[サイバー攻撃大辞典 トップへ]

WannaCry Ransomware


スポンサー リンク

説明


(注意)本記載は2017年5月半ばの情報です。今後この攻撃の亜流が拡散する可能性もあり、本内容とは異なる攻撃が発生する場合があります。よって本内容はあくまでも参考情報として取り扱いお願いします。

2017年5月半ばに全世界で爆発的に流行したランサムウェア(身代金目的の攻撃)
SMBv1の脆弱性を狙う攻撃。(マイクロソフト セキュリティ情報 MS17-010)
この脆弱性と Dropbox を悪用したランサムウェアとなる。また自ら増殖するため攻撃の拡大の機能もある。

メールに添付された不正な添付ファイルやメール内の不正な URL をクリックすると感染する。今後ドライブバイダウンロード攻撃により不正ファイルをダウンロードしてしまう。今回の場合は mssecsvc.exe など。
これが「Microsoft Security Center (2.0)」というサービスを作成し不正攻撃を開始する。脆弱なSMBサービスを検索し拡散しようとする。

感染したPCはローカルのファイルを暗号化し、さらにネットワーク共有(net useなど)しているフォルダのファイルも暗号化しようとする。暗号化されたファイル名は .WNCRY。
暗号化が終わると身代金(ビットコイン)を要求する画面が表示される。

その後感染活動を行う。
LAN上のIPのポート 445 (SMB)をスキャンする。見つかると脆弱性を狙った攻撃を行う。(対策されている場合は攻撃を受けても感染しない)
インターネット上ではランダムにポート445を狙う。見つかった場合は同じネットワークで 255.255.255.0をスキャンする。

多言語に対応している。

参考:
世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について


対策


・当然だがサポートが終了したOS(Windows XPやVista)は絶対使用しない。結局は高くつく。
・Windows Update を適用し常に最新の状態にする
・アンチウィルスのパターンを最新にする。
・ファイルはバックアップを取得する。別の場所に隔離する。(例えば共有フォルダにバックアップしておくと、同時にそちら側も暗号化されてしまい意味なくなる場合があり。)
SMB無効化。

参考:
SMB1.0を無効化する手順


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917