ランサムウェア「Maze」vs. 次世代エンドポイントセキュリティFFRI yarai

【マルウェアの概要】

ランサムウェアである「Maze」は、実行環境にあるファイルを暗号化し、ファイルを復号するために身代金を要求します。データが窃取された場合、窃取したデータは公開され、身代金の支払いをマルウェア感染者に促します。

【感染後の様子】

Mazeに感染し実行されると、ファイルが暗号化され壁紙が脅迫文に変更されます。 また、DECRYPT-FILES.txtが各フォルダに設置されます。

【復号のデモンストレーション結果 】

暗号化されたファイルを脅迫文に記載されたURLに存在するサポートシステムで復号できるかを検証したところ、何らかの要因によって一時的に復号は行えないようでした(2020/07/31時点)。

図1：攻撃者が用意したサポートシステム

図2：復号のデモンストレーション

【被害に遭わないための対策】

今回のような攻撃から身を守るために、Windows Update等により修正プログラムを適用すること、一般的なウイルス対策ソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。

【FFRI yaraiによる防御】

次世代エンドポイントセキュリティFFRI yaraiは2018年2月にリリースした、エンジンで検知・防御していることを確認しました。
この検体は、FFRI yarai 3.1.0 (2018年2月リリース) のStatic分析エンジンにより、実行前にマルウェアとして検出されます。

次世代エンドポイントセキュリティFFRI yaraiは、既存のウイルス対策ソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティック技術と機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

CODE:Fの核となる5つのエンジンによる多層防御とは

■検証環境
Windows 10 ✕ FFRI yarai 3.1.0 (2018年 2月リリース)

「Maze」ランサムウェアのハッシュ値(SHA-256)
・dee863ffa251717b8e56a96e2f9f0b41b09897d3c7cb2e8159fcb0ac0783611b

これまで一般的であった、ネットワーク監視（境界監視）という考え方から、近年では、サイバー攻撃を受けることを前提とし、エンドポイント（PC端末）まで多層防御を講じることが重要とする「ゼロトラスト」という考え方が広がっています。
FFRI yaraiは、単体でもエンドポイントセキュリティとして機能しますが、管理コンソール「FFRI AMC」を導入することによりEDR機能を追加費用不要で利用いただけます。シンプルな機能のため、ユーザーは高額なマネージドサービスを利用することなく、自組織だけでEDRの運用が可能です。さらに、Windows 10の標準機能であるWindows Defenderウイルス対策との連携機能も搭載しており、マルウェアからの多層防御を実現します。