Petya の亜種による世界的なランサムウェア感染

2017.06.28

編集者注: ソフォスのお客様は、こちらのナレッジベースの記事の最新技術情報もご覧ください。ソフォス製品によって検出、ブロックされる亜種の一覧が掲載されています。また、この記事は新たな情報が明らかになり次第、更新される予定です。



SophosLabs は、欧州、ロシア、ウクライナなどに広がっている大規模な感染の背後に、Petya ランサムウェア (別名 GoldenEye) の新たな亜種が存在していると断定しました。他のセキュリティ企業はこの亜種を PetrWrap と呼んでいます。

今回の亜種の特徴は、ターゲットとするネットワーク内で増殖する手段として EternalBlue エクスプロイトが使用されている点です。EternalBlue エクスプロイトは、ローカルネットワーク上のファイルやプリンタを共有するために使用される Windows Server Message Block (SMB) サービスを攻撃します。Microsoft は 3 月のセキュリティ情報 MS17-010 でこの問題に対処しましたが、先月の WannaCry の拡散でもこのエクスプロイトが使用されていました。



Petya は、管理者パスワードを解読し、リモート管理ツールを使用してネットワーク上の他の PC に感染するという方法で内部感染も試みます。また、他のコンピュータ上のネットワーク共有に感染することによっても内部感染します。

具体的には、認証情報を盗み出すコードを実行して、ユーザーアカウントのパスワードを解読し、ランサムウェアを展開します。Petya には、リモートコンピュータに感染する目的で、Microsoft の SysInternals スイートの一部である PsExec という正規のリモート管理ツールがバンドルされています。



ユーザーのコンピュータ画面に表示される身代金要求メモ

 


ソフォスの保護機能

Sophos Endpoint Protection を使用しているお客様は、Petya の最近のすべての亜種から保護されています。 ソフォスが最初に対策を発表したのは 6 月 27 日 13 時 50 分 (UTC) で、それ以降も今後出現するであろう亜種を阻止するために複数回アップデートを公開しています。



上記に加え、Sophos Intercept X のユーザーは、今回の亜種が出現してもデータが暗号化されることなくプロアクティブに保護されていました。



さらに、ソフォスのお客様はネットワーク上での PsExec などのデュアルユース管理ツールの使用を制限することも可能です。Sophos Endpoint Protection には、すべての PC、またすべてのユーザーに提供する必要のない PsExec などのリモート管理プログラムを発見する PUA検出機能が搭載されています。


対策

今すぐ実行していただきたい対策は次のとおりです。

  • Microsoft のセキュリティ情報 MS17-010 に含まれているパッチなど、最新のパッチをシステムに適用してください。


  • ユーザーのコンピュータ上での Microsoft PsExec ツールの実行をブロックすることを検討してください。このツールのあるバージョンは、Petya が自動拡散するための別の手法の一部として使用されています。ブロックするには、Sophos Endpoint Protection などの製品を使用してください。


  • 定期的にファイルをバックアップしておき、オフサイトに最新のバックアップを保管してください。ランサムウェア以外にも、火災、洪水、盗難、ラップトップの落下、偶発的な削除など、さまざまな理由でファイルが突然利用できなくなることがあります。バックアップを暗号化しておくと、バックアップが保存されているデバイスが悪意のある人間の手に渡った場合でも心配する必要がなくなります。


  • 人事部や会計部などに所属しているために業務上数多くの添付ファイルを使用している場合であっても、知らないユーザーからの電子メールの添付ファイルは開かないでください。


  • Sophos Intercept X の無料評価版をダウンロードしてください。また、ホームユーザー (法人以外のユーザー) の方は、無料の Sophos Home Premium Beta(リンク先:英語) にユーザー登録してください。Sophos Home Premium Beta は、ハードディスク上のファイルおよびセクターの不正な暗号化をブロックして、ランサムウェアを阻止します。


電子メールを介したサイバー攻撃を防止するには、以下を実行してください。


引用元

おすすめの記事はこちら