WannaCryランサムウェアの流行は先週100か国以上に影響を及ぼし、史上最大規模になりました 。 明らかに、ほとんどのホームユーザーがセキュリティ更新プログラムの自動インストールでWindows 7およびWindows 10のバージョンを使用し、3月にマイクロソフトからこの問題の修正を受け取ったという事実によると、ホームユーザーに関する大きな問題の報告はまだありません。
サイバー攻撃の結果、多数の企業や個人ユーザーが被害を受けたという事実にもかかわらず、朗報があります。 Acronis True Image 2017 New Generationの新バージョンでは、ランサムウェアの予防的検出と無力化のテクノロジー-Active Protectionを導入しました。 コンピューターでAcronis Active Protectionを有効にしたすべてのユーザーは、この重大な状況で保護されました。 ちなみに、ビジネスでは、ランサムウェアプログラムに対処するこのような機会は既に存在します。これまでのところ、 Acronis Backup 12 Advanced Betaの予備バージョンでは、すべてのユーザーが利用できます。
バックアップもWannaCryに攻撃されるため、悪意のあるソフトウェアがバックアップエージェントプログラムを破壊したり、クラウドのファイルを含むファイルのコピーを作成したりすることを防ぐActive Protectionテクノロジーを使用して、独自のファイルの信頼できる保護を提供していました。
WannaCryについて知っておくべきこと
WannaCryは、最初のランサムウェアワームの1つです。 この悪意のあるソフトウェアは、ランサムウェアとして機能するだけでなく、最終的にネットワークをスキャンして近隣のコンピューターに感染することにより、ネットワーク上のできるだけ多くのシステムに感染しようとします。 この攻撃は、Microsoftオペレーティングシステムで最近発見された脆弱性をひそかに悪用するため、従来のセキュリティシステムでは検出が非常に困難です。 システムに入ると、WannaCryはすべてのローカルドライブとネットワークフォルダーを暗号化します。 この攻撃は、感染した電子メールの添付ファイルとコンピューターワームのように広がるという2つのソースを介して拡散するため、企業や個人ユーザーにとって非常に危険なコンピューターワームの機能です。
先ほど予測したように 、今日、ローカルファイルのバックアップを攻撃し、Microsoft Windowsに組み込まれたボリュームシャドウコピーサービスの作成されたシャドウコピーを削除する新世代のランサムウェアがあります。
WannaCryは、簡単かつ迅速に解読できない強力な暗号化アルゴリズムを使用しています。
現時点では、攻撃はWindowsを実行しているコンピューターでのみ発生しますが、他のオペレーティングシステムでも同様の脆弱性とその実装のためのプログラムが可能です。 他のオペレーティングシステムやデバイスに対する同じ規模の攻撃は時間の問題であると予想されます。
さまざまな業界の犠牲者は偶然ではありません
サイバー犯罪者は、通信、物流、エネルギー会社、公共交通機関、病院、学校、大学など、ダウンタイムを支払う余裕のない企業から攻撃の犠牲者を選択しました。 攻撃者は、ロシア内務省のユニットでさえ攻撃することを恐れていませんでした! ランサムウェアワーム攻撃の被害者である企業の短いリスト:
- NHS NHSは患者の入院を次のように再スケジュールします 患者を診断できません。 ( 影響を受ける病院のリスト )
- 英国の日産工場
- スペインの通信会社Telefonica
- エネルギー会社Iberdrola and Gas Natural(スペイン)
- 物流会社FedEx (米国)
- ウォータールー大学( アメリカ )
- ロシア内務省およびメガホン
- VTB (ロシア最大の銀行の1つ)
- ロシア鉄道 (ロシア鉄道)
- Portuguese Telecommunications Company ポルトガルテレコム
- ズベルバンクロシア(ロシア最大の銀行)
- インドの航空会社シャヒーン航空
- ドイツ鉄道ドイツ鉄道( @farbenstau )
- 中国の学校および大学(情報源)
- オマーン図書館( @ 99arwan1 )
- 中国ジャーンシュイ省公安局
- フランスのルノー自動車メーカー
- フランスの学校
- ミラノビコッカ大学(イタリア)
- シンガポールのショッピングセンター
- 中国のATM
- サウジアラビアおよび他のいくつかの国の通信会社STCテレコム( ソース )
常に更新される被害者のリストはこちらです。
WannaCryランサムウェアはどのように配布されますか?
WannaCryランサムウェアワームは、悪意のある添付ファイルを含むスパム電子メールを介してプライベートネットワークおよび企業ネットワークに侵入します。スパム電子メールには、最初の感染を開始するマクロまたは悪意のあるプログラムへのリンクが含まれます。 現在、そのような手紙の例はありませんが、マイクロソフトの専門家を含むすべてのアナリストは、これが感染が第一段階で発生した方法であることに同意します。
WannaCryのさらなる活動は、2つの漏洩した暗号要素要素、DOUBLEPULSARバックドアとETERNALBLUEエクスプロイトに依存しています。
ETERNALBLUEを使用すると、DOUBLEPULSARがシステムに導入され、DOUBLEPULSARはカーネルモードドライバーSRV.SYS(SMBファイルサーバー)の脆弱性を使用します。これにより、侵害されたシステムのプロセスに危険なDLLコードを埋め込み、実行できます。
悪意のあるプログラムをインストールした後、ワームプログラムのように動作し始め、ネットワークをスキャンし、ポート445を介して他のコンピューターに接続して動作中のDOUBLEPULSARバックドアを検出し、新しいコンピューターでプロセスを開始する感染ファイルを転送し、森林火災のような感染を広げます。 攻撃されたシステムにDOUBLEPULSARバックドアが含まれていない場合、ワームは最初にETERNALBLUEエクスプロイトを介してインストールし、プロセスが続行されます。
ワーム伝播メカニズムの機能
活動を開始する前に、WannaCryは特別な「スイッチ」ドメインの存在を確認し、それが見つかった場合、プログラムは作業を停止します。 ワームの最初のバージョンは、このような「スイッチ」ドメインをアクティブ化することで正確に停止しました。 「スイッチ」が存在しない場合、ワームはモジュールのロードを開始し、サービスを登録し、ポート445でランダムなIPアドレスをスキャンし、DOUBLEPULSARバックドアの存在を確認し、実装用のパッケージを準備します。
実装用のパッケージを準備するプロセスは、関数として実装されます。これは、以下の擬似コードでinitNetworkInjectingExecutablesを呼び出します。 initNetworkInjectingExecutablesは、ワームからDLLローダーを読み取り、実装パッケージを作成し、ワームを追加して、侵入先のシステムポートに転送します。 このシステムでは、ブートローダーがDOUBLEPULSARバックドアを介して制御を取得し、ワームを起動します。 このプロセスは感染したマシンで再び繰り返され、森林火災をさらに扇動します。
HGLOBAL initNetworkInjectingExecutables() { //... do { v2 = g_exeBody0; if ( v1 ) v2 = g_exeBody1; v3 = *(&g_exeBuffer0 + v1); *(&exeBuffer + v1) = (int)v3; qmemcpy(v3, v2, v1 != 0 ? 51364 : 16480); *(&exeBuffer + v1) += v1 != 0 ? 51364 : 16480; ++v1; } while ( v1 < 2 ); v4 = CreateFileA(g_moduleFileName, 0x80000000, 1u, 0, 3u, 4u, 0); v6 = GetFileSize(v4, 0); v7 = (const void *)exeBuffer; v9 = (void *)(exeBuffer + 4); *(_DWORD *)exeBuffer = v6; ReadFile(v4, v9, v6, &NumberOfBytesRead, 0); CloseHandle(v4); result = (HGLOBAL)1; // return result; }
新しいワームのオプション。
最初の攻撃以降、このワームの2つの新しいバージョンがすでに登場しています。
最初(SHA256:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf)は、ドメイン「スイッチ」と別のバージョンに別の名前を使用しています:ドメイン名「スイッチ」を使用していません(SHA256 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd)が、ファイルが破損している、とだけワームのメカニズムです。 興味深いことに、「スイッチ」ドメインはURL文字列を無効にすることでパッチの形で置き換えられたため、攻撃者はソースコードにアクセスできなかった可能性が高く、これは他の攻撃者がマルウェアを簡単に再利用してマルウェアを再利用しようとしていることを示しています。 恐exは開発者によって単に注文されただけであり、ディストリビューターはプログラミングが得意ではないか、ソースコードがないため、マルウェア開発者に再度連絡することなく、この方法で問題を解決しようとしている可能性もあります。
tasksche.exeのこのサンプルの悪意のある部分はわずかに変更されています。
MSSECSVC.EXE_3ファイルとMSSECSVC.EXE_2ファイルの比較
0032BBF3: AA 27 0032BBF4: 19 68 … 00359FFE: C2 4E 00359FFF: 03 47
これにより、暗号化装置が動作不能になりました。 これが誤って行われたのか、他の目的のために行われたのかは、まだ完全には明らかではありません。
最新のバックアップシステムがない場合、ファイルは失われます。
感染したシステム上の悪意のあるソフトウェアは、利用可能なすべての方法でVSSのすべてのシャドウコピーを削除します。
Vssadmin delete shadows /all /quiet Wmic shadowcopy delete Wbadmin delete catalog –quiet
侵害されたシステムの回復コンソールも無効になります。
Bcdedit /set {default} bootstatuspolicy ignoreallfailures Bcdedit /set {default} recoveryenabled no
WannaCryがファイルを暗号化する方法
ワームの悪意のある部分は、スケジュールに従ってtasksche.exeランサムウェアプログラムを起動し、ブートパッケージから解凍します。 ランサムウェアは、システム上のすべてのディスクとネットワークフォルダーをスキャンし、内部テーブルから拡張子を持つファイルを検索し、2048ビットキーのRSAアルゴリズムでそれらを暗号化します。 Torという名前の新しいフォルダーに、tor.exeと関連ファイルが作成されます。 そこで2つのファイルがコピーされます:taskdl.exeとtaskse.exe。 後者のプログラムは、ワームのトレースを削除してから@ wanadecryptor @ .exeを実行します。 このプログラムは、身代金要求のあるスクリーンセーバーを表示し、 Torネットワークを介して通信します 。
ランサムウェアは、160種類を超える拡張子のファイルを暗号化します。
.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pst、.ost、.msg、.eml、.vsd、.vsdx、.txt、.csv、.rtf、.123、.wks .wk1、.pdf、.dwg、.onetoc2、.snt、.jpeg、.jpg、.docb、.docm、.dot、.dotm、.dotx、.xlsm、.xlsb、.xlw、.xlt 、. xlm、.xlc、.xltx、.xltm、.pptm、.pot、.pps、.ppsm、.ppsx、.ppam、.potx、.potm、.edb、.hwp、.602、.sxi、.sti、 .sldx、.sldm、.sldm、.vdi、.vmdk、.vmx、.gpg、.aes、.arc、.paq、.bz2、.tbk、.bak、.tar、.tgz、.gz、.7z .rar、.zip、.backup、.iso、.vcd、.bmp、.png、.gif、.raw、.cgm、.tif、.tiff、.nef、.psd、.ai、.svg 、. djvu、.m4u、.m3u、.mid、.wma、.flv、.3g2、.mkv、.3gp、.mp4、.mov、.avi、.asf、.mpeg、.vob、.mpg、.wmv、 .fla、.swf、.wav、.mp3、.sh、.class、.jar、.java、.rb、.asp、.php、.jsp、.brd、.sch、.dch、.dip、.pl .vb、.vbs、.ps1、.bat、.cmd、.js、.asm、.h、.pas、.cpp、.c、.cs、.suo、.sln、.ldf、.mdf 、. ibd、.myi、.myd、.frm、.odb、.dbf、.db、.mdb、.accdb、.sql、.sqlitedb、.sqlite3、.asc、.lay6、.lay、.mml、.sxm、 .otg、.odg、.uop、.std、.sxd、.otp、.odp、.wb2、.slk、.dif、.stc、 .sxc、.ots、.ods、.3dm、.max、.3ds、.uot、.stw、.sxw、.ott、.odt、.pem、.p12、.csr、.crt、.key、.pfx .der
システムが保護されていない場合、ユーザーに不快なメッセージが表示されます。
身代金の支払い後にファイルを復号化できるか、安全なバックアップがない場合はデータの損失に耐えることができることを期待できます。
WannaCryおよびその他のランサムウェア攻撃からシステムを保護する方法
まず、今年の3月以降にWindowsコンピューターを更新したすべてのユーザー この脆弱性から保護されています。
- Windows更新プログラムの自動インストールを有効にします。 OSを長期間更新していない場合、または古いバージョンのOSを使用している場合は、できるだけ早くMicrosoftパッチプログラムを確認してください。 廃止されたバージョンのWindows XPおよびWindows Server 2003でもパッチを入手できます。最新の更新プログラムを持たないすべての家庭用およびオフィス用コンピューターが感染する可能性があります。
- コンピューターに最新のマルウェア対策システムをインストールします。 これにより、感染のリスクが大幅に減少し、ランサムウェアが停止する可能性があります。
- Active Protectionテクノロジーを使用したバックアップおよびデータ保護には、Acronis製品を使用することをお勧めします。 ヒューリスティックアルゴリズムと破損したファイルのバックアップからのインスタントリカバリシステムを使用すると、ユーザーデータが保護されます。 スクリーンショットは、Active ProtectionテクノロジーがWannaCryの動作をどのように正常に防止したかを示しています。 ビジネスソリューションでは、Acronis Active Protectionは同じように機能します。
Acronis Active Protection機能が有効になっているAcronis Active ImageのユーザーコンピューターにインストールされているAcronis True Image 2017 New Generationは、WannaCryおよびその他のランサムウェアの動作を検出します。
- 電子メールから疑わしい添付ファイルまたはリンクを開かないことをルールにします。 Webブラウザで疑わしいリンクをクリックしたり 、知らないWebサイトにアクセスしたりしないでください。 常にリンクにカーソルを合わせると、実際のリンクが表示され、フィッシングに陥ることはありません。
- あなたに送信され、あなたのアドレスが「宛先」と「コピー」フィールドにあるメールのみに注意を払ってください。そうでない場合、そのようなメールを開かないでください。
- 名前があなたに似ている場合でも、送信者のメールアドレスがあなたに馴染んでいることを確認してください。 攻撃者は、スプーフィングメカニズムを使用してアドレスをスプーフィングする場合があります。
- システムとすべての重要なファイルを定期的にバックアップしてください。 ご存知のように、WannaCryには300ドルのデータ回復のための身代金が必要です。これは、データを保護できるAcronis True Image 2017 New GenerationやAcronis Backupなどのバックアップソリューションよりもはるかに高価です。 以下のスクリーンショットは、Active Protectionテクノロジーが破損したファイルを自動的に修復する方法を示しています。
破損したすべてのファイルは、サイバー犯罪者に身代金を支払うことなく、Acronis Active Protectionによってほぼ瞬時に復元されます。
あなたが私たちを信じていないなら、ここに人気のあるyoutubeチャンネルの詳細なビデオがあります:
→試用版をダウンロードするか、Acronis True Image 2017 New Generationライセンスをここで購入できます。
→この記事はブログで英語で読むことができます。