コンテンツ
- NotPetya ランサムウェアとは何ですか?
- あなたは誰から自分を守りますか?
NotPetya ランサムウェアとは何ですか?
NotPetya (または ペットラップ) は古いバージョンに基づいています Petya ランサムウェア、これは元々、ビットコイン支払いのためにファイルとデバイスを順番に人質に取るように設計されました。 しかし、にもかかわらず、 NotPetya による資金集めの試み 急速に世界的な攻撃を行っている同社は、厳密には金儲けを目的としているわけではないようだ。 その代わりに、NotPetya はマシンのファイルシステムを暗号化して企業に損害を与えています。 ランサムウェアの側面は明らかに単なる隠れ蓑です。
おすすめ動画
NotPetya を危険にしているのは、ランサムウェア ベースの背後に、と呼ばれるエクスプロイトがあることです。 エターナルブルー、 米国国家安全保障局 (別名 NSA) によって設計されたと言われています。 これは、と呼ばれる特定の脆弱なネットワーク プロトコルをターゲットとしています。 サーバーメッセージブロック (バージョン 1) ネットワークに接続された Windows ベースの PC 間でプリンター、ファイル、シリアル ポートを共有するために使用されます。 したがって、この脆弱性により、リモート攻撃者がターゲット上で悪意のあるコードを送信して実行することが可能になります。 コンピューター。 ハッカーグループ「Shadow Brokers」 2017 年 4 月に EternalBlue が流出.
NotPetya ランサムウェアには「ワーム」コンポーネントも含まれています。 通常、被害者は、電子メールに添付された正規のファイルを装ったマルウェアをダウンロードして実行することで、ランサムウェアの餌食になります。 次に、マルウェアは特定のファイルを暗号化し、画面にポップアップ ウィンドウを表示し、それらのファイルのロックを解除するためにビットコインでの支払いを要求します。
しかし、2016 年初頭に出現した Petya ランサムウェアは、PC のハードウェア全体を暗号化することで、その攻撃をさらに一歩進めました。 マスター ブート レコードに感染し、Windows のブートを開始するプログラムを上書きすることにより、ドライブまたはソリッド ステート ドライブを破壊します。 順序。 これにより、データを追跡するために使用されるテーブルが暗号化されました。 全て ローカル ファイル (NTFS) が原因で、Windows がローカルに保存されているものを見つけることができなくなります。
Petya はディスク全体を暗号化できるにもかかわらず、感染できる対象の PC は 1 台だけでした。 ただし、次のように、 最近のWannaCryの流行、ランサムウェアは、ユーザーの介入なしにローカル ネットワーク上の PC から PC に移動する機能を備えています。 新しい NotPetya ランサムウェアは、元の Petya バージョンとは異なり、同じ横方向のネットワーク侵入が可能です。
Microsoft によると、NotPetya の攻撃ベクトルの 1 つは、認証情報を盗んだり、アクティブなセッションを再利用したりする機能です。
「ユーザーはローカル管理者権限を持つアカウントを使用して頻繁にログインし、アクティブなセッションが複数の場所で開かれているためです。 複数のマシンがある場合、認証情報が盗まれると、ユーザーが他のマシンで持つのと同じレベルのアクセスが提供される可能性があります。 機械」 会社が報告する. 「ランサムウェアが有効な認証情報を取得すると、ローカル ネットワークをスキャンして有効な接続を確立します。」
NotPetya ランサムウェアは、ファイル共有を使用してローカル ネットワーク全体で増殖し、EternalBlue の脆弱性に対するパッチが適用されていないマシンに感染することもあります。 マイクロソフトも言及 永遠のロマンス、NSA によって考案されたとされるサーバー メッセージ ブロック プロトコルに対して使用される別のエクスプロイト。
「これは、2 つのマルウェア コンポーネントが結合して、より有害で回復力のあるマルウェアを生成する好例です。」 Ivanti 最高情報セキュリティ責任者 Phil Richards.
NotPetya の迅速かつ広範な攻撃に加えて、支払いという別の問題が存在します。 このランサムウェアは、特定のビットコイン アドレス、ビットコイン ウォレット ID、個人のインストール番号を使用して、被害者にビットコインで 300 ドルを支払うよう要求するポップアップ ウィンドウを表示します。 被害者は、指定された電子メール アドレスにこの情報を送信し、応答してロック解除キーが返されます。 この電子メール アドレスは、ドイツの親電子メール プロバイダー Posteo がその悪意を発見すると、すぐに閉鎖されました。
「ランサムウェア脅迫者が現在、連絡手段として Posteo アドレスを使用していることがわかりました。 私たちの不正行為対策チームがこれをすぐに確認し、すぐにアカウントをブロックしました。」 会社は言った. 「私たちはプラットフォームの悪用を容認しません。そのような場合、悪用された電子メールアカウントをただちにブロックすることがプロバイダーにとって必要なアプローチです。」
つまり、たとえ支払いがマルウェアの目的だったとしても、支払いを試みても成功することはありません。
最後に、Microsoft は、この攻撃の発信元が MEDoc 税務会計ソフトウェアの開発元であるウクライナの企業 M.E.Doc であることを示唆しています。 Microsoft は非難しているようには見えませんが、代わりに、「いくつかのアクティブな感染が発生している」という証拠があると述べました。 ランサムウェアは当初、正規の MEDoc アップデーター プロセスから始まりました。」 Microsoft によれば、この種の感染は増加傾向にあります 傾向。
どのシステムが危険にさらされているのでしょうか?
今のところ、NotPetya ランサムウェアは組織内の Windows ベースの PC への攻撃に焦点を当てているようです。 たとえば、チェルノブイリ原子力発電所にある放射線監視システム全体は、 攻撃でオフラインになった. ここアメリカでも攻撃が ヘリテージバレーの医療システム全体に打撃を与える、ペンシルベニア州のビーバー病院とシーウィックリー病院を含む、ネットワークに依存するすべての施設に影響を与えます。 ウクライナのキエフ・ボルィースピリ空港 フライトスケジュールに影響を受けた 遅延が発生し、攻撃によりウェブサイトがオフラインになった。
残念ながら、NotPetya ランサムウェアがターゲットとしている Windows の正確なバージョンを示す情報はありません。 Microsoft のセキュリティ レポートには、特定の Windows リリースがリストされていませんが、安全のため、お客様は次のことを想定する必要があります。 Windows XP から Windows 10 までの Windows のすべての商用およびメインストリーム リリースが攻撃の対象となる 窓。 結局のところ、それでも Windows XP がインストールされている WannaCry ターゲット マシン.
あなたは誰から自分を守りますか?
Microsoft は、この最新のマルウェアの発生で使用される EternalBlue および EternalRomance エクスプロイトをブロックするアップデートをすでに発行しています。 Microsoft は、2017 年 3 月 14 日に、 セキュリティ更新プログラム MS17-010. これは 3 か月以上前のことです。つまり、このエクスプロイトを通じて NotPetya に攻撃された企業はまだアップデートを行っていないことになります。 彼らのPC。 Microsoft は、セキュリティ更新プログラム MS17-010 をまだインストールしていない場合は、すぐにインストールすることを顧客に推奨しています。 すでに。
セキュリティ アップデートのインストールは、PC を保護する最も効果的な方法です
まだセキュリティ更新プログラムを適用できない組織の場合、NotPetya ランサムウェアの拡散を防ぐ 2 つの方法があります。 Server Message Block バージョン 1 を完全に無効にする、および/またはポート 445 で受信するサーバー メッセージ ブロック トラフィックをブロックするルールをルーターまたはファイアウォールに作成します。
他にもう 1 つあります 感染を防ぐ簡単な方法. 開始方法 ファイルエクスプローラーを開く Windows ディレクトリ フォルダー (通常は「C:\Windows」) をロードします。 そこで作成する必要があります 「perfc」という名前のファイル(はい、拡張子なし)を作成し、そのアクセス許可を(一般/属性経由で)「読み取り専用」に設定します。
もちろん、Windows ディレクトリに新しいファイルを作成する実際のオプションはなく、[新しいフォルダー] オプションがあるだけです。 このファイルを作成する最良の方法は、メモ帳を開いて Windows フォルダーに空の「perfc.txt」ファイルを保存することです。 その後、名前の拡張子「.txt」を削除し、Windows のポップアップ警告を受け入れ、ファイルを右クリックしてアクセス許可を「読み取り専用」に変更します。
したがって、NotPetya が PC に感染すると、Windows フォルダーをスキャンしてその特定のファイル (実際には独自のファイル名の 1 つ) を探します。 perfc ファイルがすでに存在する場合、NotPetya はシステムがすでに感染していると判断し、休止状態になります。 しかし、この秘密が公開されたことで、ハッカーは振り出しに戻り、別のファイルに依存するように NotPetya ランサムウェアを修正する可能性があります。
編集者のおすすめ
- このゲームではハッカーがあなたの PC を攻撃できますが、プレイする必要さえありません
- Slack のヒントとコツを活用して生産性を最大限に高めましょう
