- WanaCrypt0r
- Wana Decrypt0r 2.0
- WannaCry (読み方 ワナクライ) ← 本来は ”泣く” という意味ではない
- WannaCrypt (読み方 ワナクリプト)
- WannaCryptor
- WCry
http://www.afpbb.com/articles/-/3128068
https://www.sankei.com/world/news/170513/wor1705130013-n1.html
ランサムウェアWannaCryの感染画面
ビットコインで300ドル/600ドルの身代金支払いを要求
【脅迫文を表示する実行ファイル】
@WanaDecryptor@.exe
【表示される脅迫文の内容】
Ooops, your files have been encrypted!
私のコンピュータに何が起こったのですか?
重要なファイルは暗号化されています。
文書、写真、ビデオ、データベース、およびその他のファイルの多くは、暗号化されているためアクセスできなくなりました。たぶんあなたはファイルを回復する方法を探していますが、時間を無駄にすることはありません。誰も私たちの解読サービスなしであなたのファイルを回復することはできません。FireflyFramer
ファイルを回復できますか?
確かに。すべてのファイルを安全かつ簡単に復元できることを保証します。しかし、十分に時間がありません。あなたは無料でいくつかのファイルを解読することができます。 <Decrypt>をクリックして今すぐ試してください。しかし、すべてのファイルを解読したい場合は、支払う必要があります。お支払いを送信するのに3日しかかかりません。その後、価格は倍になります。また、7日間で支払いを行わないと、ファイルを永久に回復することはできません。私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。FireflyFramer
私はどのように支払うのですか?
支払いはBitcoinでのみ受け付けます。詳細については、<About bitcoin>をクリックしてください。Bitcoinの現在の価格を確認し、ビットコアを購入してください。詳細については、<How to buy bitcoins>をクリックしてください。そして、このウィンドウで指定されたアドレスに正しい金額を送ってください。お支払い後、<Check Payment>をクリックしてください。 月曜日から金曜日までの午前9時〜午前11時(グリニッジ標準時)。
支払いが確認されたらすぐにファイルの復号化を開始できます。 FireflyFramer
接触
援助が必要な場合は、<Contact Us>をクリックしてメッセージを送信してください。
このソフトウェアを削除しないことを強くお勧めします。支払いを処理して支払いが処理されるまで、しばらくのうちにアンチウィルスを無効にすることを強くお勧めします。あなたのアンチウイルスが更新され、自動的にこのソフトウェアを削除した場合、あなたが支払ってもあなたのファイルを回復することはできません! FireflyFramer
http://fireflyframer.blog.jp/19064380.html
【WannaCry 脅迫文の表示言語】
英語 ブルガリア語 簡体字中国語 繁体字中国語 クロアチア語 チェコ語 デンマーク語 オランダ語 フィリピン語 フィンランド語 フランス語 ドイツ語 ギリシャ語 インドネシア語 イタリア語 日本語 韓国語 ラトビア語 ノルウェー語 ポーランド語 ポルトガル語 ルーマニア語 ロシア語 スロバキア語 スペイン語 スウェーデン語 トルコ語 ベトナム語 FireflyFramer
デスクトップなどに作成されるテキストファイル (英語)
Windows デスクトップの壁紙が変更される
【WannaCry脅迫文表示用のファイル】
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
wd=[ランサムウェアの実行ファイルが置かれたフォルダパス]
画像、文書、アーカイブが破壊される感染症状
目印としてWNCRY拡張子ファイルに変更される
【暗号化対象の拡張子一覧】
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc FireflyFramer
http://fireflyframer.blog.jp/19064380.html
WannaCry の感染経路と対策
3月に修正済み脆弱性を提供してない PC
→ WannaCry 大拡散の原因
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
- Windows Vista SP2
- Windows 7
- Windows 8.1
- Windows 10
- Windows Server
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/
セキュリティ会社の記事など
『コードネーム「EternalBlue」と呼ばれる今回の攻撃に使われた脆弱性「CVE-2017-0144」は、「Shadow Brokers」と呼ばれるハッカー集団が今年4月に米国の「National Security Agency(国家安全保障局、NSA)」から窃取したとされるハッキングツールや攻撃コード(エクスプロイトコード)に含まれる』
https://blogs.technet.microsoft.com/mmpc/2017/05/12/
【セキュリティソフトの検出名例】
ESET Win32/Filecoder.WannaCryptor
Kaspersky Trojan-Ransom.Win32.Wanna
Microsoft Ransom:Win32/WannaCrypt
Symantec Ransom.Wannacry
Trend Micro Ransom_WANA RANSOM_WCRY
Costin Raiuさんのツイート: "#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant."
https://twitter.com/craiu/status/865562842149392384
- Wannakey by Adrien Guinet
- WanaKiwi by Benjamin Delpy
- Trend Micro Ransomware File Decryptor Tool
https://www.whitehouse.gov/briefings-statements/press-briefing-on-the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917
https://www.mofa.go.jp/mofaj/press/danwa/page4_003563.html
https://www.justice.gov/usao-cdca/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyberattacks
https://www.fbi.gov/wanted/cyber/park-jin-hyok
https://www.bleepingcomputer.com/news/security/18-months-later-wannacry-still-lurks-on-infected-computers/