Dettagli e informazioni sulla protezione dalla variante di WannaCry
INFO4361
Last Updated July 05, 2017
Contenuto
- Aggiornamento della situazione
- I clienti Symantec sono protetti?
- Che tipo di protezione offre Symantec ai clienti Endpoint?
- I clienti Symantec Proxy sono protetti?
- I clienti Symantec e-mail sono protetti?
- Come proteggersi?
- Risorse
- Dettagli tecnici
Aggiornamento della situazione
Il 12 maggio 2017 è stata divulgata al pubblico la notizia di diversi attacchi informatici su larga scala con una variante del ransomware WannaCry (detto anche WCry). Le vittime sono utenti di diversi paesi di tutto il mondo.
La minaccia WannaCry crittografa i file di dati sui computer infetti e chiede agli utenti un riscatto di 300 dollari USA in bitcoin per decrittografarli. La richiesta di riscatto indica che l'importo del pagamento verrà raddoppiato dopo tre giorni. Se il pagamento non viene effettuato entro sette giorni, i file crittografati verranno eliminati.
Le analisi indicano che l’attacco si diffonde tramite l’esecuzione di un codice remoto con protocollo SMB (Server Message Block) in Microsoft Windows che Microsoft ha annunciato e corretto con una patch il 14 marzo 2017. Gli utenti che hanno installato la patch sono fuori pericolo. Il 14 aprile, il gruppo Shadow Brokers ha divulgato uno specifico exploit contro questa vulnerabilità, nome in codice “Eternal Blue”, reperibile tramite un dump di vari strumenti di attacco.
I clienti Symantec sono protetti?
Prima ancora della diffusione di WannaCry, Symantec offriva già una protezione contro questa vulnerabilità tramite la tecnologia di protezione di rete IPS (Sistema di prevenzione delle intrusioni) nei prodotti Symantec Endpoint Protection (SEP) e Norton.
Che tipo di protezione offre Symantec ai clienti endpoint?
La protezione contro questa minaccia si articola in due modalità di base:
- I clienti che hanno installato l’aggiornamento della sicurezza Windows MS17-010 non sono vulnerabili a questa minaccia.
- È possibile utilizzare Symantec Endpoint Management per distribuire efficacemente questa e altre patch, oltre ad aggiornamenti del software, a livello dell’intera azienda.
- In IT Management Suite (ITMS), la patch MS17-010 non viene visualizzata in Patch Management poiché quel numero di patch è stato superato e incluso nei rollup da marzo a maggio 2017. Inoltre, questo documento verrà aggiornato mano a mano che vengono distribuite nuove patch.
- Per i sistemi che non hanno installato la patch, i prodotti Symantec e Norton prevedono una serie di difese da questa minaccia:
- Tutti i clienti SEP 14, SEP 12, SEP SBE e SEP Cloud già godono di una protezione che impedisce la diffusione di WannaCry via SMB, grazie alla tecnologia di protezione reti Intrusion Prevention System (IPS).
- Per i clienti SEP 14, SEP 12, SEP SBE e SEP Cloud l’esecuzione di tutte le varianti note del ransomware viene bloccata da una protezione integrata nei nostri più recenti aggiornamenti delle firme. Abbiamo firme il cui rilascio risale al 31 marzo 2017 che già bloccavano almeno una variante di WannaCry.
- Una volta installati i prodotti su uno specifico computer, i clienti delle edizioni SEP 14, SEP Cloud e SEP SBE in hosting dispongono di ulteriori capacità di protezione contro l’esecuzione di questa minaccia. La nostra tecnologia di apprendimento automatico avanzato ha rilevato proattivamente molte delle varianti di WannaCry al momento del loro rilascio. Anche la funzionalità cloud intelligente per le minacce protegge immediatamente dalle nuove varianti di WannaCry.
Nota: la funzionalità cloud intelligente per le minacce è attivata per impostazione predefinita e si consiglia agli utenti di assicurarsi che resti attivata nei loro ambienti.
Si consiglia inoltre di verificare che siano attivate la tecnologia Insight di SEP basata sulla reputazione e la tecnologia comportamentale SONAR. Entrambe queste tecnologie offrono ulteriori capacità di protezione proattiva per le nuove versioni di WannaCry.
I clienti Symantec Proxy sono protetti?
Grazie alla condivisione in tempo reale delle informazioni tra Symantec e Blue Coat, tutte le versioni di WannaCry bloccate da SEP vengono bloccate automaticamente anche per i clienti Blue Coat che dispongono di Content Analysis System (CAS).
Nota: questa funzionalità non è disponibile in ProxyAV, il predecessore di Content Analysis System, anche se i motori di scansione malware di ProxyAV possono essere in grado di bloccare WannaCry indipendentemente.
A mano a mano che rileva nuovi campioni, per i clienti proxy sia SEP che Blue Coat, Symantec aggiungerà automaticamente la protezione adeguata alla minaccia.
I clienti Symantec e-mail sono protetti?
Tutti i clienti Symantec e-mail sono completamente protetti da WannaCry tramite l’ultima serie di firme distribuite. Le tecnologie Skeptic e Link Following disponibili nel prodotto Email Security.cloud offrono ulteriori protezioni proattive.
Come proteggersi?
Symantec consiglia caldamente di procedere come segue:
- Attivare la tecnologia Insight di SEP basata sulla reputazione e la tecnologia comportamentale SONAR.
- Tenere aggiornato il proprio software (SEP, ProxySG, patch di Microsoft e così via) e installare le versioni più recenti per ridurre il rischio di infezioni future
- Installare l’aggiornamento della sicurezza Windows MS17-010.
Risorse
- Avviso sul ransomware WannaCry
- Microsito del ransomware WannaCry
- Blog ufficiale Symantec: Cosa bisogna sapere riguardo al ransomware WannaCry
- Contattare il supporto Symantec (selezionare il paese corretto)
Dettagli tecnici
Iscrivendoti ricevi aggiornamenti via e-mail quando questo articolo viene aggiornato. Per l’iscrizione è necessario accedere
Iscriviti a questo articolo
Unable to subscribe
Grazie dei commenti aggiuntivi.
Enterprise Support Virtual Agent
Rate Me :
Tell us more:
Welcome! My name is Sami, the Enterprise Support Virtual Agent answering technical support questions.
Start Over
This will clear the history and restart the chat.
Grazie dei commenti. Facci sapere se hai ulteriori commenti qui sotto. (Richiede l'accesso)