ブログ

FFRI BLOG

大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai

ランサムウェア「WannaCry(WannaCrypt)」の大規模サイバー攻撃が大きく報道されています。
世界各国で被害が発生している問題で、日本においても警戒を強めるよう注意喚起されています。

2017年5月14日には独立行政法人・情報処理推進機構(IPA)が緊急の記者会見を開き、週末にかけて届いたメールの開封は慎重に行うようにといった対策を呼びかけました。
本ランサムウェアは無差別型攻撃として世界各国で拡散され、感染するとパソコン内部のファイルを暗号化し「.WNCRY」という文字列をファイル名末尾に追加します。
また、デスクトップの背景画像を暗号化した事を示すメッセージが記載されたものに変更し、身代金として仮想通貨ビットコインの支払いを要求します。

FFRIでは今回問題となっているランサムウェア「WannaCry」の検体を入手し、FFRI yaraiで検証を実施し、防御可能であることを確認しました。







【FFRI yarai「WannaCry」防御デモ】 2017年5月26日追記





【マルウェア感染後のデスクトップ画面】

WannaCry感染後のデスクトップ画面。マルウェア感染後、デスクトップ上にファイルが暗号化されたというメッセージが表示される。感染経路はウクライナの会計ソフトやメールから、そして感染したPCから同じネットワーク上のPCへ感染していきます。

マルウェア感染後、デスクトップ上にファイルが暗号化されたというメッセージが表示されます。

WannaCry感染時の脅迫文。世界中に情報系だけではなく交通、工場、病院など被害をもたらしました。

その後、脅迫文が表示されます。脅迫文は各種言語に対応しており、日本語でも表示されます。
また、身代金の要求額が上がるまでの期限と、ファイルが削除されるまでの期限がカウントダウンされます。

感染後、ファイルが暗号化されると「.WNCRY」という文字列をファイル名末尾に追加。Wannacry(ワナクライ)とは「泣きたい」という直訳でWindowsの脆弱性を悪用してランサムウェアに感染させてしまいます。

ファイルが暗号化されると「.WNCRY」という文字列をファイル名末尾に追加します。





FFRI yaraiではランサムウェア「WannaCry」を感知し、ランサムウェア検知・防御しました。対策としてはWindowsの最新アップデートをするのが一般的ですが、サポートを終了しているOSに感染してしまい、それを使用した企業で被害が深刻化しました。FFRI yaraiはセキュリティパッチが施されていないマルウェアを感知し、防御する対策ができます。

FFRI yaraiをご利用の場合上記のように検知されます。

■検証環境
Windows 7 × FFRI yarai 2.7.8 (2016 年 10 ⽉リリース)
■検証した検体のハッシュ値  (SHA-256)
11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

今回の検証で使用した FFRI yarai 2.7.8は、2016年10月20日にリリースしており、本製品をご利用いただいていた場合、今回の攻撃を未然に防ぐことができたといえます。

昨今「無差別型攻撃」と呼ばれるばらまき型の攻撃が大流行しており、不特定多数のユーザーに攻撃を行うことでマルウェアの感染確率を上げ、 SaaSサービス等を活用し次々と攻撃方法を変化させて既存のセキュリティ対策をすり抜け、 ユーザーから直接金銭を騙し取るような手法で世界的に被害が拡大しています。

FFRIではこうした問題の注意を喚起するセミナーを開催いたします。


既存対策ではもう限界!近年の標的型攻撃や無差別型攻撃をどう防ぐ?
~「先読み」で実現する効果的なエンドポイント対策~
 
日 時: 2017年5月29日(月) 14:00 - 16:00 (13:45 受付開始)
会 場: EBiS303(東京都渋谷区恵比寿1-20-8)
 
セミナーの詳細・参加申し込みはこちらから

その他最新事例・ホワイトペーパーのダウンロードはこちらから

関連記事

FFRI yaraiおよびFFRI プロアクティブ セキュリティがランサムウェア「WannaCry(WannaCrypt)」をリアルタイムに検知・防御 ~パターンファイルに依存せず、最新のマルウェア動向研究の知見を活かして~

[FFRIハウスセミナー]既存対策ではもう限界!近年の標的型攻撃や無差別型攻撃をどう防ぐ?
~「先読み」で実現する効果的なエンドポイント対策~

FFRI yarai 防御実績

FFRI プロアクティブ セキュリティ(製品愛称:Mr.F)

pagetop