2017年5月12日から感染が始まったランサムウェアに関する話題です。色々と情報があるので集めてみました。
順次追加していきます。
ランサムウェア Wanna Cryとは?
今回流行したのがランサムウェアのWanna Cryというものです。感染すると特定の拡張子を持ったファイルを暗号化して、画面に「暗号化したファイルを解除して欲しければ$300ビットコインで支払え。3日経過すれば$600にする。7日経過すれば削除する。」と警告メッセージが出て来ます。SMBv1の脆弱性(MS17-010で報告)をついて感染するタイプのウイルスです。
IPA情報処理推進機構
世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
MS17-010
マイクロソフト セキュリティ情報 MS17-010 – 緊急
対策としては、WindowsのセキュリティーパッチMS17-010を当てることです。被害が大きいためマイクロソフトはサポートを終了したWindows XPのセキュリティーパッチを出しました。
Windows XPの対策はどうすればいい?
・・・いや、それ以前にサポートが終了しているOSなので使うべきでないんですが。(^_^;)
Microsoft Updateカタログ(KB4012598)
こちらから、「Windows XP SP3 用セキュリティ更新プログラム (KB4012598) カスタム サポート」をダウンロードしてインスートルしてください。
感染のメカニズム
感染するとどのように被害を与えるかは下記のサイトに書かれています。
「WannaCry 2.0」の内部構造を紐解く(三井物産セキュアディレクション)
暗号化されたファイルの復号は可能か!?
暗号化されてしまったファイルは復元することは非常に難しいです。トレンドマイクロから暗号化したファイルを復元するツールが提供されています。かなり条件は厳しいのですが、もし感染された方は試してることはできます。
本ツールは、WannaCryランサムウェアプロセスのメモリ上から秘密鍵を検索し、復号を試みます。
そのため、WannaCryのプロセスが引き続き、対象の環境で動作している環境(メモリ上に存在している環境)でのみ有効です。 以下にご留意ください。
・感染後に再起動を実施している環境や、なんらかの理由で感染が途中で終了している環境では、復号は出来かねます。
・WannaCryに感染後、時間が経過している場合、再起動を未実施でもメモリが上書きされ、復号の成功率が下がります。
