ロシアのメディアが報じたように、多くのコンピューターが感染し、すべてのデータが破壊される恐れのあるランサムウェアにより、ロシアのいくつかの地域で内務省の部門の業務が中断されている。 さらに、通信事業者メガフォンも攻撃を受けた。

WCry ランサムウェア トロイの木馬 (WannaCry または WannaCryptor) について話しています。 彼はコンピュータ上の情報を暗号化し、復号化のためにビットコインで 300 ドルまたは 600 ドルの身代金を要求しました。

@[メールで保護されています]、暗号化されたファイル、拡張子 WNCRY。 ユーティリティと復号化手順が必要です。

WannaCry は、ファイル名の末尾に .WCRY を追加することで、次の拡張子を持つファイルとドキュメントを暗号化します。

Lay6、.sqlite3、.sqlitedb、.accdb、.java、.class、.mpeg、.djvu、.tiff、.backup、.vmdk、.sldm、.sldx、.potm、.potx、.ppam、.ppsx、 .ppsm、.pptm、.xltm、.xltx、.xlsb、.xlsm、.dotx、.dotm、.docm、.docb、.jpeg、.onetoc2、.vsdx、.pptx、.xlsx、.docx

世界中でWannaCry攻撃

攻撃は100カ国以上で記録された。 ロシア、ウクライナ、インドは最大の問題に直面している。 ウイルス感染の報告は英国、米国、中国、スペイン、イタリアからも寄せられている。 このハッカー攻撃は世界中の病院や通信会社に影響を与えたことが注目される。 WannaCrypt 脅威の蔓延を示す対話型マップは、インターネット上で入手できます。

感染はどのようにして起こるのでしょうか？

ユーザーが言うように、ウイルスはユーザーが何もしなくてもコンピュータに感染し、ネットワーク全体に制御不能に広がります。 Kaspersky Lab のフォーラムでは、有効なウイルス対策ソフトであってもセキュリティが保証されるわけではないと指摘しています。

WannaCry ランサムウェア攻撃 (Wana Decryptor) は、Microsoft セキュリティ情報 MS17-010 の脆弱性を通じて発生すると報告されています。 次に、感染したシステムにルートキットがインストールされ、攻撃者はそれを使用して暗号化プログラムを起動しました。 すべての Kaspersky Lab ソリューションは、このルートキットを MEM:Trojan.Win64.EquationDrug.gen として検出します。

感染は数日前に発生したとされていますが、ウイルスはコンピュータ上のすべてのファイルを暗号化した後に初めて出現しました。

WanaDecryptorを削除する方法

ウイルス対策プログラムを使用して脅威を除去できます。ほとんどのウイルス対策プログラムはすでに脅威を検出しています。 一般的な定義:

アバスト Win32:WanaCry-A 、 平均身代金_r.CFY、 アビラ TR/FileCoder.ibtft、 ビットディフェンダー Trojan.Ransom.WannaCryptor.A、 ドクターウェブ Trojan.Encoder.11432、 ESET-NOD32 Win32/Filecoder.WannaCryptor.D、 カスペルスキー Trojan-Ransom.Win32.Wanna.d、 マルウェアバイト Ransom.WanaCrypt0r、 マイクロソフト身代金:Win32/WannaCrypt、 パンダ Trj/RansomCrypt.F、 シマンテック Trojan.Gen.2、Ransom.Wannacry

すでにコンピュータ上でこの脅威が起動されており、ファイルが暗号化されている場合、この脆弱性を悪用するとネットワーク暗号化ツールが起動されるため、ファイルを復号化することはほぼ不可能です。 ただし、復号化ツールのいくつかのオプションがすでに利用可能です。

注記: ファイルが暗号化されており、バックアップ コピーがなく、既存の復号化ツールが役に立たなかった場合は、コンピューターから脅威を駆除する前に暗号化されたファイルを保存することをお勧めします。 将来、自分に合った復号化ツールが作成された場合に役立つでしょう。

Microsoft: Windows アップデートをインストールする

Microsoftは、同社の無料ウイルス対策ソフトとWindows System Updateを有効にしているユーザーはWannaCryptor攻撃から保護されると述べた。

3 月 14 日付けのアップデートにより、ランサムウェア トロイの木馬が配布されるシステムの脆弱性が修正されます。 本日、Ransom:Win32.WannaCrypt として知られる新しいマルウェアから保護するための検出機能が Microsoft Security Essentials/Windows Defender ウイルス対策データベースに追加されました。

• ウイルス対策がオンになっていて、最新のアップデートがインストールされていることを確認してください。
• コンピュータに何も保護されていない場合は、無料のウイルス対策ソフトをインストールしてください。
• Windows Update を使用して最新のシステム更新プログラムをインストールします。
  • のために Windows 7、8.1[スタート] メニューから、[コントロール パネル] > [Windows Update] を開き、[更新プログラムの検索] をクリックします。
  • のために ウィンドウズ10[設定] > [更新とセキュリティ] に移動し、[更新を確認する] をクリックします。
• アップデートを手動でインストールする場合は、WanaDecryptor ランサムウェア攻撃で使用された SMB サーバーの脆弱性に対処する公式 Microsoft パッチ MS17-010 をインストールしてください。
• ウイルス対策ソフトウェアにランサムウェア保護機能がある場合は、それをオンにします。 当社の Web サイトには、Ransomware Protection という別のセクションもあり、無料のツールをダウンロードできます。
• システムのウイルス対策スキャンを実行します。

専門家は、攻撃から身を守る最も簡単な方法はポート 445 を閉じることであると指摘しています。

• 「sc stop lanmanserver」と入力して Enter キーを押します
• Windows 10 の場合: sc config lanmanserver start=disabled 、他のバージョンの Windows の場合: sc config lanmanserver start= disabled と入力し、Enter キーを押します。
• コンピュータを再起動してください
• コマンド プロンプトで、「netstat -n -a |」と入力します。 findstr "リスニング" | findstr ":445" を使用して、ポートが無効になっていることを確認します。 空の行がある場合、ポートはリッスンしていません。

必要に応じて、ポートを再度開きます。

• コマンド プロンプト (cmd.exe) を管理者として実行します
• Windows 10 の場合: sc config lanmanserver start=auto 、他のバージョンの Windows の場合: sc config lanmanserver start= auto と入力し、Enter キーを押します。
• コンピュータを再起動してください

注記: ポート 445 は Windows によってファイル共有に使用されます。 このポートを閉じても PC が他のリモート リソースに接続できなくなりますが、他の PC はシステムに接続できなくなります。