病毒通告:RANSOM_WANA.A 勒索軟體透過利用Microsoft Windows 作業系統的漏洞MS17-010 進行感染,請安裝修補程式並提高警覺!
2017/05/18
風險等級: 高度威脅
摘  要:

防毒軟體廠商近期發現RANSOM_WANA.A 勒索軟體(Eset-NOD32 命名為Win32/Filecoder.WannaCryptor.D,Kaspersky 命名為Trojan-Ransom.Win32.Wanna.b,GData命名為Ransom.WannaCry.A,Malwarebytes命名為Ransom.WanaCrypt0r ), 是利用Microsoft Windows 作業系統的漏洞MS17-010 ,若攻擊者傳送針對此漏洞製作的exploit code 到Windows SMBv1 伺服器,可能會允許遠端執行程式碼,該病毒會將多種檔案進行加密,導致遭到感染的使用者無法存取檔案。

HiNet SOC 建議您定期備份重要檔案,為應用軟體和作業系統安裝修補程式(MS17-010),將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

影響系統:
  • Windows
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、請關閉系統還原功能 (Windows Me/XP)
2、識別並終止所偵測到如 RANSOM_WANA.A 的檔案
3、刪除登錄機碼
4、搜尋並刪除特定資料夾及檔案
5、重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 RANSOM_WANA.A 的檔案,如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作
6、重設桌面內容
7、使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 RANSOM_WANA.A
的檔案,如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作
8、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Trend Micro

  • 細節描述:

    它會將本身的下列副本放置到受影響的系統並執行它們:
    %ProgramData%\{random}\tasksche.exe

    它使用以下名稱重命名加密文件:
    {original filename}.WNCRY

    它會建立下列資料夾與多個元件檔案:
    %ProgramData%\{random} ← malware path
    %ProgramData%\{random}\msg ← language notes
    %ProgramData%\{random}\TaskData
    %ProgramData%\{random}\TaskData\Data
    %ProgramData%\{random}\TaskData\Data\Tor
    %ProgramData%\{random}\TaskData\Tor
    %All User Profile%\{random}\msg ← language notes
    %All User Profile%\{random}\TaskData
    %All User Profile%\{random}\TaskData\Data
    %All User Profile%\{random}\TaskData\Data\Tor
    %All User Profile%\{random}\TaskData\Tor

    它會新增下列登錄項目,使其在每次系統啟動時自動執行:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run{random} = "%ProgramData%\{random}\tasksche.exe"

    新增下列登錄機碼與登錄項目:
    HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\WanaCrypt0r
    HKEY_CURRENT_USER\Software\WanaCrypt0rwd = "%ProgramData%\{random}"

    它利用以下漏洞:
    Microsoft安全公告MS17-010

    它會加密副檔名如下的檔案:
    .123.3dm.3ds.3g2.3gp.602.7z.ARC.PAQ.accdb.aes.ai.asc.asf.asm.asp.avi.backup .bak.bat.bmp.brd.bz2.cgm.class.cmd.cpp.crt.cs.csr.csv.db.dbf.dch.der.dif.dip .djvu.doc.docb.docm.docx.dot.dotm.dotx.dwg.edb.eml.fla.flv.frm.gif.gpg.gz.hwp .ibd.iso.jar.java.jpeg.jpg.js.jsp.key.lay.lay6.ldf.m3u.m4u.max.mdb.mdf.mid .mkv.mml.mov.mp3.mp4.mpeg.mpg.msg.myd.myi.nef.odb.odg.odp.ods.odt.onetoc2 .ost.otg.otp.ots.ott.p12.pas.pdf.pem.pfx.php.pl.png.pot.potm.potx.ppam.pps .ppsm.ppsx.ppt.pptm.pptx.ps1.psd.pst.rar.raw.rb.rtf.sch.sh.sldm.sldx.slk .sln.snt.sql.sqlite3.sqlitedb.stc.std.sti.stw.suo.svg.swf.sxc.sxd.sxi.sxm .sxw.tar.tbk.tgz.tif.tiff.txt.uop.uot.vb.vbs.vcd.vdi.vmdk.vmx.vob.vsd.vsdx .wav.wb2.wk1.wks.wma.wmv.xlc.xlm.xls.xlsb.xlsm.xlsx.xlt.xltm.xltx.xlw.zip
    並顯示要求支付贖金之畫面。

    HiNet SOC 建議您定期備份重要檔案,為應用軟體和作業系統安裝修補程式(MS17-010),將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

    參考資訊: Trend Micro(中) (2017/05/13)
    Trend Micro(英) (2017/05/13)
    Trend Labs 趨勢科技全球技術支援與研發中心 (2017/05/17)