HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2018年 ≫ 2018年4月 ≫ ランサムウェア「GandCrab」 vs. FFRI yarai

ランサムウェア「GandCrab」 vs. FFRI yarai

2018年４月、「GandCrab」と呼ばれるランサムウェアについて、２月に発覚したFlash Playerの脆弱性を利用した攻撃が確認されています。

・Rig EK drops GandCrab Ransomware Via CVE-2018-4878

1.ランサムウェア「GandCrab」のマルウェア概要
1-1.ファイル復号のための要求画面
2.ランサムウェア「GandCrab」の被害に遭わないための対策
3.FFRI yaraiによるランサムウェア「GandCrab」の防御

【マルウェア概要】

「GandCrab」ランサムウェアは今年の1月に最初に発見されましたが、2月にAdobeが修正した脆弱性「CVE-2018-4878」を悪用して拡散していると見られています。このランサムウェアは一般的なランサムウェア同様に、感染するとファイルが暗号化され拡張子が「.CRAB」に変更されます。ファイルは暗号化されるため、変更された拡張子を元に戻しても開くことができなくなっています。

ランサムウェア「GandCrab」に感染し、PC内のファイルが暗号化され拡張子が「.CRAB」に変更されている

PC内のファイルが暗号化され拡張子が「.CRAB」に変更されている

ファイルが暗号化されたあと、強制的にPCが再起動されます。再起動後、身代金の脅迫メッセージが表示されます。

ランサムウェア「GandCrab」に感染したあと、PC再起動後、脅迫テキストが表示される

PC再起動後、脅迫テキストが表示される

Torブラウザ経由での身代金を要求しており、同時にTorブラウザのダウンロードサイトが表示されます。

ランサムウェア「GandCrab」に感染したあと、Torブラウザのダウンロードサイトが表示される

Torブラウザのダウンロードサイトが表示される

通常のブラウザからのアクセスURLも記載されており、「DASH」または「ビットコイン」で700USDを支払うよう要求しています。

ランサムウェア「GandCrab」からのファイル復号のために700USDを支払うよう要求している

ファイル復号のために700USDを支払うよう要求している

その他の機能として、無料で1ファイルだけ復号できる機能が搭載されています。これは1ファイルだけ復号することにより身代金を支払えば復号可能であることを強調するのが目的と思われます。
脅迫画面の表示言語も英語、ドイツ語、イタリア語、中国語と複数用意されており、これらの言語圏が攻撃の主なターゲットと思われます。

【被害に遭わないための対策】

ランサムウェアの被害にあった場合、PCのデータが暗号化されて大事な情報を失う可能性があります。それに加えてネットワークでつながっている他のPCにも攻撃を行う可能性があり、さらに被害が拡大する恐れがあります。

ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。

FFRI yarai は「GandCrab」ランサムウェアが実行される前に検知・防御します。

【FFRI yaraiによる防御】

FFRI yaraiは2017年6月にリリースしたエンジンで検知・防御していることを確認しました。
「GandCrab」についてHIPS検知(動的解析)で検知・防御します。

ランサムウェア「GandCrab」を防御するFFRI yarai

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
・CODE:Fの核となる5つのエンジンによる多層防御とは