ランサムウェア「Bad Rabbit」vs. FFRI yarai
2017年10月24日ごろからランサムウェア「Bad Rabbit」の感染被害がロシアやウクライナの公共交通機関、メディア、政府機関を中心に報道されています。「Bad Rabbit」に感染させるためのドロッパーが日本でもダウンロードされているとして、JPCERTコーディネーションセンターから緊急で注意喚起情報(※1)も公開されています。
※1 出典:新たなランサムウェア「Bad Rabbit」について
目次
1.ランサムウェア「Bad Rabbit」のマルウェア概要
2.事件直前のバージョンでのFFRI yaraiによるランサムウェア「Bad Rabbit」の防御
2-1.FFRI yarai 2.8.0 ランサムウェア「Bad Rabbit」検知画面
ランサムウェア「Bad Rabbit」に感染するとPCが再起動され、PC内のフォルダが暗号化されます。その後、ふたたびPCの再起動が行われ、身代金を要求する画面が表示され、Windowsが起動できなくなり、PCが利用不能になります。
FFRIでは今回の攻撃に使われたランサムウェア「Bad Rabbit」の検体を入手し、標的型攻撃対策ソフトウェア「FFRI yarai」で検証したところ、事件発生前にリリースしたバージョンで検知・防御が可能であることが確認できました。
【FFRI yarai 2.8.0検知画面】
■検証環境
Windows 7 × FFRI yarai 2.8.0 (2017年1月リリース)
■検証した検体のハッシュ値
SHA256:630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
検証結果は、画面キャプチャのとおり、FFRI yaraiの5つのヒューリスティックエンジンがマルウェアを検知してシステムを保護しています。
今回の検証で使用したFFRI yarai 2.8.0(2017年1月リリース)は事件発生より半年以上前にリリースしており、これ以降のバージョンをご利用いただいていた場合、攻撃を未然に防ぐことができたといえます。
なお、マルウェアには多くの亜種(※2)が存在しており、今回の防御事例はそのすべての亜種を検知・防御可能であることを保証するものではありません。
※2 オリジナルのマルウェアを元に機能や構造を一部変更するなどして新たに生み出されるマルウェアのこと。最近ではサイバー攻撃者向けにマルウェア作成ツールが出回っており、このツールを使用することで簡単にマルウェアを作成できる状況にあり、マルウェアの数が急激に増加しています。
FFRIは、今後も独自の調査・分析を行い、脅威を先読みすることで真に価値のある対策を社会に提供できるよう日々精進していく所存です。
関連記事
【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起
大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2017年 ≫ 2017年10月 ≫ ランサムウェア「Bad Rabbit」vs. FFRI yarai