1週間ほど前に、さまざまなネットワーク上のコンピューターを攻撃する新しいウイルスに関する記事がネットワーク上に表示され始めました。 Geektimesで、WannaCry / Wcry / WannaCryptに関する記事が5月12日に掲載されました。 それ以降、攻撃は一時停止されていますが、状況は完全には制御されていません。 マルウェアのリスクを減らすために、Microsoftは、WCryによって悪用された脆弱性を修正するパッチをオンラインでリリースしました。 Windows 8.1以前では、SMBv1サポートを無効にすることで問題を解決できます。
OSの新しいバージョンは十分に保護されていません。 このすべてが、予想外のWannaCry攻撃が約150か国で200,000台を超えるパーソナルコンピューターを攻撃したという事実につながりました。 残念ながら、何が起こっているのかについての全体像はまだ不明であり、専門家は攻撃のすべての詳細を見つけることに取り組んでいます。 いくつかの興味深い詳細がすでに公開されています。 たとえば、Kaspersky Labは、感染したコンピューターの97%以上がWindows 7で実行されていることを発見しました。WindowsXPを実行している感染したPCやラップトップについてはほとんど聞いていません。 上記のデータは、Kaspersky Labのグローバル調査分析チーム長Kostin Raiuによって提供されました。
公平に言うと、Kaspersky Labは、Kaspersky Anti-VirusがインストールされたPCでのみ感染を監視できることに注意してください。 したがって、Windows 7に感染したPCの97%は、Kaspersky Anti-Virusを搭載したマシンの統計であり、ネットワークに接続されているすべてのPCの統計ではありません。 それでも、Windows 7に対するバイアスは非常に強いため、Windows 7が他のバージョンのMicrosoft OSよりもWannaCryに対して脆弱であることは疑いようがありません。
さらに、以前の一部の専門家は、Microsoftのオペレーティングシステムのより新しい 、したがってより安全なバージョンのためにWindows XPを離れることを拒否したユーザーのために、ウイルスが非常に急速に広がると述べました。 上記で引用したニューヨークタイムズの記事の著者は、そのような仮定をする最初の人の一人です。 彼の意見では、Windows XPを使用してコンピューターのOSを更新したくないユーザーは、マルウェアの拡散に大きく貢献しました。
結局のところ、Windows XPを実行しているシステムは、ランサムウェアがOSに侵入する前にマルウェアの「クラッシュ」に感染しようとしました。 しかし、Windows 7は問題なくマルウェアに感染しています。 私たちが主に話しているのは、3月にマイクロソフトがリリースしたパッチを持たないWindows 7を搭載したコンピューターです。
ラボの代表者によると、Windowsを実行しているエンタープライズPCの大部分にインストールされているのはこのバージョンのOSであるため、ウイルスはWindows 7 x64 Editionに最もよく感染します。
さらに、フィッシングメール攻撃がウイルスの拡散に大きな役割を果たしたことが以前に報告されました。 実際、これはそうではありません。 はい、もちろん、感染の割合の一部は、メーラーで開いているアプリケーションに注意を払っていない不注意なユーザーに関連しています。 実際、このマルウェアはユーザーのコンピューターをサーバーメッセージブロックポートが開いているコンピューターに侵入させます。 このため、マルウェアは「Eternal Blue」と呼ばれるSMBエクスプロイトのバージョンを使用します。 NDAの専門家によって開発され、Shadow Brokersによって公開されました。
スクリーンショットは、未登録のドメインにHTTPリクエストを行うための指示があるウイルスコードのセクションを示しています。 リクエストが成功した場合、ウイルスは動作を停止します
マルウェアを開発した攻撃者は、攻撃の規模と有効性を高めることにしました。 これを行うには、強力なMiraiボットネットを使用して、現在WCryの広がりを抑えている2台のサーバーを攻撃します。 ウイルスがアクセスするドメインが登録されているサーバーについて話しています 。 ウイルスの開発者は現在、これらのサーバーを無効にして、ウイルスが世界中に拡散し続けるようにしています。
判明したとおり、ウイルスが被害者のコンピューターにダウンロードされるときにアクセスするドメインを登録すると、WannaCryの配布が停止します。このマルウェアはスリープモードになります。 専門家は、ウイルスを中和するこの方法を「スイッチ」と呼びました。 しかし、残念ながら、攻撃者は作業を継続し、ウイルスの新しいバージョンをリリースしています。 そのため、「スイッチ」のない最初のバージョンの「子孫」がすでに存在し、その役割は存在しないドメインへのアクセスでした。 したがって、変更されたWCryは、干渉なしで広がり続けますが、この攻撃のパワーは前のものよりはるかに低くなります。
MalwareTechは、ウイルスに関連付けられたドメインを登録し、主な攻撃を阻止した情報専門家であり、主な危険は過ぎ去ったと考えています。 彼は、現在、上記のドメインなしで拡散できるウイルスのいくつかのバージョンがあると主張しています。 おそらくこれは本当にそうです、見つけるために、あなたは1〜2週間待たなければなりません。