趨勢科技發現勒索病毒相關的威脅急劇上升, 尤其是較為複雜的 Crypto-Ransomware威脅。這個問題同時影響著家庭以及工作環境中的使用者。就如同其他的網路威脅,伴隨著時間的推移,勒索病毒變得越來越複雜和先進。因此如何預防和保護將變得更具挑戰性。
勒索病毒可以透過許多種的途徑進度組織環境中,例如:垃圾電子郵件、網路釣魚攻擊或是網路中提供的惡意程式下載.。為確保達到最佳的防護,建議在組織環境的端點、閘道以及郵件伺服器上部署多層防護。
下圖顯示典型勒索病毒的感染以及傳遞方式。若需要更多相關的感染鏈詳細訊息,請參閱這篇文章: 使用趨勢科技產品緩解 TROJ_CRYPWALL (also known as Cryptowall) v3 。
本文討論於趨勢科技的各種產品上的建議設定以及重要的軟體更新,以更好的防禦以及對抗勒索病毒。
趨勢科技用戶(家用版)可造訪以下網頁參考: 客戶(家用版)的使用者說明 勒索病毒:介紹、預防以及趨勢科技防護解決方案
趨勢科技提供的解決方案以及最佳建議配置
趨勢科技有多種利用Trend Micro™ Smart Protection Network™ 的解決方案。它可以幫助管理者封鎖勒索病毒可能的感染點。從趨勢科技下載專區取得這些解決方案的最新版本,其中包括service packs以及critical patches。
Apex One (OfficeScan) 以及 Worry-Free Business Security
這些趨勢科技端點防護產品皆有包含強烈建議啟用的防禦勒索病毒威脅關鍵技術功能: 網頁信譽評等服務 以及行為監控。啟用和配置這些選項,請遵循以下文章:
- Apex One 以及 OfficeScan: TrendMicro Apex One and OfficeScan (OSCE) 開啟勒索病毒防護功能
- WFBS: Worry-Free Business Security 9.0 SP3 開啟勒索病毒防護
- WFBS-SVC: Worry-Free Business Security Services (WFBS-SVC) 開啟勒索病毒防護
如需要更詳細的配置步驟,請參閱以下文章:
端點應用程式控管
管理人員可於端點防護上取得額外的保護,以防止不必要以及未知的應用程式(如:勒索病毒或零時差攻擊)被執行,可透過部署 Application Control 策略阻擋不信任的 EXE 檔案。
購買了以上其中一種趨勢科技智能防護套件的客戶,可能已經擁有 Application Control 保護的授權,但尚未啟用。若要進行安裝和設定策略,請參考網頁說明:
TMEAC: Threats with Endpoint Application Control (TMEAC) 2.0 Patch 1 最佳設定配置防禦勒索病毒以及其他威脅
更詳細的設定步驟請參考以下文件說明:端點應用程式控管說明.
Deep Security
請參閱以下文章,以了解 Deep Security 如何保護服務器免於勒索病毒的影響: Deep Security 中的勒索病毒偵測以及預防 .
以下文章將引導您進一步增強對 Messaging 和 Gateway 產品的保護:
- SMID: 如何開啟 ScanMail for IBM Domino (SMID) 5.6 for Windows 勒索病毒防範
- SMEX: 使用 ScanMail for Exchange (SMEX) 防範勒索病毒
- TMCAS: Trend Micro Cloud App Security (TMCAS) 開啟勒索病毒防護功能
- IMSVA: InterScan Messaging Security Suite (IMSS) 或 InterScan Messaging Security Virtual Appliance (IMSVA) 開啟勒索病毒防護功能
- HES: 使用Hosted Email Security (HES)防範勒索病毒
- IWSVA: InterScan Web Security Virtual Appliance (IWSVA) 6.5 Service Pack 2 設定 URL 過濾策略去阻擋勒索病毒
參考資料:防護模組介紹
由於電子郵件仍是攻擊者常用的傳播勒索病毒的流行媒介,因此建議有效的阻擋非必要的檔案類型,例如可執行檔案或腳本。管理者可透過真實檔案機制封鎖這些檔案(建議),或是封鎖特定的副檔名。客戶可遵循著郵件產品去阻擋電子郵件附件。要配置這些產品, 請參閱以下關於 使用趨勢科技郵件產品過濾及阻擋電子郵件附件 的相關說明。
- ScanMail for Microsoft Exchange
- Hosted Email Security
- InterScan Messaging Security
巨集病毒是常見的 Microsoft Office 文件以及壓縮檔案的感染類型。為了加強安全性,請參閱使用趨勢科技產品設定巨集檔案掃瞄功能 。
M建議郵件產品的使用者可開啟網頁信譽評等服務以及 New-Born URLs 處理功能,以有效的抓住新一波的惡意垃圾郵件活動。查看 具有 New-Born URLs 處理功能的郵件產品列表 。
強烈建議網頁信譽評等使用者開啟快速 IP 清單(QIL)過濾 IP 聲譽層級 並且最低設定為 Level 2。
以下的文章將會引導您針對網路防護產品更進一步的增強防護:
控制管理中心(TMCM)提供勒索病毒監控功能,並提供偵測狀況以及受影響的使用者資訊。以下文章將會帶您瞭解 TMCM 提供的相關資訊: 檢查 TMCM 資訊中心的勒索病毒防護子頁面中所顯示的資訊 。
以下文章將會引導您增強行動裝置產品的防護,其中包含 Mobile Security for Android 以及 Mobile Security for Enterprise:
TMMS: 行動裝置勒索病毒:預防以及最佳做法
Prevention
被勒索病毒攻擊後,受感染者通常表示嘗試復原檔案非常痛苦以及複雜。提高使用者的意識以及警覺性,可在這些不幸的攻擊事件中,節省潛在的受害者的時間以及金錢。透過源頭防範攻擊,仍是應對這種威脅最有效的方案。
以下為使用者以及管理員可採用的最佳預防措施作法的清單:
- 定期備份重要資料,以防止出現任何類型的損失(不僅是勒索病毒)。
- 即時的套用系統以及第三方軟體供應商的軟體更新包。
- 應用良好的電子郵件以及網頁安全作為 – 只從可信任的來源下載附件、點擊連結以及執行程式。
- 鼓勵使用者提醒 IT 安全團隊發現可疑的電子郵件以及檔案。
- 確保所使用的安全防護產品定期更新並定期執行掃瞄作業。
- 落實應用程式白名單方式,阻擋所有未知以及不需要的應用程式。
- 定期對使用者進行教育社交工程的威脅及跡象。
趨勢科技持續投入無數的時間進行研究新的方法對抗這些安全威脅,並透過 Security Intelligence Blog 和 Knowledge Base,將最新的資訊以及建議提供給我們的使用者。
此外,您所授權的趨勢科技服務代表可以解答本公告中對抗勒索病毒的設定選擇方法的任何問題。
可用工具
趨勢科技已有提供的解密工具,可對某些勒索病毒家族加密的檔案進行解密。您可參考趨勢科技勒索病毒檔案解密工具下載以及使用說明操作解密工具。
- 請依照您的作業系統版本,下載合適的 Anti-Threat Toolkit (ATTK):
- 閱讀趨勢科技授權合約,點選 I Accept開始下載工具。
- 選擇預計儲存工具的目錄,然後點選 儲存。
- 用滑鼠點選兩下所下載的檔案執行。
- 當出現使用者帳戶控制視窗,點選 Yes 。
將會出現命令提示字元畫面顯式系統取證分析進度。
- 分析完成後將出現一個瀏覽器窗口。您將收到一個臨時 ID 號碼,請將暫時ID號碼和Output裡的壓縮記錄檔一起提供給 Trend Micro Technical Support.
- 執行 Trend Micro Anti-Threat Toolkit 將會於工具目錄底下產生資料夾,並於將工具解壓縮至內部執行,其中包含子資料夾Output。將會產生一個名稱包含時間戳記以及 GUID 的 ZIP 檔案
- 如果您已有趨勢科技技術服務案件正在處理中,請將 Temporary ID 以及產生的 output資料夾中的 ZIP 檔案提交至既有案件。若無請將需求提交至 趨勢科技技術支援,並提供Temporary ID 以及 output 檔案。
