先日、検知速報をブログで掲載したランサムウェア「Maze」の続報です。
【FFRIセキュリティBlog】個人情報漏洩の厳罰化とランサムウェアMaze
詳細な解析内容を別途FFRIエンジニアブログ:ランサムウェアMaze解析レポートで公開いたしました。
また、本ブログでは以下についてお伝えします。
ランサムウェアである「Maze」は、実行環境にあるファイルを暗号化し、ファイルを復号するために身代金を要求します。データが窃取された場合、窃取したデータは公開され、身代金の支払いをマルウェア感染者に促します。
Mazeに感染し実行されると、ファイルが暗号化され壁紙が脅迫文に変更されます。 また、DECRYPT-FILES.txtが各フォルダに設置されます。
暗号化されたファイルを脅迫文に記載されたURLに存在するサポートシステムで復号できるかを検証したところ、何らかの要因によって一時的に復号は行えないようでした(2020/07/31時点)。
図1:攻撃者が用意したサポートシステム
図2:復号のデモンストレーション
今回のような攻撃から身を守るために、Windows Update等により修正プログラムを適用すること、一般的なウイルス対策ソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。
次世代エンドポイントセキュリティFFRI yaraiは2018年2月にリリースした、エンジンで検知・防御していることを確認しました。
この検体は、FFRI yarai 3.1.0 (2018年2月リリース) のStatic分析エンジンにより、実行前にマルウェアとして検出されます。
次世代エンドポイントセキュリティFFRI yaraiは、既存のウイルス対策ソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティック技術と機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
■検証環境
Windows 10 ✕ FFRI yarai 3.1.0 (2018年 2月リリース)
「Maze」ランサムウェアのハッシュ値(SHA-256)
・dee863ffa251717b8e56a96e2f9f0b41b09897d3c7cb2e8159fcb0ac0783611b
これまで一般的であった、ネットワーク監視(境界監視)という考え方から、近年では、サイバー攻撃を受けることを前提とし、エンドポイント(PC端末)まで多層防御を講じることが重要とする「ゼロトラスト」という考え方が広がっています。
FFRI yaraiは、単体でもエンドポイントセキュリティとして機能しますが、管理コンソール「FFRI AMC」を導入することによりEDR機能を追加費用不要で利用いただけます。シンプルな機能のため、ユーザーは高額なマネージドサービスを利用することなく、自組織だけでEDRの運用が可能です。さらに、Windows 10の標準機能であるWindows Defenderウイルス対策との連携機能も搭載しており、マルウェアからの多層防御を実現します。
2020-08-20
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「次世代エンドポイントセキュリティ」。
次世代エンドポイントセキュリティFFRI yarai 製品詳細はこちら
次世代エンドポイントセキュリティFFRI yarai お問い合わせ
個人・小規模事業者向け次世代エンドポイントセキュリティ
FFRI yarai Home and Business Editionの詳細はこちら