博客更新日期：2017年5月15日 23:24:21 （格林尼治时间）：

赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系：

•  已知的Lazarus使用工具和WannaCry勒索软件共同出现：赛门铁克发现，Lazarus组织在设备上使用的专有工具同时感染了早期版本的WannaCry，但这些WannaCry的早期变体并没有能力通过SMB传播。Lazarus工具可能被用作传播WannaCry的手段，但这一点还未得到证实。
• 共享代码：谷歌人员Neel Mehta在博客中声称，Lazarus工具和WannaCry勒索软件之间共享了某些代码。赛门铁克确认该共享代码是一种SSL。这种SSL工具使用了75个特殊序列的密码，至今我们只在Lazarus工具（包括Contopee和Brambul）和WannaCry变体中见到过这种序列。

虽然以上发现不能表明 Lazarus组织和WannaCry的确切联系，但赛门铁克认为，上述联系足以值得采取进一步调查。随着真相慢慢浮出水面，我们将继续分享更多的调查信息。

自5月12日（星期五）起，一种名为“WannaCry”（Ransom.Wannacry）的恶性勒索软件已在全球范围内攻击了数十万台计算机。该勒索软件比其他类型的勒索软件更加危险，这是由于该勒索软件能够利用Windows计算机的严重漏洞，自行在企业机构的网络中进行传播。微软公司在2017年3月发布了该漏洞的补丁程序（MS17-010）。今年4月，一个名为“Shadow Brokers”的黑客组织泄露了一系列文件，其中，被称为“永恒之蓝”的漏洞被发布至网络，黑客组织曾声称盗取了Equation 网络间谍团伙的相关数据。

我是否受到保护，抵御WannaCry勒索软件的攻击？

赛门铁克端点安全解决方案（Symantec Endpoint Protection，SEP）和诺顿软件能够主动阻挡任何试图利用该漏洞的行为，这意味着，在WannaCry首次出现前，用户 就已经得到了全面的保护。

Blue Coat全球情报网络（GIN）可对所有授权产品进行自动检测，侦测所有基于网络的感染尝试意图。

赛门铁克和诺顿产品结合多种技术，自动保护用户抵御WannaCry的攻击。

主动保护由以下技术提供：

•  IPS网络保护
•  SONAR行为检测技术
•  先进的机器学习技术
• 智能威胁云

通过启用上述技术，用户将获取全部自动保护功能。赛门铁克建议SEP用户将软件版本更新至SEP 14，以获得机器学习签名技术所提供的主动保护功能。

基于网络的保护

为了阻挡攻击者对MS17-010漏洞的尝试攻击，赛门铁克还采取了以下IPS保护措施： 

•  操作系统攻击：微软SMB MS17-010 披露尝试（2017年5月2日发布）
• 攻击：壳代码下载活动（2017年4月24日发布）

   SONAR行为检测技术 

•  SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1

智能机器学习技术

• Heur.AdvML.A
• Heur.AdvML.B
•  Heur.AdvML.D

反病毒

为了拓展保护和识别能力，以下反病毒签名已更新完毕：

•  Ransom.Wannacry
•  Ransom.CryptXXX
• Trojan.Gen.8!Cloud
•  Trojan.Gen.2

赛门铁克建议用户运行LiveUpdate，并检查软件是否为以下版本或更新版本，确保拥有最新的保护：

• 20170512.009

以下IPS 签名也能阻挡Ransom.Wannacry的相关活动：

•  System Infected: Ransom.Ransom32 Activity

企业机构应该确保安装最新的Windows安全更新程序，尤其是MS17-010，防止该恶意软件的传播。

勒索软件WannaCry是什么？

WannaCry能够搜索并解密176种不同文件，并在文件名后附加 .WCRY。该勒索软件要求受害者以比特币支付300美元的赎金。勒索信息中指出，如果延迟支付，赎金将会在3天后增加一倍；如果延迟支付7天，加密文件将被删除。

我是否能够恢复加密文件？或者，我应该支付赎金？

现在，还无法对加密文件进行解密。如果受害者拥有备份，便可以通过备份来恢复被感染的文件。赛门铁克不建议受害者支付赎金。

在一些情况下，文件不通过备份也可得到恢复。保存在“桌面”、“我的文档”或可移动驱动器的文件若被加密，并且原始文件遭到清除——这些文件将无法恢复。保存在计算机其他位置的文件若被加密，并且原始文件遭到简单删除——这些文件可使用数据恢复工具进行恢复。

WannaCry何时出现？传播速度如何？

WannaCry首次出现于5月12日（星期五）。赛门铁克发现，在当天8:00左右（格林威治时间）试图对Windows漏洞进行攻击的次数激增。在周六和周日，赛门铁克阻挡的试图对Windows漏洞进行攻击的次数略有下降，但仍然保持高位。

            图.1 赛门铁克每小时阻挡WannaCry试图对Windows漏洞进行攻击的次数

              图.2 赛门铁克每天阻挡WannaCry试图对Windows漏洞进行攻击的次数

                  图3.赛门铁克于5月11日至15日检测到WannaCry的热度图

受到影响的人群？

任何未下载最新补丁的Windows计算机都有可能受到WannaCry的影响。由于这种病毒可在网络中快速传播，因此企业机构面临更高的风险。全球范围内已有很多企业机构遭受该恶意软件的攻击，欧洲为重灾区。同样，个人计算机也有可能受到感染。

这是否是一次针对性攻击？

不，在现阶段，我们不认为这是一次针对性攻击。勒索软件活动通常选择任意目标。

为什么WannaCry给众多企业机构带来如此多的麻烦？

WannaCry能够利用微软Windows中的已知漏洞，即使在没有用户互动的情况下，仍旧可以在公司网络中自行传播。计算机若未安装最新的Windows安全更新程序，则将面临感染的风险。

WannaCry如何进行传播？

虽然WannaCry可利用漏洞自行在企业机构的网络中进行传播，但感染方式，即第一台受到感染的计算机的受感染方式——仍未得到证实。赛门铁克发现，一些恶意网站托管WannaCry，但看起来只是模仿性攻击，与最初的攻击毫无关联。

是否已经有很多受害者支付了赎金？

对勒索者提供的三个比特币网站进行分析后，赛门铁克发现，在写这篇博文时，受害者在207 次单独交易中共支付了31.21比特币（53,845美元）。

抵御勒索软件的最佳实践：

• 勒索软件变种会不定期出现，赛门铁克建议用户，始终保持安全软件为最新版本，从而抵御网络攻击。
•  保持操作系统和其他软件为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。
• 赛门铁克发现，电子邮件是当今主要传染方式之一。用户应警惕未知电子邮件，尤其是包含链接和/或附件的电子邮件。
•  用户需要特别谨慎对待那些建议启用宏以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握，否则请立即删除来源不明的电子邮件，并且务必不要启动宏功能。
• 备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问，从而向受害者施加压力。如果受害者拥有备份，当感染被清理后，即可恢复文件。对于企业用户而言，备份应当被适当保护，或者存储在离线状态，使攻击者无法删除。

 通过使用云服务，帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本，并且允许用户通过“回滚”到未加密的文件。

技术支援：

赛门铁克建议，如用户遇到威胁问题，请与赛门铁克技术支援中心联络。

中国: 800 810 3992 或 400 810 9771

香港: 852 3071 4616

台湾: 0080 1861 032