ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

WannaCryランサムウェア感染画像 .wncry拡張子ファイル変更 対策は?

イメージ 7
Image いらすとや

Windowsパソコンを感染ターゲットに ランサムウェア(身代金要求型ウイルス) の1つ 「Wana Decrypt0r 2.0」 の被害が世界的に流行ってるらしく、挙動を確認するため手元でチョイと動かしてみました。

いろんな脅威名で呼ばれてるけど、上はランサムウェア自ら名乗ってる名称、下はセキュリティ会社が定義したウイルス検出名に由来します。
  • WanaCrypt0r
  • Wana Decrypt0r 2.0

  • WannaCrypt (読み方 ワナクリプト)
  • WannaCry (読み方 ワナクライ) ← 本来は ”泣く” という意味ではない
  • WannaCryptor
世界各国で大規模サイバー攻撃 病院や大手企業が被害 国際ニュース - AFPBB News
http://www.afpbb.com/articles/-/3128068

世界100カ国でサイバー攻撃 7万5000件超 英国病院で大規模被害、日本も  - 産経ニュース
http://www.sankei.com/world/news/170513/wor1705130013-n1.html

Animated Map of How Tens of Thousands of Computers Were Infected With Ransomware - New York Times (感染ヒートマップ地図)

ランサムウェアWannaCryの感染画面

WannaCry身代金要求ウィンドウ画面

イメージ 4
ビットコインで300ドル/600ドルの身代金支払いを要求

【脅迫文を表示する実行ファイル】
@WanaDecryptor@.exe

【表示される脅迫文の内容】
Ooops, your files have been encrypted!
私のコンピュータに何が起こったのですか?
重要なファイルは暗号化されています。
文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。たぶんあなたはファイルを回復する方法を探していますが、時間を無駄にすることはありません。誰も私たちの解読サービスなしであなたのファイルを回復することはできません。FireflyFramer
ファイルを回復できますか?
確かに。すべてのファイルを安全かつ簡単に復元できることを保証します。しかし、十分に時間がありません。あなたは無料でいくつかのファイルを解読することができます。 <Decrypt>をクリックして今すぐ試してください。しかし、すべてのファイルを解読したい場合は、支払う必要があります。お支払いを送信するのに3日しかかかりません。その後、価格は倍になります。また、7日間で支払いを行わないと、ファイルを永久に回復することはできません。私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。FireflyFramer
私はどのように支払うのですか?
支払いはBitcoinでのみ受け付けます。詳細については、<About bitcoin>をクリックしてください。Bitcoinの現在の価格を確認し、ビットコアを購入してください。詳細については、<How to buy bitcoins>をクリックしてください。そして、このウィンドウで指定されたアドレスに正しい金額を送ってください。お支払い後、<Check Payment>をクリックしてください。 月曜日から金曜日までの午前9時〜午前11時(グリニッジ標準時)。
支払いが確認されたらすぐにファイルの復号化を開始できます。 FireflyFramer
接触
援助が必要な場合は、<Contact Us>をクリックしてメッセージを送信してください。
このソフトウェアを削除しないことを強くお勧めします。支払いを処理して支払いが処理されるまで、しばらくのうちにアンチウィルスを無効にすることを強くお勧めします。あなたのアンチウイルスが更新され、自動的にこのソフトウェアを削除した場合、あなたが支払ってもあなたのファイルを回復することはできません! FireflyFramer
https://blogs.yahoo.co.jp/fireflyframer/34623621.html


このウィンドウは英語や日本語のほか欧米やアジアの 計28言語 の表記に対応してます。<Google翻訳で変換したデータを使ってるみたい

イメージ 5

WannaCry脅迫文の表示言語
英語 ブルガリア語 簡体字中国語 繁体字中国語 クロアチア語 チェコ語 デンマーク語 オランダ語 フィリピン語 フィンランド語 フランス語 ドイツ語 ギリシャ語 インドネシア語 イタリア語 日本語 韓国語 ラトビア語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スペイン語 スウェーデン語 トルコ語 ベトナム語 FireflyFramer

ランサムウェア脅迫文ファイル

イメージ 2
デスクトップなどに作成されるテキストファイル (英語)

イメージ 3
Windows デスクトップの壁紙が変更される画像ファイル

【脅迫文表示用のファイル】
@Please_Read_Me@.txt
@WanaDecryptor@.bmp


レジストリ

イメージ 1

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
wd=[ランサムウェアの実行ファイルが置かれたフォルダパス]

暗号化ファイル

WannaCry による暗号化で破壊されたファイルは、オリジナルのファイル名に大文字で拡張子 「〜.WNCRY」 を付け足して変更します。

イメージ 6
画像、文書、アーカイブなどWNCRYファイルに

【暗号化対象の拡張子一覧】
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc FireflyFramer
https://blogs.yahoo.co.jp/fireflyframer/34623621.html

ランサムウェアWannaCryの感染経路と対策

先々月2017年3月14日(米時間)に Windows Update でセキュリティ更新パッチ MS07-010 が配信済みの脆弱性を悪用し、遠隔でネットワーク越しにランサムウェア WannaCry を送り込み強制的に感染させるとか。

イメージ 8
3月に修正されてる脆弱性の放置が拡散の最大原因

WannaCry などのランサムウェア被害を防止するため Windows Update を済まして感染経路をふさぐ無料ウイルス対策を! メールの添付ファイル が感染原因ではないので

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 「Windows SMB のリモートでコードが実行される脆弱性」 マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

○ Windows Vista SP2
○ Windows 7
○ Windows 8.1
○ Windows 10
○ Windows Server
(マイクロソフトのサポート終了で更新パッチが存在しない Windows XP や Windows 8.0 も影響を受ける可能性)

<追記...> マイクロソフトは 「Windows SMB のリモートでコードが実行される脆弱性」 を解決する更新パッチを サポート終了済みの Windows XP、Windows 8.0、Windows Server 2003 向け にも特例で公開しました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/

セキュリティ会社の記事など

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 - トレンドマイクロ
『コードネーム「EternalBlue」と呼ばれる今回の攻撃に使われた脆弱性「CVE-2017-0144」は、「Shadow Brokers」と呼ばれるハッカー集団が今年4月に米国の「National Security Agency(国家安全保障局、NSA)」から窃取したとされるハッキングツールや攻撃コード(エクスプロイトコード)に含まれる』
http://blog.trendmicro.co.jp/archives/14873

ランサムウェア「WannaCry」:あなたは大丈夫? – カスペルスキー
『一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。』
https://blog.kaspersky.co.jp/wannacry-ransomware/

マイクロソフトによると 『WannaCrypt で使われたエクスプロイトコードは、パッチが適用されてない Windows 7 や Windows Server 2008(またはそれ以前のOS)のシステムに対してのみ機能する設計で Windows 10 はこの攻撃の影響を受けない』 としてます。 <ランサムウェアそのものは Windows XP 〜 Windows 10 まで動作可?

WannaCrypt ransomware worm targets out-of-date systems - Microsoft
https://blogs.technet.microsoft.com/mmpc/2017/05/12/

ランサムウェアの無料ファイル復号ツール を多数提供してるセキュリティ会社 Emsisoft によると現時点では復号ツールを提供できる可能性は低いとしてます。

Global WannaCry ransomware outbreak uses known NSA exploits - Emsisoft
http://blog.emsisoft.com/2017/05/12/

WannaCry の攻撃者は 『私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催』 とナゾの予告をしてるし、世界的な騒ぎで警察機関の捜査が行われるはずで、将来的な無料の復旧手段を期待して WNCRY ファイルは残しておいたほうがいいです。

【セキュリティソフトの検出名例】
ESET Win32/Filecoder.WannaCryptor
Kaspersky Trojan-Ransom.Win32.Wanna
Microsoft Ransom:Win32/WannaCrypt
Symantec Ransom.Wannacry
Trend Micro Ransom_WANA RANSOM_WCRY

今回5月12〜13日のサイバー攻撃で配信されたウイルス検体は主要なセキュリティソフトが対応済みなので、無料ですぐ使えるウイルス駆除ツール Microsoft Safety ScannerKaspersky Virus Removal Tool でのスキャンも可能です。

<追記...> 5月23日に Windows Updte から Ransom:Win32/WannaCrypt に対応する 「悪意のあるソフトウェアの削除ツール KB890830」 の配信が定例外で行われました。



<5月22日 追記...>

カスペルスキーによると、サイバー攻撃 WannaCry ランサムウェアの感染被害パソコンの 98.35% が Windows 7 環境 という…。 <Windows XP はわずか

■ Costin Raiuさんのツイート: "#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant."
https://twitter.com/craiu/status/865562842149392384

メモリ上の秘密鍵を検索して暗号化ファイルを復元する WannaCry 向けの無料復号ツールがリリースされ、トレンドマイクロも同じ手法で対応したようです。

Wannakey by Adrien Guinet
○ WanaKiwi by Benjamin Delpy

ただ、「ランサムウェアに感染したまま電源を切らず再起動してない」「Windows XP の場合は他バージョンより復号する成功率がある」 というリアル WannaCry の感染下ではかなり厳しい条件となってます。
関連するブログ記事

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事