HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2019年 ≫ 2019年8月 ≫ ランサムウェア「Sodin」 vs. 次世代エンドポイントセキュリティFFRI yarai

ランサムウェア「Sodin」 vs. 次世代エンドポイントセキュリティFFRI yarai

2019年7月「Sodin（別名：Sodinokibi）」と呼ばれるマルウェアが見つかり、注意喚起が行われています。

このマルウェアは自らをアプリケーションに偽装してユーザーにダウンロード・実行させるもので、PC内のファイルを暗号化します。
さらに、他のPCに対してWindowsの権限昇格のゼロデイ脆弱性を悪用し、他のPCに感染を広げようとします。また、ユーザーファイルの暗号化に楕円曲線非対称アルゴリズムを組み合わせることで、強力な暗号化機能も実現しています。

1.ランサムウェア「Sodin」のマルウェア概要
1-1.ランサムウェア「Sodin」マルウェアの脅迫テキスト
2.ランサムウェア「Sodin」マルウェアのマルウェアの被害に遭わないための対策
3.ランサムウェア「Sodin」マルウェアの次世代エンドポイントセキュリティFFRI yaraiによる防御

【マルウェア概要】

「Sodin」ランサムウェアは実行されると端末内のファイルを暗号化します。広範囲のファイルを暗号化すると見られ、デスクトップの壁紙なども暗号化されています。

「Sodin」ランサムウェアは実行されると端末内のファイルを暗号化する。

ファイル暗号化が開始され、ディスク使用量が100%になっている

「Sodin」ランサムウェアではデスクトップ上のファイルが暗号化されてファイル名が変更されている。

デスクトップ上のファイルが暗号化されてファイル名が変更されている。

さらに端末内には脅迫文が書かれたテキストファイルが生成され、暗号化を解除するためにダークウェブへのアクセスを要求しています。

「Sodin」ランサムウェアはTorブラウザでダークウェブの当該サイトにアクセスか、VPN接続を要求している

Torブラウザでダークウェブの当該サイトにアクセスか、VPN接続を要求している

【被害に遭わないための対策】

今回のような攻撃から身を守るために、Windows Update等により修正プログラムを適用すること、一般的なウイルス対策ソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。

【FFRI yaraiによる防御】

次世代エンドポイントセキュリティFFRI yaraiは2018年11月にリリースしたエンジンで検知・防御していることを確認しました。
「Sodin」ランサムウェアについてはHIPS検知(動的解析)で検知・防御します。

「Sodin」ランサムウェアについてHIPS検知(動的解析)で検知・防御することにより、マルウェアの実行および攻撃を不可能にした結果の画面

次世代エンドポイントセキュリティFFRI yaraiは既存のウイルス対策ソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

・CODE:Fの核となる5つのエンジンによる多層防御とは

■検証環境
Windows 10 ✕ FFRI yarai 3.2.4 (2019年 1月リリース)

「Sodin」ランサムウェアのハッシュ値(SHA-256)
・06b323e0b626dc4f051596a39f52c46b35f88ea6f85a56de0fd76ec73c7f3851

ＦＦＲＩでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

2019-08-26