歌德塔对于蠕虫勒索病毒WANNACRY通告及防御要点

G DATA实验室今天使用5月10日的病毒库测试WANNACRY勒索软件样本,按需扫描模块和实时防护都能检测样本。所以请确保G DATA病毒库更新到最新。

按需扫描结果如下图:

实时监控直接报病毒:

 建议阻止TCP端口445入站连接,并确保不要拦截下面的kill switch 域名防止残留再次感染

加密文件前,WANNA.CRY 预先访问一个特殊的网址,如果此请求有回答,则不启动恶意加密程序。现阶段欧洲安全分析师把该网址已经注册了,我们建议允许访问该网址。

kill switch 域名为(目前是两个):

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

这个蠕虫勒索病毒利用美国NSA发现的ETERNAL.BLUE 漏洞。微软专门对这个补丁已经三月份公布了官方SMB安全补丁——MS17-010。如果还没有,我们建议立刻打这个补丁。

微软今天还公布了XP等过时操作系统的安全补丁。连接如下:

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64