WannaCryランサムウェア感染経路と防止対策1つ 破壊ファイル画像.wncryも

イメージ 7

Windows パソコンをターゲットに ランサムウェア(身代金要求型ウイルス)  の感染被害が世界的に流行ってるようで、動作挙動を確認するため手元でチョイと動かしてみました。

このランサムウェア WannaCry いろんな脅威名で呼ばれてます。


《ランサムウェア自ら名乗る名称に由来》

  • WanaCrypt0r

  • Wana Decrypt0r 2.0

《セキュリティ会社のウイルス検出名に由来》

  • WannaCry (読み方 ワナクライ) ← 本来は ”泣く” という意味ではない

  • WannaCrypt (読み方 ワナクリプト)

  • WannaCryptor

  • WCry

世界各国で大規模サイバー攻撃 病院や大手企業が被害 国際ニュース - AFPBB
http://www.afpbb.com/articles/-/3128068

世界100カ国でサイバー攻撃 7万5000件超 英国病院で大規模被害、日本も - 産経ニュース
https://www.sankei.com/world/news/170513/wor1705130013-n1.html

Animated Map of How Tens of Thousands of Computers Were Infected With Ransomware - New York Times (WannaCry の感染が拡大するヒートマップのアニメーション画像)

ランサムウェアWannaCryの感染画面

WannaCry の身代金要求ウィンドウ

全体は赤っぽい配色です。

左側に南京錠アイコンや身代金支払いの年月日がカウントダウン、左側に日本語の文章で身代金支払いの文章となってます。

イメージ 4
ビットコインで300ドル/600ドルの身代金支払いを要求

【脅迫文を表示する実行ファイル】
@WanaDecryptor@.exe

【表示される脅迫文の内容】
Ooops, your files have been encrypted!
私のコンピュータに何が起こったのですか?
重要なファイルは暗号化されています。
文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。たぶんあなたはファイルを回復する方法を探していますが、時間を無駄にすることはありません。誰も私たちの解読サービスなしであなたのファイルを回復することはできません。FireflyFramer
ファイルを回復できますか?
確かに。すべてのファイルを安全かつ簡単に復元できることを保証します。しかし、十分に時間がありません。あなたは無料でいくつかのファイルを解読することができます。 <Decrypt>をクリックして今すぐ試してください。しかし、すべてのファイルを解読したい場合は、支払う必要があります。お支払いを送信するのに3日しかかかりません。その後、価格は倍になります。また、7日間で支払いを行わないと、ファイルを永久に回復することはできません。私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。FireflyFramer
私はどのように支払うのですか?
支払いはBitcoinでのみ受け付けます。詳細については、<About bitcoin>をクリックしてください。Bitcoinの現在の価格を確認し、ビットコアを購入してください。詳細については、<How to buy bitcoins>をクリックしてください。そして、このウィンドウで指定されたアドレスに正しい金額を送ってください。お支払い後、<Check Payment>をクリックしてください。 月曜日から金曜日までの午前9時〜午前11時(グリニッジ標準時)。
支払いが確認されたらすぐにファイルの復号化を開始できます。 FireflyFramer
接触
援助が必要な場合は、<Contact Us>をクリックしてメッセージを送信してください。
このソフトウェアを削除しないことを強くお勧めします。支払いを処理して支払いが処理されるまで、しばらくのうちにアンチウィルスを無効にすることを強くお勧めします。あなたのアンチウイルスが更新され、自動的にこのソフトウェアを削除した場合、あなたが支払ってもあなたのファイルを回復することはできません! FireflyFramer
http://fireflyframer.blog.jp/19064380.html


このウィンドウは英語や日本語のほか、欧米やアジアの 計28言語 の表記に対応してます。<Google 翻訳を使って翻訳したデータを利用してる模様

イメージ 5

【WannaCry 脅迫文の表示言語】
英語 ブルガリア語 簡体字中国語 繁体字中国語 クロアチア語 チェコ語 デンマーク語 オランダ語 フィリピン語 フィンランド語 フランス語 ドイツ語 ギリシャ語 インドネシア語 イタリア語 日本語 韓国語 ラトビア語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スペイン語 スウェーデン語 トルコ語 ベトナム語 FireflyFramer

日本語の表示フォントが 明朝体 で違和感アリアリです。

ただ、これはリッチテキスト形式のデータをそのまま WannaCry の画面上に表示する仕組みになってるためです。 <多言語対応で文字化けを回避したかった?


ランサムウェアの脅迫文ファイル

イメージ 2
デスクトップなどに作成されるテキストファイル (英語)

イメージ 3
Windows デスクトップの壁紙が変更される

【WannaCry脅迫文表示用のファイル】
@Please_Read_Me@.txt
@WanaDecryptor@.bmp


Windows レジストリ

イメージ 1

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
wd=[ランサムウェアの実行ファイルが置かれたフォルダパス]


WannaCry 暗号化ファイル

WannaCry の感染により暗号化されて破壊されたファイルは、オリジナルのファイル名の後ろに、大文字の拡張子 「~.WNCRY」 が付け足されて変更されました。

イメージ 6
画像、文書、アーカイブが破壊される感染症状
目印としてWNCRY拡張子ファイルに変更される

【暗号化対象の拡張子一覧】
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc FireflyFramer
http://fireflyframer.blog.jp/19064380.html

WannaCry の感染経路と対策

先々月2017年3月14日(米時間)、Windows Update にてセキュリティ更新パッチ MS17-010 がすでに配信されてる脆弱性の悪用です。

MS17-010 Microsoft Windows SMB サーバー用のセキュリティ更新プログラム

ネットワーク越しの遠隔操作で、ランサムウェア WannaCry を送り込んで強制的に感染させる手口だそう。 <何も作業してないのに感染するパターン

イメージ 8
3月に修正済み脆弱性を提供してない PC
→ WannaCry 大拡散の原因

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム 「Windows SMB のリモートでコードが実行される脆弱性」 マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

つまり、WannaCry などのランサムウェア被害を防止するため Windows Update を済ましておく無料ウイルス対策ができてるなら感染経路が塞がれてます。

メールの添付ファイル は WannaCry の感染原因ではありません。

  • Windows Vista SP2

  • Windows 7

  • Windows 8.1

  • Windows 10

  • Windows Server

※ マイクロソフトのサポート終了で、セキュリティソフト更新パッチがもはや提供されない Windows XP や Windows 8.0 にも脆弱性が存在する

<追記...>

マイクロソフトは 「Windows SMB のリモートでコードが実行される脆弱性」 を解決するセキュリティ更新パッチを サポート終了済みだった Windows XP、Windows 8.0、Windows Server 2003 向け に特別に公開しました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/

セキュリティ会社の記事など

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 - トレンドマイクロ

『コードネーム「EternalBlue」と呼ばれる今回の攻撃に使われた脆弱性「CVE-2017-0144」は、「Shadow Brokers」と呼ばれるハッカー集団が今年4月に米国の「National Security Agency(国家安全保障局、NSA)」から窃取したとされるハッキングツールや攻撃コード(エクスプロイトコード)に含まれる』


ランサムウェア「WannaCry」:あなたは大丈夫? – カスペルスキー

『一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。』


マイクロソフトによると、『WannaCrypt で使われたエクスプロイトコードは、パッチが適用されてない Windows 7 や Windows Server 2008(またはそれ以前のOS)のシステムに対してのみ機能する設計』 としてます。

WannaCrypt ransomware worm targets out-of-date systems - Microsoft
https://blogs.technet.microsoft.com/mmpc/2017/05/12/

WannaCry ランサムウェアそのものは、Windows XP ~ Windows 10 までユーザーが手動で起動することで動作するようです。

WannaCry の攻撃者は 『私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催』 として何だか分からんナゾの予告をしてます。

世界的な騒ぎで、警察機関の捜査が行われるはずで、将来的な無料の復旧手段を期待して .WNCRY ファイルは残しておいたほうがいい?

【セキュリティソフトの検出名例】
ESET Win32/Filecoder.WannaCryptor
Kaspersky Trojan-Ransom.Win32.Wanna
Microsoft Ransom:Win32/WannaCrypt
Symantec Ransom.Wannacry
Trend Micro Ransom_WANA RANSOM_WCRY

今回5月12~13日のサイバー攻撃で配信されたウイルス検体は主要なセキュリティソフトが対応済みなので、無料ですぐ使えるウイルス駆除ツール Microsoft Safety ScannerKaspersky Virus Removal Tool でのスキャンも可能です。

5月23日に Windows Updte から、Ransom:Win32/WannaCrypt に対応する 「悪意のあるソフトウェアの削除ツール KB890830」 の定例外配信が行われました。



<2017年5月22日 追記...>

カスペルスキーによると、WannaCry ランサムウェアに感染したパソコンは 98% が Windows 7 環境 であることを指摘してます。 <Windows XP はごく僅か

イメージ 10

 Costin Raiuさんのツイート: "#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant."
https://twitter.com/craiu/status/865562842149392384

メモリ上の秘密鍵を検索して、暗号化ファイルを復元する WannaCry 向けの無料ファイル復号ツールがリリースされてます。


ただ、「ランサムウェアに感染したまま電源を切らず再起動してない」「Windows XP の場合は他バージョンより復号成功率がある」 といった条件があります。

リアルで WannaCry の感染を喰らった環境では無理筋な条件かと。



<2017年12月>

WannaCry ランサムウェアのサイバー攻撃は 北朝鮮 が関与してるゾ!、と米国政府が断定したとしてます。

イメージ 9

Press Briefing on the Attribution of the WannaCry Malware Attack to North Korea - The White House
https://www.whitehouse.gov/briefings-statements/press-briefing-on-the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917

米国による北朝鮮のサイバー攻撃に関する発表について(外務報道官談話) - 外務省
https://www.mofa.go.jp/mofaj/press/danwa/page4_003563.html



<2018年9月>

「WannaCry ランサムウェア」「ソニー・ピクチャーズへの破壊的なサイバー攻撃」「バングラデシュ中央銀行へのサイバー犯罪」 に関与した容疑。。。

FBI は北朝鮮プログラマーで、ハッカーグループの1人である パク・ジンヒョク(Park Jin Hyok、박진혁) を指名手配しました。 <WANTED

イメージ 11

North Korean Regime-Backed Programmer Charged in Conspiracy to Conduct Multiple Cyberattacks and Intrusions - Department of Justice
https://www.justice.gov/usao-cdca/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyberattacks

Conspiracy to Commit Wire Fraud; Conspiracy to Commit Computer-Related Fraud (Computer Intrusion) PARK JIN HYOK - FBI
https://www.fbi.gov/wanted/cyber/park-jin-hyok



<2018年12月>

もはや過去のお話で懐かしさもある事件だけど、WannaCry ランサムウェアに感染したまま稼働する Windows PC が未だに存在するそうです。

地域的位置の上位は、中国、インドネシア、ベトナム、インド、ロシア、ベネズエラ、タイ、ウクライナ、台湾、ブラジルだとか。

18 Months Later, WannaCry Still Lurks on Infected Computers - Bleeping Computer
https://www.bleepingcomputer.com/news/security/18-months-later-wannacry-still-lurks-on-infected-computers/

関連するブログ記事