ホームブログ記事表示
注意 2017.05.14
ランサムウェア WannaCry と呼ばれる WanaCrypt0r 2.0 が世界規模で発生

Windows SMB のリモートでコードが実行される脆弱性を悪用するランサムウェアが 5月 12日 世界規模で発生し、国営医療機関が機能停止するなどの被害が出ています。

日本でも 13日 から WannaCry の攻撃を受けており感染の報告があります。


ランサムウェアとは?

ランサムウェアは、身代金要求型ウイルスと呼ばれており、感染したパソコンをロック し使えなくしたり、ファイルを暗号化 したりすることで使用不可能にし、解除するために身代金を要求するウイルスです。

Animated Map of How Tens of Thousands of Computers Were Infected With Ransomware



ランサムウェア WannaCry ( WanaCrypt0r 2.0 ) に感染すると

ランサムウェア WannaCry は日々進化していますので感染後の挙動が変わる可能性があります。


166 種類の拡張子を対象に暗号化する。
暗号化したファイルの末尾に [ .WNCRY ] という文字列を追加する。
デスクトップに暗号化したことを示すメッセージが表示させる。
身代金 300 ドル 要求される。
LAN 内にある Windows パソコンにも感染を行う。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス



WannaCry ( WanaCrypt0r 2.0 ) 暗号化対象の拡張子


.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc



Microsoft は KB4012598 を Windows XP 向けにも公開

Microsoft は、サポート期間が終了している Windows XP、Windows 8、Windows Server 2003 向けのパッチを公開しました。

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598



Microsoft が公開した回避策

Microsoft が公開した回避策以外のウイルス対策として、Windows Update で常に最新の状態にし、Adobe Flash Player や、Java は使っていなければ削除します。使用する場合は、更新を停止せず最新の状態にします。


SMBv1 を無効化する

Windows XP や Windows 8 など旧世代の OS を使用していない場合は、WannaCry の影響を受ける SMBv1 ( サーバー メッセージ ブロック 1.0 ) の使用停止を推奨しています。

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

SMBv1、SMBv2、および Windows と Windows サーバーの SMBv3 を無効にする方法



SMBv1 が無効になっているか確認する

コマンドプロンプトから SMB を確認することができます。

sc.exe qc lanmanworkstation

DEPENDENCIES の項目に [ MRxSmb10 ] がなければ無効になっています。まだ表示される場合は、もう一度無効化を行ってください。



ルーターやファイアウォールで 445 ポートをブロックする

通信に対するアクションで [ 遮断 ] を選択することでブロックできます。しかし、TCP 445 番ポートが遮断されていると Windows 8、Windows Server 2012 以降の OS からファイル共有ができなくなります。

ポート番号やIPアドレスを指定して、特定のコンピューターとの通信を許可するには?



ランサムウェア 復号化ツール


Kaspersky 製 ランサムウェアの復号化ツール

暗号化されたファイルと、暗号化されていない (感染していないオリジナルファイル ) が必要になります。指定するファイルは、もっともサイズが大きいものを選択します。

Kaspersky releases free decryptor for CryptXXX Ransomware

Free Ransomware Decryptors

Kaspersky ウイルス駆除ツール



トレンドマイクロ製 ランサムウェア ファイル復号ツール

ランサムウェア ファイル復号ツール



どうしても復元したいファイルがある場合

公開された復号ツールでも復元できない場合があります。現時点で Locker、TesraCrypt などは解読が困難な状況で、ランサムウェアの復元を業者に依頼するか、ウイルス製作者に身代金を払うしか方法はありません。また、身代金の支払っても暗号化されたデータが必ず復元される保証はありません。

業者によっては、復旧料金を 30万50万 請求し、実際は身代金 300 ドル (約3万4000円) を払ってファイルを復元しているケースもありますのでご注意ください。

VirusTotal 解析結果


Copyright(C) 岐阜パソコン教室 All Rights Reserved.