営業担当者へ連絡
ホーム   /  ランサムウェア  / WannaCry ランサムウェアがパッチ適用済みの Windows エクスプロイトを悪用して世界中で大混乱を引き起こしています。
WannaCry ランサムウェアがパッチ適用済みの Windows エクスプロイトを悪用して世界中で大混乱を引き起こしています。

WannaCry ランサムウェアがパッチ適用済みの Windows エクスプロイトを悪用して世界中で大混乱を引き起こしています。

著者 ラジブ・シンハ
ラジブ・シンハ
ランサムウェア

近年、ランサムウェアが大きな混乱を引き起こしています。

最近流出したNSAのEternalBlueエクスプロイトのダンプは、サイバー犯罪者によってWannaCryランサムウェアの世界的な拡散に利用されています。MS-17-010 Windows OS脆弱性のダンプは、悪名高いShadow Brokerグループによって14年2017月2017日に公開されました。この脆弱性は、Microsoft Windowsのデスクトップ版およびサーバー版のほとんどに影響を与えており、MicrosoftはXNUMX年XNUMX月に修正パッチをリリースしています。しかし、この修正パッチを適用していないシステムは、ワームのような動作でネットワーク上の脆弱なシステムに影響を及ぼすWannaCryランサムウェアの影響を受けます。

世界中で大混乱を引き起こすWannaCry

このランサムウェアは既に、スペイン、英国、中国、そしてインドを含む他の国々の著名な組織に影響を与えています。これらの組織には、英国の診療所や病院、通信、ガス、電力、その他の公共事業体が含まれます。中国の多くの大学も標的となっています。

Quick Heal Security Labsでは、これまでに3000件以上のWannaCryランサムウェア攻撃が検出されており、そのうち約2450件はインドで発生しています。Quick HealとSeqriteは、これらの攻撃を侵害とデータ暗号化から防御することに成功しています。

WannaCry ランサムウェアはどのように機能しますか?

攻撃は、システムがSMBサービスを使用してネットワークに接続した際に実行されます。これらのサービスは「EternalBlue」エクスプロイトによって攻撃され、WannaCryランサムウェアが埋め込まれます。実行に成功すると、ファイルが暗号化されます。ファイルが暗号化されると、すべての暗号化ファイルに「.WNCRY」拡張子が付加されます。

WannaCryランサムウェア暗号化ファイル

画像1: WannaCryランサムウェアによって暗号化されたファイル

攻撃に成功すると、以下のファイルがシステムに追加されます。

  • C:\ProgramData\ \@WanaDecryptor@.exe
  • C:\ProgramData\ \tasksche.exe
  • C:\ProgramData\ \taskdl.exe
  • C:\ProgramData\ \taskse.exe

WannaCry は、システムに永続性を持たせるために以下の悪意のあるレジストリ エントリを追加し、システムが再起動するたびに感染を開始できるようにします。

  • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
  • “xwjfzbtm432″=”\”C:\\ProgramData\\ \\tasksche.exe\””

暗号化に成功すると、ファイルの復元手順を示す警告メッセージが表示されます。カウントダウンタイマーは、被害者にパニックを起こさせ、要求された身代金を支払わせるためのものです。支払わなければ、暗号化されたデータがすべて削除されると脅迫します。WannaCryは、現在の地域の言語でランサムウェアの警告メッセージを表示します。

wannacry ランサムウェアの警告メッセージ

 

画像2: WannaCryランサムウェアの警告メッセージ

Seqrite Endpoint Security はどのようにして WannaCry ランサムウェアから保護しますか?

Seqriteウイルス対策 「TrojanRansom.Wanna」としてファイル暗号化の原因となる悪意のあるファイルを検出し、削除します。

seqriteウイルス対策警告メッセージ

 

画像3: Seqriteウイルス対策警告メッセージ

Seqrite 高度な行動検知システム このランサムウェアの活動は、その動作に基づいてプロアクティブに検出されます。この場合、ユーザーは暗号化アクティビティを停止するために「ブロック」ボタンをクリックする必要があります。

seqrite の高度な動作ベースの検出プロンプト

 

画像4: Seqriteの高度な行動ベースの検出プロンプト

Seqrite ランサムウェア対策 この技術は、WannaCry ランサムウェアのファイル暗号化アクティビティも検出します。

seqrite-anti-ransomware-detects-encryption-activity

 

画像5: Seqriteアンチランサムウェアが暗号化アクティビティを検出

ランサムウェア攻撃を減らすための推奨事項:

Quick Heal Security Labs は、WannaCry ランサムウェアによる感染リスクを軽減するために、以下の対策を講じることを強く推奨します。

  • このランサムウェアが利用する脆弱性に対するパッチを適用する マイクロソフトから
  • 重要なデータを定期的にバックアップし、バックアップの復元プロセスを定期的にチェックして、ファイルが適切に復元されていることを確認してください。
  • ネットワークのすべてのノードでセキュリティ ソリューションが有効になっていることを確認します。
  • インストールされているセキュリティ ソフトウェアを常に最新の署名更新で最新の状態に保ってください。
  • インストールされているセキュリティ ソフトウェアを使用してシステム全体のスキャンを実行します。
  • 不明なソースや疑わしいソースからの電子メール内のリンクをクリックしたり、添付ファイルを開いたりしないでください。

了承:
主題専門家 –
プラシル・ムーンとディパリ・ズーレ
クイックヒールセキュリティラボ

ラジブ・シンハ

ラジブ・シンハについて

ラジブはITセキュリティニュースマニアであり、Quick Healのコンピュータセキュリティブログライターです。サイバーセキュリティの意識向上、コンテンツ、デジタル化の推進に情熱を注いでいます。

Rajib Singhaによる記事 »

関連記事