HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2019年 ≫ 2019年2月 ≫ 「Anatova」ランサムウェア vs. FFRI yarai

「Anatova」ランサムウェア vs. FFRI yarai

2019年1月に、「Anatova」と呼ばれる新種のランサムウェアが世界規模で検出されており、他社セキュリティベンダーからも注意喚起されています。

・マカフィーチーム、わずか32kbながら凶悪なランサムウェア「Anatova」を発見

このマルウェアは2019年1月に確認されました。このマルウェアは自らをアプリケーションやゲームに偽装してユーザーにダウンロード・実行させるもので、PC内のファイルを暗号化します。
さらに、新たな回避戦術や、自己増殖メカニズムを容易に追加できるようになっていることで、迅速に変異する能力を備えています。また、ユーザーファイルの暗号化にRSA暗号方式のキーペアを組み合わせることで、強力な暗号化機能も実現しています。この機能は以前ブログでも紹介した「GandCrab」ランサムウェアなどにも採用されています。

1.「Anatova」のマルウェア概要
1-1.「Anatova」マルウェアの脅迫テキスト
2.「Anatova」マルウェアのマルウェアの被害に遭わないための対策
3.「Anatova」マルウェアのFFRI yaraiによる防御

【マルウェア概要】

今回ＦＦＲＩではこの攻撃について検証しました。

「Anatova」ランサムウェアは実行されると端末内のファイルを暗号化します。広範囲のファイルを暗号化すると見られ、デスクトップ画像なども暗号化されています。

「Anatova」ランサムウェアは実行されるとデスクトップ画像ファイルが暗号化されて表示されなくなっている

デスクトップ画像ファイルが暗号化されて表示されなくなっている

さらに端末内には脅迫文が書かれたテキストファイルが生成され、暗号化を解除するために身代金を要求しています。このランサムウェアは仮想通貨での支払いを要求しており、振込先のアドレスなどが書かれています。

「Anatova」ランサムウェアは実行されると脅迫テキスト仮想通貨「DASH」での支払いを要求する

脅迫テキスト仮想通貨「DASH」での支払いを要求している

【被害に遭わないための対策】

今回のような攻撃から身を守るために、Windows Update等により修正プログラムを適用すること、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。

【FFRI yaraiによる防御】

FFRI yaraiは2018年3月にリリースしたエンジンで検知・防御していることを確認しました。
「Anatova」ランサムウェアについてHIPS検知(動的解析)で検知・防御します。

「Anatova」ランサムウェアについてHIPS検知(動的解析)で検知・防御することにより、マルウェアの実行および攻撃を不可能にした結果の画面

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

・CODE:Fの核となる5つのエンジンによる多層防御とは

■検証環境
Windows 10 ✕ FFRI yarai 2.11.4(2018 年 3月リリース)

「Anatova」ランサムウェアのハッシュ値(SHA-256)
2019-01-16 01:48:51 UTC時点のVirusTotal（注）検出率は3 / 67
・170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

ＦＦＲＩでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

（注）ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

2019-02-25