ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

WannaCryランサムウェア感染画像 .wncry拡張子ファイル変更 対策は?

イメージ 7
Image いらすとや

Windowsパソコンを感染ターゲットに ランサムウェア(身代金要求型ウイルス) の1つ 「Wana Decrypt0r 2.0」 の被害が世界的に流行ってるらしく、挙動を確認するため手元でチョット動かしてみました。

いろんな脅威名で呼ばれてるけど、上はランサムウェア自らが名乗ってる名称、下はセキュリティ会社が定義した検出名に由来してます。
  • WanaCrypt0r
  • Wana Decrypt0r 2.0

  • WannaCrypt (読み方 ワナクリプト)
  • WannaCry (読み方 ワナクライ) ← 本来は ”泣く” という意味ではない
  • WannaCryptor
世界各国で大規模サイバー攻撃 病院や大手企業が被害 国際ニュース - AFPBB News
http://www.afpbb.com/articles/-/3128068

世界100カ国でサイバー攻撃 7万5000件超 英国病院で大規模被害、日本も  - 産経ニュース
http://www.sankei.com/world/news/170513/wor1705130013-n1.html

Animated Map of How Tens of Thousands of Computers Were Infected With Ransomware - New York Times (感染ヒートマップ地図)

ランサムウェアの感染画面

身代金要求ウィンドウ画面

イメージ 4
ビットコインで300ドル/600ドルの身代金支払いを要求

@WanaDecryptor@.exe

Ooops, your files have been encrypted!
私のコンピュータに何が起こったのですか?
FireflyFramer
重要なファイルは暗号化されています。文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。たぶんあなたはファイルを回復する方法を探していますが、時間を無駄にすることはありません。誰も私たちの解読サービスなしであなたのファイルを回復することはできません。FireflyFramer

ファイルを回復できますか? FireflyFramer
確かに。すべてのファイルを安全かつ簡単に復元できることを保証します。しかし、十分に時間がありません。あなたは無料でいくつかのファイルを解読することができます。 <Decrypt>をクリックして今すぐ試してください。しかし、すべてのファイルを解読したい場合は、支払う必要があります。お支払いを送信するのに3日しかかかりません。その後、価格は倍になります。また、7日間で支払いを行わないと、ファイルを永久に回復することはできません。私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。 FireflyFramer

このウィンドウは英語や日本語ほか欧米やアジアの計28言語の表記に対応してます。<Google翻訳で変換したデータを使ってるみたい

イメージ 5

英語 ブルガリア語 簡体字中国語 繁体字中国語 クロアチア語 チェコ語 デンマーク語 オランダ語 フィリピン語 フィンランド語 フランス語 ドイツ語 ギリシャ語 インドネシア語 イタリア語 日本語 韓国語 ラトビア語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スペイン語 スウェーデン語 トルコ語 ベトナム語 FireflyFramer

ランサムウェア脅迫文ファイル

イメージ 2
デスクトップなどに作成されるテキストファイル (英語)

イメージ 3
Windows デスクトップの壁紙が変更される画像ファイル

@Please_Read_Me@.txt
@WanaDecryptor@.bmp


レジストリ

イメージ 1

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
wd=[ランサムウェアの実行ファイルが置かれたフォルダパス?]

暗号化ファイル

暗号化して破壊したファイルは、オリジナルのファイル名に大文字で拡張子 「〜.WNCRY」 を付け足して変更します。

イメージ 6
画像、文書、アーカイブなどWNCRYファイルに

【暗号化対象の拡張子】
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc FireflyFramer
https://blogs.yahoo.co.jp/fireflyframer/34623621.html

ランサムウェアWannaCryの感染経路と対策

先々月2017年3月14日(米時間)に Windows Update でセキュリティ更新パッチが配信済みの脆弱性を悪用し、遠隔でネットワーク越しにランサムウェアを送り込み強制的に感染させるとか。

イメージ 8
3月に修正されてる脆弱性の放置が拡散の最大原因

WannaCry/WnnaCrypt などの被害を防止するため Windows Update を済まして感染経路をふさぐ無料ウイルス対策を! メールの添付ファイル が感染原因ではないので

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 「Windows SMB のリモートでコードが実行される脆弱性」 マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

○ Windows Vista SP2
○ Windows 7
○ Windows 8.1
○ Windows 10
○ Windows Server
(マイクロソフトのサポート終了で更新パッチが存在しない Windows XP や Windows 8.0 も影響を受ける可能性)

<追記...> マイクロソフトは 「Windows SMB のリモートでコードが実行される脆弱性」 を解決する更新パッチを サポート終了済みの Windows XP、Windows 8.0、Windows Server 2003 向け にも特例で公開しました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/

セキュリティ会社の記事など

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 - トレンドマイクロ
『コードネーム「EternalBlue」と呼ばれる今回の攻撃に使われた脆弱性「CVE-2017-0144」は、「Shadow Brokers」と呼ばれるハッカー集団が今年4月に米国の「National Security Agency(国家安全保障局、NSA)」から窃取したとされるハッキングツールや攻撃コード(エクスプロイトコード)に含まれる』
http://blog.trendmicro.co.jp/archives/14873

ランサムウェア「WannaCry」:あなたは大丈夫? – カスペルスキー
『一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。』
https://blog.kaspersky.co.jp/wannacry-ransomware/

マイクロソフトによると 『WannaCrypt で使われたエクスプロイトコードは、パッチが適用されてない Windows 7 や Windows Server 2008(またはそれ以前のOS)のシステムに対してのみ機能する設計で Windows 10 はこの攻撃の影響を受けない』 としてます。 <ランサムウェアそのものは Windows XP 〜 Windows 10 まで動作可能?

WannaCrypt ransomware worm targets out-of-date systems - Microsoft
https://blogs.technet.microsoft.com/mmpc/2017/05/12/

ランサムウェアの無料ファイル復号ツール を多数提供してるセキュリティ会社 Emsisoft によると現時点では復号ツールを提供できる可能性は低いとしてます。

Global WannaCry ransomware outbreak uses known NSA exploits - Emsisoft
http://blog.emsisoft.com/2017/05/12/

攻撃者は 『私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催』 とナゾの予告をしてるし、世界的な騒ぎで警察機関の捜査が行われるはずで、将来的な無料の復旧手段を期待してWNCRYファイルは残しておいたほうがいいです。

セキュリティソフトの検出名例

ESET Win32/Filecoder.WannaCryptor
Kaspersky Trojan-Ransom.Win32.Wanna
Microsoft Ransom:Win32/WannaCrypt
Symantec Ransom.Wannacry
Trend Micro Ransom_WANA RANSOM_WCRY

今回5月12〜13日のサイバー攻撃で配信されたウイルス検体は主要なセキュリティソフトが対応済みなので、無料ですぐ使えるウイルス駆除ツール Microsoft Safety ScannerKaspersky Virus Removal Tool でのスキャンも可能です。



<5月22日 追記...>

カスペルスキーによると、サイバー攻撃 WannaCry ランサムウェアの感染被害パソコンの 98.35% が Windows 7 環境という…。 <Windows XP はわずか

・ Costin Raiuさんのツイート: "#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant."
https://twitter.com/craiu/status/865562842149392384

メモリ上の秘密鍵を検索して暗号化ファイルを復元する無料復号ツールがリリースされ、トレンドマイクロのツールも同じ手法で対応するも、「ランサムウェアに感染したまま電源を切らず再起動してない」「Windows XP なら他バージョンより成功率がある」 というリアル感染下では厳しい条件となってます。

Wannakey by Adrien Guinet
○ WanaKiwi by Benjamin Delpy
関連するブログ記事

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事