Forcepoint安全实验室发布：WannaCry蠕虫勒索软件攻击防护建议

近日，WannaCry的突然出现引起广泛电脑使用者关注。

Forcepoint安全实验室检测发现WannaCry在全球多地均有出现。一个重要的发现是被“WannaCry”攻击的是针对未及时更新补丁的系统。

勒索软件攻击对话

Forcepoint的Email安全、Web 安全、NGFW安全产品已经全面保护用户免遭感染，但是此次攻击的本质多数是由于一封未被检测的公网邮件，或者一封被安全意识薄弱的员工人为从隔离区释放的邮件所致，在点击邮件中的恶意链接之后被重定向至一个恶意站点，之后自动下载恶意程序感染主机，加密数据文件，弹出窗口进行勒索。正如上周Forcepoint博客中所言的Jaff勒索软件一样，采用纵深安全防御机制在很大程度上可以终止攻击和斩断传播。

被感染主机将被自动替换桌面背景

大家知道，对于基于邮件的此类攻击，员工安全意识提升才是最关键的防范措施。如果自我蔓延的勒索软件成为一种新模式，各机构的安全风险大多源于其单个用户的无意操作，比如点击了恶意链接或者打开了一个恶意文件。此外，这个恶意软件攻击的MS17-010 漏洞的已在近两个月前进行了修补。各机构的安全能力的差异就在于是否重视安全问题，同时，是否及时更新安全补丁。

为此，Forcepoint提出如下建议：

1) 确保组织机构内所有Windows机器上安装MS7-010安全更新;

2) 确保安装Web和邮件安全解决方案，它们可以在邮件通道帮助您阻止恶意邮件、在Web通道使用实时安全检测机制阻断恶意程序下载以及恶意URL过滤；

3) 遵从2016 微软发布的指导 - 在所有Windows系统上禁 SMBv1。

建议“kill-switch” domainiuqerfsodp9ifjaposdfihgosureifaewrwergwea[.]com可临时性不被阻断，以进一步阻止恶意软件在机构内的蔓延。目前，可临时将其加入白名单条目，确保可以使用足够长的时间，直至稳定和持久的保护措施到位。

Forcepoint 安全实验室会一如既往地持续调查和监视这一类新的安全威胁。

文章摘自Forcepoint准能科技

欢迎联系CA88集团咨询Forcepoint产品信息

CA88集团联系方式

咨询热线：400-830-0107
CA88官网：www.clw500.com
客户垂询邮箱：Customer@clw500.com

客户垂询QQ：1305742380
地址：深圳市福田区深南大道1006号国际创新中心C座11楼
邮编：518026