旧バージョンの Windows の脆弱性(MS17-010)を悪用した、「WannaCry ( WCry )」と呼ばれるランサムウェアが世界で猛威をふるっています。「WannaCry」は、WCry、WannaCrypt、WannaCryptor、WanaCrypt0r、Decrypt0r とも呼ばれ、2017年2月初旬に発見され、3月に続き、今ではスペインの大手通信会社(Telefonica)や英国の医療機関(National Health Service)が機能を停止するなど、欧州を中心に大きな被害が出ています。すでに全世界で 200,000 件以上の感染が記録されています。
WannaCry は、C ++ で記述されており、ほとんどのランサムウェアと同じように、暗号化後、ファイル名の末尾に「.WCRY」という拡張子が追加され、ファイル名が変更されます。
システムが感染すると、システム上の全データが暗号化され、身代金として300ドルをビットコインで支払うよう要求するメッセージが表示されます。以下の脅迫メッセージには、3日後には要求金額が2倍に、7日過ぎても支払われない場合は、暗号化されたファイルが削除されると書かれています。
この脅迫メッセージは、20言語以上にローカライズされているとのこと。特定の領域を標的とする通常のランサムウェア攻撃とは異なり、WannaCry は世界中のシステムを標的とする無差別攻撃と考えられます。
ブルガリア語、中国語(簡体字)、中国語(繁体字)、クロアチア語、チェコ語、デンマーク語、オランダ語、イングレス、フィリピン、フィンランド語、フランス語、ドイツ語、ギリシャ語、インドネシア語、イタリア語、日本語、韓国語、ラトビア語、ノルウェー語、ポーランド語、ポルトガル語、ルーマニア語、ロシア語、スロバキア語、スペイン語、スウェーデン語、トルコ語、ベトナム語
WannaCry ( WCry ) ランサムウェアの感染経路
「WannaCry」ランサムウェアは、当初「Shadow Brokers」集団により流出された NSA(米国家安全保障局)のハッキングツールを介して拡散されていると考えられていましたが、フランスの研究者、Kaffine、により、WannaCry は ETERNALBLUE を介して拡散されることが判明しました。
ETERNALBLUEは、Microsoft SMBv1 プロトコルの脆弱性を悪用することで、攻撃者は次の条件下のシステムを制御できるようになります。
- SMBv1プロトコルが有効化されている
- インターネット接続されている
- 2017年3月にリリースされた MS17-010 修正プログラムを未適用
WannaCry 鍵の生成と暗号化
WannaCry ランサムウェアは、RSA および AES-128-CBC を組み合わせて被害者のデータを暗号化します。Windows CryptoAPI 用の RSA を使用していますが、AES 暗号化のためにカスタマイズされて実装されています。
興味深いことは、暗号化のルーチンが、t.wnry ファイル内の別のコンポーネントに格納され、それ自体はランサムウェアがユーザーのファイルを暗号化するのと同じ方法で暗号化されています。これはおそらく、マルウェアの解析をより困難にするためと思われます。モジュールは、カスタムローダーを使用してメモリにロードされ、そこから実行されるため復号化は不可能です。
WannaCry がシステムに到達すると、最初に「t.wnry」の中に格納されているファイルの暗号化コンポーネントを復号化するためにハードコードされた RSA 秘密鍵をインポートします。復号化後、ランサムウェアは、新しい RSA 秘密鍵を生成します。 RSA キーはマルウェアのコマンドおよびコントロールサーバーに送信され、生成された公開鍵のコピーがシステム上に格納されます。
その後、ランサムウェアは、すべての使用可能なドライブおよびネットワーク上にある、以下のいずれかの拡張子を持つファイルを検索します。
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h
WannaCry ランサムウェア 対策
Emsisoft Anti-Malware をご利用のユーザー様はご安心ください! Emsisoft Anti-Malware は、現在、全世界を感染させている「WannaCry」を含め、その他のランサムウェア攻撃に対するベストプロテクションです。
Emsisoft Anti-Malware 搭載の「ビヘイビアブロッカー」技術によって、WannaCry ランサムウェアの攻撃が実行される前に効果的にブロックしたことを確認されています。
WannaCry ランサムウェア攻撃を効果的に防御するには、下記の点を実行していただくようにお願いします。下記3点を行っていただくことで、ランサムウェアの感染を防ぐことが可能となります。
- Emsisoft Anti-Malware の最新アップデート(ウイルス定義ファイル)を使用していること
- Emsisoft Anti-Malware の3つのリアルタイム保護(ビヘイビアブロッカー、ファイルガード、サーフプロテクション)がすべて有効化されていること
- 最新の Windows 更新プログラムを使用していること
WannaCry は、SMBv1 を介して拡散されるため、最新の Windows 更新プログラム をインストールすることがお使いのシステムを保護する上で非常に重要なステップとなります。
また、WannaCry ランサムウェアによる暗号化されたデータは復号化が不可であるため、「バックアップ」も有効な対策の一つです。暗号化されたデータを元に戻す方法は、ランサムウェアの攻撃者の助けを借りるか、またはバックアップからデータを復元するかのどちらかになります。
今すぐ無料版を使ってランサムウェア対策!
Emsisoft Anti-Malware Free をインストール後、30日間無料で Emsisoft Anti-Malware 12 のリアルタイム保護機能を常駐してお試しいただけます。30日間の無料体験期間後は、Free 版モードとして継続してご利用いただけます。
Free 版モードでは、手動によるマルウェアのスキャンと除去が可能ですが、リアルタイム保護機能を常駐してご利用いただけませんのでご注意ください。リアルタイム保護機能が常駐されていない場合は、ランサムウェア攻撃を含む、最新のマルウェアを防御することは不可能です。リアルタイム保護機能を常駐してご利用いただくには、ライセンスをご購入ください。
Emsisoft Anti-Malware Free (30日間無料体験期間搭載) をダウンロード!
侵害のインジケーター
WannaCry に感染したシステム上で、ランサムウェアにより実行された変更の例は以下の通りです。
レジストリ:
- HKLM\SOFTWARE\WanaCrypt0r
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “”\tasksche.exe””
- HKLM\SOFTWARE\WanaCrypt0r\wd: “”
- HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
- HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
ファイルシステム:
- @Please_Read_Me@.txt
- @WanaDecryptor@.exe.lnk
- %DESKTOP%\@WanaDecryptor@.bmp
- %DESKTOP%\@WanaDecryptor@.exe
- %APPDATA%\tor\cached-certs
- %APPDATA%\tor\cached-microdesc-consensus
- %APPDATA%\tor\cached-microdescs.new
- %APPDATA%\tor\lock
- %APPDATA%\tor\state
- \00000000.eky
- \00000000.pky
- \00000000.res
- \@WanaDecryptor@.bmp
- \@WanaDecryptor@.exe
- \b.wnry
- \c.wnry
- \f.wnry
- \msg\m_bulgarian.wnry
- \msg\m_chinese (simplified).wnry
- \msg\m_chinese (traditional).wnry
- \msg\m_croatian.wnry
- \msg\m_czech.wnry
- \msg\m_danish.wnry
- \msg\m_dutch.wnry
- \msg\m_english.wnry
- \msg\m_filipino.wnry
- \msg\m_finnish.wnry
- \msg\m_french.wnry
- \msg\m_german.wnry
- \msg\m_greek.wnry
- \msg\m_indonesian.wnry
- \msg\m_italian.wnry
- \msg\m_japanese.wnry
- \msg\m_korean.wnry
- \msg\m_latvian.wnry
- \msg\m_norwegian.wnry
- \msg\m_polish.wnry
- \msg\m_portuguese.wnry
- \msg\m_romanian.wnry
- \msg\m_russian.wnry
- \msg\m_slovak.wnry
- \msg\m_spanish.wnry
- \msg\m_swedish.wnry
- \msg\m_turkish.wnry
- \msg\m_vietnamese.wnry
- \r.wnry
- \s.wnry
- \t.wnry
- \TaskData\Tor\libeay32.dll
- \TaskData\Tor\libevent-2-0-5.dll
- \TaskData\Tor\libevent_core-2-0-5.dll
- \TaskData\Tor\libevent_extra-2-0-5.dll
- \TaskData\Tor\libgcc_s_sjlj-1.dll
- \TaskData\Tor\libssp-0.dll
- \TaskData\Tor\ssleay32.dll
- \TaskData\Tor\taskhsvc.exe
- \TaskData\Tor\tor.exe
- \TaskData\Tor\zlib1.dll
- \taskdl.exe
- \taskse.exe
- \u.wnry
- C:\@WanaDecryptor@.exe
