(WannaCrypt、WCry、WanaCrypt0r 2.0、Wanna Decryptor) - マルウェア、ネットワーク ワーム、ランサムウェア。 このプログラムは、コンピュータに保存されているほぼすべてのファイルを暗号化し、復号化するために身代金を要求します。 近年、このタイプのマルウェアが多数登録されていますが、WannaCry はその配布規模と使用される技術の点でその中でも際立っています。

このランサムウェア ウイルスは午前 10 時頃から拡散し始め、すでに 5 月 12 日の夜にはメディアが多数の感染を報じ始めました。 さまざまな出版物は、ズベルバンクを含む最大規模の株式に対してハッカー攻撃が行われたと書いている。

ユーザーの質問。 「Windows 7 Home Premium を実行している現在の個人用ラップトップでは、電源を切るとさまざまなパッチが自動的にインストールされます...

そして、私が持っている W10 タブレットは、電源を入れると新しいパッチを自動的にインストールします...企業のデスクトップ PC は、電源を入れるか切るときに OS を自動的に更新しないでしょうか?」 本当に - なぜ？

しばらくして、エクスプロイトの完全なセットがトレーニング ビデオとともに公開されました。 誰でも使用できます。 まさにそれが起こったのです。 エクスプロイト キットには DoublePulsar ツールが含まれています。 ポート 445 が開いており、MS 17-010 アップデートがインストールされていない場合、リモート コード実行クラスの脆弱性 (コンピュータにリモートで感染する機能 (NSA EternalBlue エクスプロイト)) を利用して、システム コールを傍受し、悪意のあるコードを挿入することが可能です。メモリ。 電子メールを受信する必要はありません。インターネットにアクセスできるコンピューターがあり、SMBv1 サービスが実行され、MS17-010 パッチがインストールされていない場合、攻撃者は (たとえば、アドレスの総当たり攻撃によって) あなた自身を見つけます。

ワナクライ分析

WannaCry トロイの木馬 (別名 WannaCrypt) は、コンピュータ上の特定の拡張子を持つファイルを暗号化し、ビットコインで 300 ドルの身代金を要求します。 支払いには 3 日かかりますが、その後金額は 2 倍になります。

暗号化には、128 ビット キーを使用した米国の AES アルゴリズムが使用されます。

テスト モードでは、トロイの木馬に組み込まれた 2 番目の RSA キーを使用して暗号化が実行されます。 この点において、テストファイルの復号化は可能です。

暗号化プロセス中に、いくつかのファイルがランダムに選択されます。 トロイの木馬は、被害者が身代金を支払えば残りを復号できると確信させるために、それらを無料で復号化することを提案します。

ただし、これらの選択されたファイルと残りのファイルは別のキーで暗号化されます。 したがって、復号化の保証はありません。

WannaCry 感染の兆候

このトロイの木馬は、コンピュータに侵入すると、mssecsvc2.0 (表示名 - Microsoft Security Center (2.0) サービス) という名前の Windows システム サービスとして実行されます。

このワームはコマンド ライン引数を受け入れることができます。 少なくとも 1 つの引数が指定されている場合、mssecsvc2.0 サービスを開いて、エラーが発生した場合に再起動するように構成しようとします。

起動後、ファイル C:\WINDOWS\tasksche.exe の名前を C:\WINDOWS\qeriuwjhrf に変更しようとし、それをエンコーダのトロイの木馬リソースからファイル C:\WINDOWS\tasksche.exe に保存し、/i で起動します。パラメータ。 このトロイの木馬は、起動されると、感染したマシンの IP アドレスを受け取り、サブネット内の各 IP アドレスの TCP ポート 445 への接続を試みます。内部ネットワーク上のマシンを検索し、それらに感染しようとします。

このワームは、システム サービスとして開始されてから 24 時間後に自動的にシャットダウンします。

マルウェアは自身を拡散するために、Windows ソケットと CryptoAPI を初期化し、いくつかのスレッドを起動します。 そのうちの 1 つは、感染した PC 上のすべてのネットワーク インターフェイスを一覧表示し、ローカル ネットワーク上の利用可能なホストをポーリングし、残りはランダムな IP アドレスを生成します。 このワームは、ポート 445 を使用してこれらのリモート ホストに接続しようとします。ポート 445 が利用可能な場合、SMB プロトコルの脆弱性を使用して、別のスレッドでネットワーク ホストに感染します。

ワームは起動直後に、トロイの木馬にドメインが保存されているリモート サーバーにリクエストを送信しようとします。 このリクエストに対する応答を受信すると、リクエストは終了します。

< nulldot>0x1000eff2、34、1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024、22、sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4、12、00000000.eky

< nulldot>0x1000f270、12、00000000.pky

< nulldot>0x1000f2a4、12、00000000.res

WannaCrypt およびその他のランサムウェアに対する保護

WannaCry ランサムウェアとその将来の変更から保護するには、次のことを行う必要があります。

1. SMB v1 を含む未使用のサービスを無効にします。

• PowerShell を使用して SMBv1 を無効にすることができます。
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• レジストリ経由:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters、DWORD タイプの SMB1 パラメータ = 0
• SMBv1 を担当するサービス自体を削除することもできます (はい、SMBv2 とは別のサービスが個人的に担当します)。
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe 設定 mrxsmb10 start=無効

1. ファイアウォールを使用して、ポート 135、137、138、139、445 (SMB ポート) などの未使用のネットワーク ポートを閉じます。

図 2. ファイアウォールを使用してポート 445 をブロックする例ウィンドウズ

図 3. ファイアウォールを使用してポート 445 をブロックする例ウィンドウズ

1. ウイルス対策またはファイアウォールを使用して、アプリケーションのインターネットへのアクセスを制限します。

図 4. Windows ファイアウォールを使用してアプリケーションへのインターネット アクセスを制限する例