ランサムウェア 事例ブログ

FFRI BLOG

ランサムウェア「GandCrab」 vs. FFRI yarai

2018年4月、「GandCrab」と呼ばれるランサムウェアについて、2月に発覚したFlash Playerの脆弱性を利用した攻撃が確認されています。


ランサムウェア「GandCrab」、Flashの脆弱性で拡散開始か

Rig EK drops GandCrab Ransomware Via CVE-2018-4878







【マルウェア概要】

「GandCrab」ランサムウェアは今年の1月に最初に発見されましたが、2月にAdobeが修正した脆弱性「CVE-2018-4878」を悪用して拡散していると見られています。このランサムウェアは一般的なランサムウェア同様に、感染するとファイルが暗号化され拡張子が「.CRAB」に変更されます。ファイルは暗号化されるため、変更された拡張子を元に戻しても開くことができなくなっています。


ランサムウェア「GandCrab」に感染し、PC内のファイルが暗号化され拡張子が「.CRAB」に変更されている

PC内のファイルが暗号化され拡張子が「.CRAB」に変更されている


ファイルが暗号化されたあと、強制的にPCが再起動されます。再起動後、身代金の脅迫メッセージが表示されます。



ランサムウェア「GandCrab」に感染したあと、PC再起動後、脅迫テキストが表示される

PC再起動後、脅迫テキストが表示される


Torブラウザ経由での身代金を要求しており、同時にTorブラウザのダウンロードサイトが表示されます。



ランサムウェア「GandCrab」に感染したあと、Torブラウザのダウンロードサイトが表示される

Torブラウザのダウンロードサイトが表示される






通常のブラウザからのアクセスURLも記載されており、「DASH」または「ビットコイン」で700USDを支払うよう要求しています。

ランサムウェア「GandCrab」からのファイル復号のために700USDを支払うよう要求している

ファイル復号のために700USDを支払うよう要求している


その他の機能として、無料で1ファイルだけ復号できる機能が搭載されています。これは1ファイルだけ復号することにより身代金を支払えば復号可能であることを強調するのが目的と思われます。
脅迫画面の表示言語も英語、ドイツ語、イタリア語、中国語と複数用意されており、これらの言語圏が攻撃の主なターゲットと思われます。





【被害に遭わないための対策】

ランサムウェアの被害にあった場合、PCのデータが暗号化されて大事な情報を失う可能性があります。それに加えてネットワークでつながっている他のPCにも攻撃を行う可能性があり、さらに被害が拡大する恐れがあります。


ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。


FFRI yarai は「GandCrab」ランサムウェアが実行される前に検知・防御します。





【FFRI yaraiによる防御】

FFRI yaraiは2017年6月にリリースしたエンジンで検知・防御していることを確認しました。
「GandCrab」についてHIPS検知(動的解析)で検知・防御します。


ランサムウェア「GandCrab」を防御するFFRI yarai


FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
CODE:Fの核となる5つのエンジンによる多層防御とは



■検証環境

Windows 7 ✕ FFRI yarai 2.9.1(2017 年 6月リリース)


■検証した検体のハッシュ値(SHA-256)

865fd5e40b1c01bce8497580206a3705efadd70aacf7ee31b20c65e6ff62af4e


「GandCrab」ランサムウェアを使用した攻撃はすでに確認されており、被害にあわないためにも早急な対策が必要と言えます。 FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

その他最新事例・ホワイトペーパーのダウンロードはこちらから

関連記事

バンキングマルウェア「Panda Banker」 vs. FFRI yarai

ランサムウェア「SpriteCoin」 vs. FFRI yarai

ランサムウェア「Rapid」 vs. FFRI yarai

「楽天カード株式会社」を装った不審なメールに関する注意喚起

ランサムウェア「Spider」 vs. FFRI yarai

ランサムウェア「Bad Rabbit」vs. FFRI yarai

FFRI yaraiがファイルレスマルウェアを検知

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

FFRI yarai防御実績

FFRI yarai導入事例

pagetop