※公式ブログの内容更新に伴い、本ブログの内容を一部変更しました(2017/06/30)。
WannaCryが世界的に猛威を振るい史上最も破壊的なマルウェアとして重大なニュースとなったのは2ヶ月足らず前のことですが、今日、世界は各地に急速に広がるPetyaランサムウェアの新種に備えています(Petrwrap)。
Petrwrapの感染方法
Petyaの新種は、最初電子メールから侵入してきます。コンピューターに感染すると、自動的に同じネットワーク上の別のコンピューターに感染を試みます。これは、対象のコンピューターが「EternalBlue」エクスプロイトに対して脆弱性がある(WannaCryが使用したのと同じ脆弱性がある)場合に成功します。このマルウェアはSMBの脆弱性を利用する以外に、現在ログオンしているユーザーのセキュリティコンテキスト(ユーザーの資格情報)を使用して、ネットワーク内のアクセス可能なコンピューター(これらのコンピューターにパッチが適用されていたとしても)に広がります。
ウィルスが実行を開始すると、マシン上に見つかったドキュメントを暗号化します。
また、システムディスクのマスターブートレコードの変更を試み、コンピューターを再起動するスケジュールタスクを作成します。
コンピューターの再起動後、オペレーティングシステムが起動する前に起動します。
マシンの制御を完全に握ると、ディスク全体を暗号化します。
最後に、ランサムノートを表示し、ファイルを復旧するために300ドルを支払うよう要求します。
コンピューターが感染したら、 ファイルを復号化する可能性はないらしく、システムはもはやWindowsで起動しません。
[6月29日更新]
身代金の支払い先に関連するメールアドレスは現在無効となっています。身代金を支払ったとしてもファイルは回復しないため、支払う必要はありません。
マシンを再び稼働させる唯一の方法は、オペレーティングシステムを再インストールし、ファイルをバックアップイメージから復元することです。
Petyaのようなランサムウェアからコンピューターを守る方法
Petyaは高度なランサムウェアです。最良の選択は、MBR(マスターブートレコード)保護機能を提供する専用のアンチランサムウェア製品を使用することです。オペレーティングシステムを最新の状態に保つことも必須です。Windowsの自動更新をオンにするか、専用のアプリケーションを使用して最新のパッチを適用してください。(まず第一に、前述のSMB脆弱性を解消するMicrosoftパッチを適用することを強くお勧めします。このパッチはこちら(Microsoft社セキュリティTechCenter)から入手できます。)
パッチを当てたり専用のアンチランサムウェア製品を使用したりすること以外に、リンクや疑わしい添付ファイル(例: 請求書、予約、配達などに関する文書)を含む電子メールに特に注意を払ってください。差出人に心当たりがない場合、電子メールに添付されている文書は開かない方がよいでしょう。電子メールが本物であると判断して添付文書を開いてしまった場合、ドキュメントマクロやその他類似の機能を有効にしないことが重要です。
ランサムウェア攻撃に直面したとき最後に頼りになるのは、バックアップです。機能的かつ安全なバックアップシステムを使用してください。
TEMASOFT Ranstopにできること
TEMASOFT Ranstopは高精度のファイルアクセスパターン解析に基づいて現在および将来のランサムウェアを検出するアンチランサムウェアソフトウェアです。MBR保護機能も提供していますので、Petyaのようなランサムウェアに対して特に有効です。リアルタイムでファイルを保護しており、マルウェア攻撃やユーザーの誤操作によって損失してしまったファイルを復元することができます。TEMASOFT RanstopはPetyaを数秒で検出します。ユーザードキュメントの損失はありません。
詳しくは製品紹介ページ・製品ガイドをご参照ください:
ダウンロード(評価版)
TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。お問合せ
購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。ご不明な点やお気づきの点がございましたらお問い合せください。