ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、ネットの話題を書き出してるブログです (*´w`*)ノ

書庫全体表示

WannaCryランサムウェア感染.wncry拡張子ファイルの画像 ウイルス対策は?

イメージ 7
Image いらすとや

Windows パソコンをターゲットに ランサムウェア(身代金要求型ウイルス)  の感染被害が世界的に流行ってるようで、動作挙動を確認するため手元でチョイと動かしてみました。

このランサムウェアはいろんな脅威名で呼ばれてるけど、上はランサムウェア自らが名乗ってる名称、下はセキュリティ会社が定義したウイルス検出名に由来します。
  • WanaCrypt0r
  • Wana Decrypt0r 2.0

  • WannaCrypt (読み方 ワナクリプト)
  • WannaCry (読み方 ワナクライ) ← 本来は ”泣く” という意味ではない
  • WannaCryptor
  • WCry
世界各国で大規模サイバー攻撃 病院や大手企業が被害 国際ニュース - AFPBB
http://www.afpbb.com/articles/-/3128068

世界100カ国でサイバー攻撃 7万5000件超 英国病院で大規模被害、日本も - 産経ニュース
http://www.sankei.com/world/news/170513/wor1705130013-n1.html

Animated Map of How Tens of Thousands of Computers Were Infected With Ransomware - New York Times (感染ヒートマップ地図)

ランサムウェアWannaCryの感染画面

WannaCry の身代金要求ウィンドウ

全体が赤っぽい配色で、左側に南京錠アイコンや身代金支払いの年月日がカウントダウン、左側に日本語の文章で身代金支払いの文章となってます。

イメージ 4
ビットコインで300ドル/600ドルの身代金支払いを要求

【脅迫文を表示する実行ファイル】
@WanaDecryptor@.exe

【表示される脅迫文の内容】
Ooops, your files have been encrypted!
私のコンピュータに何が起こったのですか?
重要なファイルは暗号化されています。
文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。たぶんあなたはファイルを回復する方法を探していますが、時間を無駄にすることはありません。誰も私たちの解読サービスなしであなたのファイルを回復することはできません。FireflyFramer
ファイルを回復できますか?
確かに。すべてのファイルを安全かつ簡単に復元できることを保証します。しかし、十分に時間がありません。あなたは無料でいくつかのファイルを解読することができます。 <Decrypt>をクリックして今すぐ試してください。しかし、すべてのファイルを解読したい場合は、支払う必要があります。お支払いを送信するのに3日しかかかりません。その後、価格は倍になります。また、7日間で支払いを行わないと、ファイルを永久に回復することはできません。私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。FireflyFramer
私はどのように支払うのですか?
支払いはBitcoinでのみ受け付けます。詳細については、<About bitcoin>をクリックしてください。Bitcoinの現在の価格を確認し、ビットコアを購入してください。詳細については、<How to buy bitcoins>をクリックしてください。そして、このウィンドウで指定されたアドレスに正しい金額を送ってください。お支払い後、<Check Payment>をクリックしてください。 月曜日から金曜日までの午前9時〜午前11時(グリニッジ標準時)。
支払いが確認されたらすぐにファイルの復号化を開始できます。 FireflyFramer
接触
援助が必要な場合は、<Contact Us>をクリックしてメッセージを送信してください。
このソフトウェアを削除しないことを強くお勧めします。支払いを処理して支払いが処理されるまで、しばらくのうちにアンチウィルスを無効にすることを強くお勧めします。あなたのアンチウイルスが更新され、自動的にこのソフトウェアを削除した場合、あなたが支払ってもあなたのファイルを回復することはできません! FireflyFramer
https://blogs.yahoo.co.jp/fireflyframer/34623621.html


このウィンドウは英語や日本語のほか、欧米やアジアの 計28言語 の表記に対応してます。<Google 翻訳で変換したデータを拝借してるみたい

イメージ 5

WannaCry脅迫文の表示言語
英語 ブルガリア語 簡体字中国語 繁体字中国語 クロアチア語 チェコ語 デンマーク語 オランダ語 フィリピン語 フィンランド語 フランス語 ドイツ語 ギリシャ語 インドネシア語 イタリア語 日本語 韓国語 ラトビア語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スペイン語 スウェーデン語 トルコ語 ベトナム語 FireflyFramer

日本語の表示フォントが 明朝体 で違和感アリアリだけど、これはリッチテキスト形式のデータをそのまま表示する仕組みになってるためです。 <多言語対応で文字化けを回避したかった?

ランサムウェアの脅迫文ファイル

イメージ 2
デスクトップなどに作成されるテキストファイル (英語)

イメージ 3
Windows デスクトップの壁紙が変更時の画像

【WannaCry脅迫文表示用のファイル】
@Please_Read_Me@.txt
@WanaDecryptor@.bmp


Windows レジストリ

イメージ 1

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
wd=[ランサムウェアの実行ファイルが置かれたフォルダパス]

WannaCry 暗号化ファイル

WannaCry の感染により暗号化されて破壊されたファイルは、オリジナルのファイル名の後ろに大文字の拡張子 「〜.WNCRY」 が付け足されて変更されました。

イメージ 6
画像、文書、アーカイブなどWNCRYファイルに

【暗号化対象の拡張子一覧】
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc FireflyFramer
https://blogs.yahoo.co.jp/fireflyframer/34623621.html

ランサムウェアWannaCryの感染経路と対策

先々月2017年3月14日(米時間)に Windows Update でセキュリティ更新パッチ MS07-010 が配信済みの脆弱性を悪用し、遠隔でネットワーク越しにランサムウェア WannaCry を送り込んで強制的に感染させる手口だそう。

イメージ 8
3月に修正されてる脆弱性の放置が拡散の最大原因

WannaCry などのランサムウェア被害を防止するため Windows Update を済まして感染経路をふさぐ無料ウイルス対策をぜひ! メールの添付ファイル は感染原因ではない

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 「Windows SMB のリモートでコードが実行される脆弱性」 マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

○ Windows Vista SP2
○ Windows 7
○ Windows 8.1
○ Windows 10
○ Windows Server
(マイクロソフトのサポート終了で更新パッチが存在しない Windows XP や Windows 8.0 も影響を受ける可能性)

<追記...> マイクロソフトは 「Windows SMB のリモートでコードが実行される脆弱性」 を解決する更新パッチを サポート終了済みの Windows XP、Windows 8.0、Windows Server 2003 向け にも特例で公開しました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/

セキュリティ会社の記事など

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 - トレンドマイクロ
『コードネーム「EternalBlue」と呼ばれる今回の攻撃に使われた脆弱性「CVE-2017-0144」は、「Shadow Brokers」と呼ばれるハッカー集団が今年4月に米国の「National Security Agency(国家安全保障局、NSA)」から窃取したとされるハッキングツールや攻撃コード(エクスプロイトコード)に含まれる』
http://blog.trendmicro.co.jp/archives/14873

ランサムウェア「WannaCry」:あなたは大丈夫? – カスペルスキー
『一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。』
https://blog.kaspersky.co.jp/wannacry-ransomware/

マイクロソフトによると 『WannaCrypt で使われたエクスプロイトコードは、パッチが適用されてない Windows 7 や Windows Server 2008(またはそれ以前のOS)のシステムに対してのみ機能する設計で Windows 10 はこの攻撃の影響を受けない』 としてます。 <ランサムウェアそのものは Windows XP 〜 Windows 10 まで動作可?

WannaCrypt ransomware worm targets out-of-date systems - Microsoft
https://blogs.technet.microsoft.com/mmpc/2017/05/12/

ランサムウェアの無料ファイル復号ツール を多数提供してるセキュリティ会社 Emsisoft によると現時点では復号ツールを提供できる可能性は低いとしてます。

Global WannaCry ransomware outbreak uses known NSA exploits - Emsisoft
http://blog.emsisoft.com/2017/05/12/

WannaCry の攻撃者は 『私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催』 とナゾの予告をしてるし、世界的な騒ぎで警察機関の捜査が行われるはずで、将来的な無料の復旧手段を期待して WNCRY ファイルは残しておいたほうがいいです。

【セキュリティソフトの検出名例】
ESET Win32/Filecoder.WannaCryptor
Kaspersky Trojan-Ransom.Win32.Wanna
Microsoft Ransom:Win32/WannaCrypt
Symantec Ransom.Wannacry
Trend Micro Ransom_WANA RANSOM_WCRY

今回5月12〜13日のサイバー攻撃で配信されたウイルス検体は主要なセキュリティソフトが対応済みなので、無料ですぐ使えるウイルス駆除ツール Microsoft Safety ScannerKaspersky Virus Removal Tool でのスキャンも可能です。

<追記...> 5月23日に Windows Updte から Ransom:Win32/WannaCrypt に対応する 「悪意のあるソフトウェアの削除ツール KB890830」 の配信が定例外で行われました。



<5月22日 追記...>

カスペルスキーによると、サイバー攻撃 WannaCry ランサムウェアの感染被害パソコンの 98% が Windows 7 環境 だった模様です。 <Windows XP はごくわずか

■ Costin Raiuさんのツイート: "#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant."
https://twitter.com/craiu/status/865562842149392384

メモリ上の秘密鍵を検索して暗号化ファイルを復元する WannaCry 向けの無料ファイル復号ツールがリリースされ、トレンドマイクロも同じ手法で対応したようです。
ただ、「ランサムウェアに感染したまま電源を切らず再起動してない」「Windows XP の場合は他バージョンより復号成功率がある」 とのことで、リアルな WannaCry の感染下では相当厳しい条件だと思います。



<12月20日 追記...>

WannaCry ランサムウェアに関与した攻撃者は 北朝鮮 のハッカーだ、米国政府は断定したとしてます。
関連するブログ記事

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事