在于是否重視安全問題，同時，是否及時更新安全補丁。

為此，Forcepoint提出如下建議：

1) 確保組織機構內所有Windows機器上安裝MS7-010安全更新;

2) 確保安裝Web和郵件安全解決方案，它們可以在郵件通道幫助您阻止惡意郵件、在Web通道使用實時安全檢測機制阻斷惡意程序下載以及惡意URL過濾；

3) 遵從2016 微軟發布的指導 - 在所有Windows系統上禁 SMBv1。

建議“kill-switch” domainiuqerfsodp9ifjaposdfihgosureifaewrwergwea[.]com可臨時性不被阻斷，以進一步阻止惡意軟件在機構內的蔓延。目前，可臨時將其加入白名單條目，確保可以使用足夠長的時間，直至穩定和持久的保護措施到位。

Forcepoint 安全實驗室會一如既往地持續調查和監視這一類新的安全威脅。

文章摘自Forcepoint準能科技

歡迎聯系寶通集團咨詢Forcepoint產品信息

寶通集團聯系方式

咨詢熱線：400-830-0107
寶通官網：www.bjrongxin.com
客戶垂詢郵箱：Customer@ex-channel.com

客戶垂詢QQ：1305742380
地址：深圳市福田區深南大道1006號國際創新中心C座11樓
郵編：518026