趨勢科技發現勒索蠕蟲新變種UIWIX及挖礦木馬 同時鎖定EternalBlue弱點
【2017年5月18日台北訊】勒索蠕蟲「WannaCry/Wcry」從上週末以來暴風肆虐全球,目前受攻擊程度雖已逐漸趨緩,趨勢科技又偵測到另一新勒索蠕蟲變種「UIWIX」伺機而動,提醒民眾千萬不能掉以輕心。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)發現,「UIWIX」(RANSOM_UIWIX.A)同樣也是利用Server Message Block(SMB)漏洞EternalBlue(亦被稱為CVE-2017-0144和MS17-10)以執行擴散行為,與「WannaCry/Wcry」的不同之處在於其變得更加狡猾且不留痕跡。
在入侵了電腦的EternalBlue漏洞後,「UIWIX」直接在記憶體執行,未在電腦硬碟中留下絲毫蹤跡,讓其相較於「WannaCry/Wcry」更加難以追蹤;而另一個狡猾的地方在於,「UIWIX」能夠在被虛擬機器(Virtual Machine)或沙盒(Sandbox)安全機制偵測之前自動停止;最後,相比「WannaCry/Wcry」勒索蠕蟲當中有一個「關閉開關」(Kill Switch),讓電腦得以暫時躲過 WannaCry的威脅,民眾可運用此時機盡快安裝安全性修補程式;而趨勢科技發現「UIWIX」並沒有這種開關設計,恐帶給大眾更大的威脅;不只如此,利用相似程式漏洞進行攻擊的,還有新的比特幣挖礦木馬病毒,更可能讓受害者電腦淪為歹徒牟利工具。趨勢科技資深技術顧問簡勝財表示:「一隻新的病毒爆發後,就會接著出現各式各樣的變種,且可能比原來的病毒更加難以對付,在此提醒民眾隨時保持高度警戒,並養成嚴加防範的資安好習慣。」
趨勢科技提供消費者「WannaCry」漏洞檢查工具,並建議6大預防做法
趨勢科技推出免費「WannaCry」漏洞檢查工具Trend Micro WCRY Simple Patch Validation Tool,此工具能夠幫助消費者在Windows電腦上執行以下兩項工作,而詳細的執行教學步驟與下載點,請見趨勢科技部落格文章:(https://blog.trendmicro.com.tw/?p=49807)
- 自動檢查電腦裝置中,是否存在EternalBlue漏洞
- 幫助使用者檢查Windows系統上是否開啟SMB v1,如呈現開啟,此工具亦可協助用戶進行停用(企業內的電腦建議和IT管理人員確認是否須利用此工具關閉SMBv1)
除了使用工具確認漏洞是否確實修補,趨勢科技也呼籲使用者重視備份、更新系統漏洞、不要點擊來路不明的網站和檔案以及確保電腦的防護軟體處於自動更新的狀態。
針對企業用戶則提供以下建議作法
而為了有效防範並阻擋利用相同漏洞攻擊的「UIWIX」,與其他未來可能出現的類似變種病毒威脅,趨勢科技在此提供企業用戶6大預防做法:
- 立即修補並更新系統,並考慮使用虛擬修補程式(virtual patching)
- 開啟防火牆功能與入侵偵測及預防系統
- 主動監控並驗證進出網路流量
- 針對容易受到攻擊的地方,如電子郵件與網站等,設立並加強安全機制
- 利用應用程式控制(application control)防止可疑檔案執行,可阻擋程式遭受不正當的修改
- 應用網路分割,可減少內網電腦遭受攻擊和損害的風險