[ホーム] >
[サイバー攻撃大辞典 トップ] > [WannaCry Ransomware]
作成日:2020/09/18
(注意)本記載は2017年5月半ばの情報です。今後この攻撃の亜流が拡散する可能性もあり、本内容とは異なる攻撃が発生する場合があります。よって本内容はあくまでも参考情報として取り扱いお願いします。
2017年5月半ばに全世界で爆発的に流行したランサムウェア(身代金目的の攻撃)
SMBv1の脆弱性を狙う攻撃。(マイクロソフト セキュリティ情報 MS17-010)
この脆弱性と Dropbox を悪用したランサムウェアとなる。また自ら増殖するため攻撃の拡大の機能もある。
メールに添付された不正な添付ファイルやメール内の不正な URL をクリックすると感染する。今後ドライブバイダウンロード攻撃により不正ファイルをダウンロードしてしまう。今回の場合は mssecsvc.exe など。
これが「Microsoft Security Center (2.0)」というサービスを作成し不正攻撃を開始する。脆弱なSMBサービスを検索し拡散しようとする。
感染したPCはローカルのファイルを暗号化し、さらにネットワーク共有(net useなど)しているフォルダのファイルも暗号化しようとする。暗号化されたファイル名は .WNCRY。
暗号化が終わると身代金(ビットコイン)を要求する画面が表示される。
その後感染活動を行う。
LAN上のIPのポート 445 (SMB)をスキャンする。見つかると脆弱性を狙った攻撃を行う。(対策されている場合は攻撃を受けても感染しない)
インターネット上ではランダムにポート445を狙う。見つかった場合は同じネットワークで 255.255.255.0をスキャンする。
多言語に対応している。
参考:
世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
[ホーム] >
[サイバー攻撃大辞典 トップ] > [WannaCry Ransomware]