大規模なランサムウェア攻撃、世界中で 126,000 人以上の被害者に

暗い部屋でノートパソコンのキーボードを操作する手のクローズアップ。
ドミトリー・ティシチェンコ/123RF
2017年5月12日金曜日、 サイバーセキュリティ企業アバスト は、99 か国で 75,000 人以上の被害者を出し、土曜日の午後までに 104 か国で 126,000 人以上に被害が増加した大規模なランサムウェア攻撃について報告しました。 標的のほとんどはロシア、ウクライナ、台湾にあったが、他の被害者はヨーロッパでも確認されている。

最も注目すべきは、スペインの電気通信会社テレフォニカが被害者となったことであり、英国全土の病院も同様だった。 ガーディアン紙によると, 英国の攻撃は少なくとも16の国民保健システム(NHS)施設を攻撃し、患者の安全を確保するために使用される情報技術(IT)システムに直接被害を与えた。

おすすめ動画

アバスト

アバスト

WanaCryptOR (WCry) ランサムウェアは、Windows Server メッセージ ブロック プロトコルで特定され、パッチが適用された脆弱性に基づいています。 Microsoft の 2017 年 3 月のパッチ火曜日 セキュリティアップデート、 Kaspersky Labs が報告. WCry の最初のバージョンは 2 月に確認され、それ以来 28 の異なる言語に翻訳されています。

マイクロソフトは反応した この攻撃に対しては、独自の Windows セキュリティ ブログ投稿で、最新のセキュリティ パッチを実行している現在サポートされている Windows PC はマルウェアから安全であるというメッセージを強調しました。 さらに、Windows Defender はリアルタイム保護を提供するためにすでに更新されていました。

「2017 年 5 月 12 日、以前に修正された脆弱性を利用してワームのように拡散する新しいランサムウェアを検出しました」と Microsoft の攻撃概要は始まりました。 「セキュリティ更新プログラムはほとんどのコンピュータに自動的に適用されますが、一部のユーザーや企業ではパッチの展開が遅れる場合があります。 残念ながら、WannaCrypt として知られるこのマルウェアは、これらの脆弱性に対するパッチを適用していないコンピュータに影響を与えているようです。 攻撃が展開されている間、MS17-010 をまだインストールしていない場合はインストールするようユーザーに注意を促します。」

声明はさらに次のように続けた。「マイクロソフトのマルウェア対策テレメトリーは、このキャンペーンの兆候をすぐに検出しました。 当社のエキスパート システムにより、この新たな攻撃が発生した際の可視性とコンテキストが得られ、Windows Defender ウイルス対策がリアルタイムの防御を提供できるようになりました。 自動分析、機械学習、予測モデリングを通じて、このマルウェアから迅速に保護することができました。」

アバストはさらに、根本的なエクスプロイトは、ShadowBrokers と名乗るハッカー グループによって、NSA とのつながりが疑われる Equation Group から盗まれたのではないかと推測しています。 このエクスプロイトは ETERNALBLUE として知られており、Microsoft によって MS17-010 と名付けられています。

マルウェアが攻撃すると、影響を受けるファイルの名前が「.WNCRY」拡張子を含むように変更され、「WANACRY!」が追加されます。 各ファイルの先頭にあるマーカー。 また、身代金メモを被害者のマシン上のテキスト ファイルに保存します。

アバスト

アバスト

次に、ランサムウェアは、ビットコイン通貨で 300 ドルから 600 ドルを要求する身代金メッセージを表示し、支払い方法と暗号化されたファイルの回復方法を指示します。 身代金の指示にある文言は不思議なほどカジュアルで、オンラインで製品を購入するという提案に書かれている文言と似ているように思えます。 実際、ユーザーは身代金が 2 倍になるまでに 3 日間支払う必要があり、ファイルが回復できなくなるまでに 7 日間支払う必要があります。

アバスト

アバスト

興味深いことに、ランサムウェア コードにハードコーディングされた Web ドメインを登録するだけで、「偶然のヒーロー」によって攻撃が遅くなったか、あるいは停止される可能性がありました。 そのドメインがマルウェアからのリクエストに応答すると、新しいシステムへの感染が停止され、サイバー犯罪者が攻撃を遮断するために使用できる一種の「キル スイッチ」として機能します。

として ガーディアン紙が指摘するMalwareTech としてのみ知られる研究者は、10.69 ドルでドメインを登録しましたが、キルスイッチの時点では気づかず、「私は外出していました」と述べました。 友達とランチして15時くらいに帰ってきました。 そして、NHS や英国のさまざまな組織に関するニュース記事が殺到しているのを目にしました。 打つ。 少し調べてみたところ、その背後にあるマルウェアのサンプルが見つかり、登録されていない特定のドメインに接続していることがわかりました。 それで、当時はそれが何をするのかも知らずにそれを手に取りました。」

MalwareTech はボットネットを追跡する同社の代理としてドメインを登録しており、当初は攻撃を開始したとして非難されていました。 「当初、誰かがドメインを登録することで感染を引き起こしたという間違った報告をしていたので、私は 実際は逆であることに気づき、私たちがそれを止めたまでは、小さな異常事態でした」とマルウェアテックは語った。 守護者。

ただし、攻撃者がコードを変更してキル スイッチを省略できる可能性があるため、これで攻撃が終了するわけではありません。 唯一の本当の解決策は、マシンにパッチが完全に適用され、適切なマルウェア対策ソフトウェアが実行されていることを確認することです。 この特定の攻撃のターゲットは Windows マシンですが、 MacOS 自体の脆弱性が明らかになった したがって、Apple の OS のユーザーも必ず適切な手順を実行する必要があります。

より明るいニュースとしては、一部のマシン上でランサムウェアが使用する暗号化キーを特定できる新しいツールが存在し、ユーザーがデータを回復できるようになったようです。 Wanakiwi と呼ばれる新しいツールは、別のツールに似ています。 ワナキーただし、よりシンプルなインターフェイスを提供し、より多くのバージョンの Windows を実行しているマシンを修正できる可能性があります。 として アルステクニカが報じた, Wanakiwi は、暗号化キーの作成に使用された素数を復元するためにいくつかのトリックを使用します。基本的には、これらの数値を ラム 感染したマシンの電源が入ったままで、データがまだ上書きされていない場合。 Wanawiki は、WannaCry やその他のさまざまなアプリケーションで暗号化キーを作成するために使用されていた Microsoft 暗号化アプリケーション プログラミング インターフェイスのいくつかの「欠点」を利用します。

Wanakiwi の開発に協力した Benjamin Delpy 氏によると、このツールは暗号化されたハードドライブを備えた多数のマシンに対してテストされ、そのうちのいくつかの暗号化を解除することに成功しました。 テストされたバージョンには Windows Server 2003 と Windows 7 が含まれており、Delpy は Wanakiwi が他のバージョンでも同様に動作すると想定しています。 Delpy 氏が述べているように、ユーザーは「Wanakiwi をダウンロードするだけで、キーを再構築できれば、キーを抽出して再構築し (適切なもの)、ディスク上のすべてのファイルの復号化を開始できます。」 おまけに、私が入手したキーはマルウェア復号化ツールで使用でき、お金を支払った場合と同じようにファイルを復号化できます。」

欠点は、感染した PC が再起動されている場合、または素数を保持するメモリ領域がすでに上書きされている場合、Wanakiwi も Wannakey も機能しないことです。 したがって、これは間違いなくダウンロードして準備しておくべきツールです。 さらに安心感を与えるために、セキュリティ会社の Comae Technologies が Wanakiwi の開発とテストを支援し、その有効性を検証できることに留意する必要があります。

あなたはできる ここからワナキウィをダウンロード. アプリケーションを解凍して実行するだけです。Windows 10 はアプリケーションが不明なプログラムであることを通知し、実行を許可するには「詳細」をクリックする必要があることに注意してください。

マーク・コポック/デジタルトレンド

マーク・コポック/デジタルトレンド

ランサムウェアは、ロックを解除するためのキーと引き換えに攻撃者にお金を支払わない限り、私たちの情報を攻撃し、強力な暗号化の背後に閉じ込めるという点で、最悪の種類のマルウェアの 1 つです。 ランサムウェアには、PC を顔の見えないボットに変えるランダムなマルウェア攻撃とは異なる、個人的な特徴があります。

WCry から保護する唯一の最善の方法は、Windows PC に最新のアップデートが完全に適用されていることを確認することです。 Microsoft の Patch Tuesday スケジュールに従い、少なくとも Windows Defender を実行している場合、マシンはすでに次の状態になっているはずです。 保護されていますが、そのような攻撃からアクセスできない最も重要なファイルのオフライン バックアップを作成することは重要なステップです。 取る。 今後、この特定の広範な攻撃による被害を受け続けるのは、まだパッチが適用されていない数千台のマシンです。

2017 年 5 月 19 日に Mark Coppock によって更新: Wanakiwi ツールに関する情報を追加しました。

編集者のおすすめ

  • ランサムウェア攻撃が急増しています。 安全を保つ方法は次のとおりです
  • ハッカーは以前の被害者を攻撃するランサムウェアで得点を狙っている