ランサムウェア「GandCrab」 vs. FFRI yarai
2018年4月、「GandCrab」と呼ばれるランサムウェアについて、2月に発覚したFlash Playerの脆弱性を利用した攻撃が確認されています。・ランサムウェア「GandCrab」、Flashの脆弱性で拡散開始か
・Rig EK drops GandCrab Ransomware Via CVE-2018-4878
目次
1.ランサムウェア「GandCrab」のマルウェア概要
1-1.ファイル復号のための要求画面
2.ランサムウェア「GandCrab」の被害に遭わないための対策
3.FFRI yaraiによるランサムウェア「GandCrab」の防御
【マルウェア概要】
「GandCrab」ランサムウェアは今年の1月に最初に発見されましたが、2月にAdobeが修正した脆弱性「CVE-2018-4878」を悪用して拡散していると見られています。このランサムウェアは一般的なランサムウェア同様に、感染するとファイルが暗号化され拡張子が「.CRAB」に変更されます。ファイルは暗号化されるため、変更された拡張子を元に戻しても開くことができなくなっています。
PC内のファイルが暗号化され拡張子が「.CRAB」に変更されている
ファイルが暗号化されたあと、強制的にPCが再起動されます。再起動後、身代金の脅迫メッセージが表示されます。
PC再起動後、脅迫テキストが表示される
Torブラウザ経由での身代金を要求しており、同時にTorブラウザのダウンロードサイトが表示されます。
Torブラウザのダウンロードサイトが表示される
通常のブラウザからのアクセスURLも記載されており、「DASH」または「ビットコイン」で700USDを支払うよう要求しています。
ファイル復号のために700USDを支払うよう要求している
その他の機能として、無料で1ファイルだけ復号できる機能が搭載されています。これは1ファイルだけ復号することにより身代金を支払えば復号可能であることを強調するのが目的と思われます。
脅迫画面の表示言語も英語、ドイツ語、イタリア語、中国語と複数用意されており、これらの言語圏が攻撃の主なターゲットと思われます。
【被害に遭わないための対策】
ランサムウェアの被害にあった場合、PCのデータが暗号化されて大事な情報を失う可能性があります。それに加えてネットワークでつながっている他のPCにも攻撃を行う可能性があり、さらに被害が拡大する恐れがあります。
ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。
FFRI yarai は「GandCrab」ランサムウェアが実行される前に検知・防御します。
【FFRI yaraiによる防御】
FFRI yaraiは2017年6月にリリースしたエンジンで検知・防御していることを確認しました。
「GandCrab」についてHIPS検知(動的解析)で検知・防御します。
FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
・CODE:Fの核となる5つのエンジンによる多層防御とは
■検証環境
Windows 7 ✕ FFRI yarai 2.9.1(2017 年 6月リリース)■検証した検体のハッシュ値(SHA-256)
・865fd5e40b1c01bce8497580206a3705efadd70aacf7ee31b20c65e6ff62af4e「GandCrab」ランサムウェアを使用した攻撃はすでに確認されており、被害にあわないためにも早急な対策が必要と言えます。 FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。
関連記事
バンキングマルウェア「Panda Banker」 vs. FFRI yarai
ランサムウェア「SpriteCoin」 vs. FFRI yarai
ランサムウェア「Spider」 vs. FFRI yarai
ランサムウェア「Bad Rabbit」vs. FFRI yarai
【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2018年 ≫ 2018年4月 ≫ ランサムウェア「GandCrab」 vs. FFRI yarai