ランサムウェア対策は宣伝だらけ? 感染経路2つと被害防ぐポイント3つ♪
CryptoWallウイルスの身代金支払いページ
文書、画像、動画、音楽、圧縮アーカイブといった 拡張子 を持つファイルを破壊されて開けない症状が目の前で起こります。
その暗号化したファイルを復元・復号して元に戻すために、高額の身代金を支払うよう要求しててくるコンピュータウイルスの脅威が ランサムウェア です。
ランサムウェアの具体例として、地球上の例外なき Windows XP/Vista/7/8/10パソコン を使う全ユーザーさんがランサムウェアの感染ターゲットです。
- CryptoWall
- Locky
- Spora Ransomware
- Cerber Ransomware / CRBR Encryptor
- TeslaCrypt
- GlobeImposter
- Mole Ransomware
- Sage
- GandCrab
■ CryptoWallランサムウェアの動向
先月2015年5月30日あたりから、日本で CryptoWall の大きな流行の動きを確認したけど、休みなくランサムウェア感染攻撃は今なお継続中のようで。
今週23日には、FBI が管理する機関インターネット犯罪苦情センター IC3 から名指しして警告情報も発表されてます。
『犯罪者はCryptoWallランサムウェアを使って被害者
からお金を揺すって騙し取ることを継続している』
・ Criminals Continue to Defraud and Extort Funds from Victims Using CryptoWall Ransomware Schemes - Internet Crime Complaint Center (IC3)
http://www.ic3.gov/media/2015/150623.aspx
http://www.ic3.gov/media/2015/150623.aspx
ランサムウェア感染経路と感染防止対策
Windowsパソコンを狙った ランサムウェアの感染経路 は?
大きく2大ルートがあり、それぞれのランサムウェア攻撃手口に沿った 無料ランサムウェア対策 を実施しておくことが重要ですす。
ここ最近、ランサムウェア対策や感染経路について検索すると、PC にランサムウェアが侵入されるのを前提とした、バックアップ製品を宣伝する薄い広告ページがけっこうヒットします?
この記事では、特段お金をかけることなくランサムウェア感染経路で侵入される前の段階で、ランサムウェアの防ぐ無料ウイルス対策を紹介します。
【1】 ランサムウェア感染経路 - 迷惑メールで感染
何てことない ウイルスメール がランサムウェアの感染経路です。
たとえば、メールのテーマとして 「金銭の支払い請求書」「荷物の配達通知」「FAXの受信データ」 と装うことで、必ず騙されるユーザーさんが出現します。
これは人間の ”うっかり” によるヒューマンエラー(人為的ミス)が最大の原因になるので、誰でも思いつくウイルス対策 『怪しいメールを開くな!』 的な精神論では、ハッキリ言って太刀打ちできません。
■ 感染経路に沿ったランサムウェア対策
そこで、メールで投入される機会の多い 不正なファイルを無害化 しておく方法が効果的で、ランサムウェアを侵入する確率を大幅に引き下げることができます。
- ファイルの拡張子が表示されるよう Windows の設定を変更する
- スクリプトファイルを無害化する対策 … ファイル拡張子 .js .jse .vbs .wsf
マクロウイルスを無害化する対策 … ファイル拡張子 .doc .docm .xls
PDFウイルスを無害化する対策 … ファイル拡張子 .pdf
- ウイルス感染の悪用を防ぐファイアウォールの設定で対策
(Windows 標準の Windows ファイアウォールでも対処可)
【2】 ランサムウェア感染経路 - ネットサーフィン中に強制感染
一般サイトをネットサーフィン中に広告配信サーバーから攻撃処理が読み込まれたり、改ざん被害を喰らってる一般サイトを単に閲覧したり…。
「怪しいサイト」 とかでも何でもないところで、ランサムウェアが何も確認なく問答無用で強制インストールされます。 (セキュリティ用語でドライブバイダウンロード)
■ 感染経路に沿ったランサムウェア対策
特に3系統の脆弱性(セキュリティホール)を解消する更新作業をあらかじめ実施しておくと、ほぼ100%の確率でランサムウェア感染攻撃は不成立になり、ランサムウェアの強制感染を防ぐことができます。
- 毎月定例更新の Windows Update を実施する
(Internet Explorer、Microsoft Edge の更新)
- Adobe Flash Player を最新バージョンに更新する
- [導入済みの場合] Java を最新バージョンに更新する
ウイルス感染というと ”怪しいサイト” や ”ア*ルトサイト” を閲覧するユーザーさんだけの特権 とか思ってませんか?
たとえば、ハッキングされてる日本国内JPドメインだけど。NPO 団体のまともなオフィシャルサイトが、常時ランサムウェアをバラ撒くよう不正なコードが仕掛けられてます。
ハッキングされてる日本語表記の一般サイト実例
ちなみに、2014年4月に マイクロソフトのサポートが終了した Windows XP は Windows Update が実施できず対応不能です。
【3】 第三のランサムウェア感染経路
上の2つに該当せず、その他にランサムウェア感染経路として注目スべきものは…
- Chrome Font Pack、有償製品の海賊版やクラックツールなどと偽ってランサムウェアの実行ファイル(拡張子 .exe)を起動させる
- リモートデスクトップ RDP を介したランサムウェア感染攻撃
⇒ 不要ならRDP接続の無効化、デフォルトポート番号の変更
- Windows SMB の脆弱性を悪用したランサムウェア感染攻撃
⇒ Windows Update で脆弱性の解消、不要ならSMBv1の無効化
サイト閲覧でウイルス感染の瞬間
NPO 団体サイトへ普通にブラウザでアクセスし、不正なページを裏でコッソリ読み込まされて故意に攻撃を食らい、CryptoWall のウイルス検体(マイクロソフトのウイルス検出名 Ransom:Win32/Crowti)をゲット♪
ブラウザのプロセス下に謎ファイル
4929.tmp が強制起動したランサムウェア
この実行ファイルをオンラインスキャン VirusTotal にアップロードして、セキュリティソフトのウイルス定義データでの白黒判定は…?
別に新種のランサムウェアでははないんだけどネ…。 <新鮮すぎる亜種
> https://www.virustotal.com/ja/file/54450ea9c2c4e1e347820da49d8e619a04337c68126352572fad20c69471d525/analysis/1435406814/
あくまで ウイルス定義データでの対応状況 なので、セキュリティ製品の性能を示してるものではないけど、セキュリティ会社は 後出しジャンケン で頑張ってます。
ついでに、オンライン解析サイトにファイルをアップしました。
> ttp://camas.comodo.com/cgi-bin/submit?file=54450ea9c2c4e1e347820da49d8e619a04337c68126352572fad20c69471d525
ドットコムほか国別ドメイン
イギリス、ドイツ、ブラジル、インドが…
CryptoWall の感染マシンとのやり取りを遠隔で制御するC&Cサーバーとして稼働してるのは、ブログ作成アプリ WordPress が設置されてる正規サーバーたち約20ヶ所です。 <こりゃヒドい!
ランサムウェアの目的は身代金からなる金儲けなので、そのビジネスを真っ向から妨害してくるセキュリティ会社に出し抜かれまいとウイルス攻撃者側も努力してます。