Hjälper dig att hantera Ransomware-attacker
Nov 25, 2019
Microsoft har precis släppt patchar för Windows XP, Windows 8 och vissa serverplattformar som inte ursprungligen ingick i MS17-010-uppdateringen.
Dessutom såg vi också en ny WannaCry-variant som inte använder den ursprungliga "killswitch"-switchen. Forskare misstänker nu att denna mekanism faktiskt är ett försök att kringgå den dynamiska analysmotorn som automatiskt svarar på GET-förfrågningar för att undvika upptäckt.
Originalbeskrivning:
En själv-replikerande ransomware som heter Wanna, WannaCry eller Wcr förstör datorer runt om i världen. Den initiala informationen visade att den initiala spridningen i de flesta företag skedde genom traditionella metoder, främst e-post och PDF-filer från Necurs botnät. WannaCry är unik genom att den snabbt kan spridas över SMBv1-aktiverade nätverk från och med den första patienten.
Detta SMBv1 icke-certifierade fjärrexekveringsverktyg-kod- släpptes av organisationen "Shadow Broker" den 14 april 2017. Det kallas informellt för "Eternal Blue", och Microsoft nämnde det aktivt i säkerhetsbulletinen MS17-010 från den 14 mars.
Ta en titt på det offentliga "Eternal Blue"-exemplet nedan, och låt oss förstå varför denna ransomware kan spridas effektivt; det kan spridas i ett sårbart företag utan någon åtgärd från angripare.
Efter att Microsoft släppte motsvarande patch (MS17-010) har många användare fortfarande inte implementerat patchen.
Även om ransomwaren är mycket oroande kan kunder som har anammat Junipers säkerhetslösning vara relativt mer tillfreds och deras miljö är skyddad. Låt oss se över funktionerna i WannaCry och de tillgängliga verktygen för att förhindra att den bryter ut.
För det första kommer kunder som har implementerat vår avancerade SkyATP-lösning för skydd mot skadlig programvara sannolikt att vara skyddade på flera nivåer:
Genom SkyATP:s säkerhets- och intelligenta informations-push-uppdateringar trunkeras automatiskt kommunikationen mellan användaren och Necurs botnät; intern åtkomst kan kasseras av Junipers SRX-brandvägg;
Om du inte använder ovanstående nätverksbaserade-säkerhetsinformation för att pusha uppdateringsskydd, kan SkyATP:s anti-malware-funktion vara genom dess robusta fler-segmentdetekteringspipeline (inklusive signatur-baserad detektering, maskininlärning, statisk analys och sandlådebaserade-bedrägerier Dynamic analysmekanism. Fram till nu (12 maj) har vi analyserat 24 oberoende fall, som alla identifierats och fångats inom 30 sekunder;
Baserat på ovanstående implementeringsmekanism antas det att även om SkyATP inte blockerar den första nedladdningen av filen, så snart SkyATP känner igen att filen är skadlig, kan den skicka denna information till SRX-enheterna i olika företag, och därigenom isolera de skadliga på nätverksnivå. programvara.