FFRI Security BLOG

ランサムウェア「Rapid」 vs. FFRI yarai

2018年1月、「Rapid」と呼ばれる新種のランサムウェアが確認され、海外を中心に報告されています

Rapid Ransomware Continues Encrypting New Files as they Are Created



目次


1.ランサムウェア「Rapid」のマルウェア概要
1-1.ランサムウェア「Rapid」が実行させてみると
1-2.ランサムウェア「Rapid」から身を守るために
2.FFRI yaraiによるランサムウェア「Rapid」の防御





【マルウェア概要】

このランサムウェアは一般的なランサムウェア同様に、感染するとファイルが暗号化され拡張子が「.rapid」に変更されます。ファイルは暗号化されるため、変更された拡張子を元に戻しても開くことができなくなっています。


海外を中心に感染経路不明の「Rapid」というランサムウェアを展開するとPC内のファイルが暗号化され拡張子が「.rapid」に変更されている。

PC内のファイルが暗号化され拡張子が「.rapid」に変更されている





ランサムウェアが実行されると%APPDATA%フォルダ配下に次のファイルが生成されます。

・info.exe
・How Recovery Files.txt
・recovery.txt

なお、「How Recovery Files.txt」および「recovery.txt」は中身が同じテキストファイルです。その後レジストリへの書き込みを行い、OS起動時に「info.exe」「recovery.txt」が実行されるように設定します。


ランサムウェア「Rapid」は、OS起動時の実行設定をレジストリに書き込むという特徴を持っている。

OS起動時の実行設定をレジストリに書き込んでいる


ファイルの暗号化と同時に「How Recovery Files.txt」が生成されます。このファイルには全てのファイルが暗号化されたこと、そしてファイルを復元したければメールをください、とのメッセージとともにEメールアドレスが記載されています。

ファイルの暗号化と同時に「How Recovery Files.txt」の生成し、復元したければメールを下さいとメッセージを出現させる種類のランサムウェアである。

生成されたファイル:連絡用のEメールアドレスが記載されている


ランサムウェアの被害にあった場合、PCのデータが暗号化されて大事な情報を失う可能性があります。それに加えてネットワークでつながっている他のPCにも攻撃を行う可能性があり、さらに被害が拡大する恐れがあります。


Quick Overview of new Ransomware Rapid





ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。


FFRI yarai は「Rapid」ランサムウェアが実行される前に検知・防御します。





【FFRI yaraiによる防御】

FFRI yaraiは2017年5月にリリースしたエンジンで検知・防御していることを確認しました。
「Rapid」ランサムウェアについてスタティック分析(静的解析)で検知・防御します。

FFRI yaraiがランサムウェア「Rapid」を感知し、ランサムウェア検知・防御の対策をしました。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
CODE:Fの核となる5つのエンジンによる多層防御とは


■検証環境
Windows 7 ✕ FFRI yarai 2.9.0(2017 年 5月リリース)

■検証した検体のハッシュ値(SHA-256)


・125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61


「Rapid」ランサムウェアはすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

関連記事

FFRI yaraiが仮想通貨「Monero」を採掘するマイニングマルウェアを検知

「楽天カード株式会社」を装った不審なメールに関する注意喚起

ランサムウェア「Spider」 vs. FFRI yarai

ランサムウェア「Bad Rabbit」vs. FFRI yarai

FFRI yaraiがファイルレスマルウェアを検知

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

FFRI yarai および FFRI プロアクティブ セキュリティがランサムウェア「WannaCry(WannaCrypt)」をリアルタイムに検知・防御

FFRI yarai防御実績

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

  • FFRIセキュリティリソース

    お問い合わせ

    メールマガジン

    FFRIエンジニアブログ

  • 最近の記事

  • 特集

  • アーカイブ

    • HOME  ≫ FFRIセキュリティ BLOG  ≫ 2018年  ≫ 2018年1月  ≫ ランサムウェア「Rapid」 vs. FFRI yarai

    pagetop