1 返信 最新の回答 日時: Jan 5, 2016 11:04 PM ユーザー:tkudo

    【TIPS】ランサムウェアに関して

    tkudo

      皆さん、こんにちわ
      インテルセキュリティ テクニカルサポートセンターです。

      最近、マルウェアに関する情報を Web などでも良く見かけるようになってきましたが、その中でも弊社サポートセンターへご相談
      いただく件数が比較多い、ランサムウェアに関してお話をさせていただきます。

       

      まずマルウェアの一種であるランサムとは 「人質」をとり、それ解除するための "身代金, Ransom, ランサム" を要求する脅迫活動を

      することから、このような行為をするソフトウェアをランサムウェアと定義しています。ランサムウェアの一般的な手法はユーザの

      コンピュータに保存しているデータファイルを暗号化したうえで、ファイルを複合するために現金や仮想通貨などをコンピュータの

      持ち主に対して要求します。

       

      最近では、このランサムウェアの一種である"vvv ウィルス"が猛威を奮っていることが、一部のメディアで報道されています。
      この"vvv ウィルス"は Tesla Script で記述されているマルウェアですが、感染してしまった場合の動作は従来のマルウェアと同様に

      ハードディスク内に格納されているファイルを暗号化した上で複合化するための金銭を要求します。

      弊社サポート窓口へお問い合わせいただくランサムウェアについての質問で、最もよく聞かれる質問は、「暗号化されたデータを
      回復できますか」です。技術的な観点では暗号化されたファイルを復号するためには秘密鍵が必要となりますが、身代金を支払った

      からといって犯人から秘密鍵を確実に受け取れる保証はありませんので、この答は通常「いいえ」であり、ランサムウェアの秘密鍵は

      犯人のサーバーに保存されており、そのサーバまたはそのコピーシステムへのアクセス権がない限りは秘密鍵を入手することは不可能

      ですので、これらのマルウェアを駆除したからといって、暗号化されたファイルが復号されるわけではありません。

       

      残念なことにランサムウェアには多くの亜種の存在が確認されており、またアンチマルウェアソフトの検出を掻い潜るように細工された
      多くの亜種が日々発生しているため、最新のシグネチャDATでも全てのランサムウェアをカバーできないこともあることから、今回の

      テーマでもあるランサムウェアを含むマルウェアの脅威から効果的に守る手法としては、検出するためのエンジン&DATを常に最新に

      保っていただく、ほとんどのランサムウェア攻撃はフィッシングメールから始まることが多いため、ユーザのセキュリティ意識を高める

      教育を継続的に実施いただくことが最も重要です。

       

      以上

       

      インテルセキュリティ 工藤

       

      Tomohiro Kudo
      VSE/ePO/MA Support Engineering Operations, Japan
      Intel Security

        • 1. Re: 【TIPS】ランサムウェアに関して
          tkudo

          皆さん、こんにちわ
          インテルセキュリティ テクニカルサポートセンターです。

           

          最近のランサムウェアの新種/亜種を含め、実に多くのマルウェアが日々出現しています。
          この脅威に対抗するよう、弊社でもさまざまな検出シグネチャの実装を日々取り組んでいますが、それでもDATリリーススケジュール等の兼ね合いなどで、
          最新のDAT/エンジンをご使用いただいても検出できないマルウェアが発生するケースが発生してしまうことがございます。弊社では、そのような場合でも
          お客様から不審な動作をするファイルをサンプル提供いただくことにより、そのサンプルをベースに解析のうえ、緊急対策用の検出DAT(Extra.dat)を
          提供させていただき、未知の脅威を検出することが可能です。

           

          今回は Windows システム上でランサムウェアのような、不審な動作をするプロセスを特定するための方法を以下にご案内させていただきます。

           

           

          1st Step:
          最近のRansomwareの挙動として、実行された後に自分自身を削除する挙動も確認できておりますため、本体が残っていない可能性もございますが、
          システムで C:\Users\<ユーザ名>\AppData\Roaming\ フォルダをご確認いただき、もし%APPDATA% フォルダ直下または %APPDATA%\Roaming
          フォルダ直下にexeファイルやdatファイル等残っておりましたら、そちらをサンプルとして以下の手順にて、弊社マルウェア解析機関(McAfee Labs)へ
          ご提供ください。

           

          2st Step:
          マイクロソフト社の Process Monitor を使用した、不正なファイル生成元の特定

          ---------------------<Process Monitorの使い方>---------------------
          1. Process Monitor のダウンロードサイト
             http://technet.microsoft.com/ja-jp/sysinternals/bb896645(en-us).aspx

             このページに以下のようなダウンロードリンクがございます。
             Download Process Monitor (1.2 MB)

          2. ダウンロードした、ProcessMonitor.zipを解凍した中の、Procmon.exeを実行します。
          3. 起動と同時に「Process Monitor」のダイアログが現れます。
             -「Process Monitor  Filter」では、ファイルアクセスの記録対象となるプログラム名やファイルパス名などを設定します。
               
          記入例)[Path] [contains] [ファイルパス] then [Include]と指定し、[Add]を押します。そして[OK]をクリックします。

          4. ここで、"Process" で 指定したファイル にアクセスしている別のファイルがないか確認します。
             また、怪しいプログラム名 が Request で "WRITE"や"OPEN"を行っているファイルがないか確認します。

          5. 手順4. で見つけたファイルを任意のフォルダにコピーいただき、そちらをサンプルとして以下の手順にて、弊社マルウェア解析機関(McAfee Labs)へ
             提供ください。
            

          弊社マルウェア解析機関(McAfee Labs)へのサンプルご提出方法:
          https://kc.mcafee.com/corporate/index?page=content&id=KB68030&actp=null&viewloca le=ja_Jp

           

          以上

           

          Tomohiro Kudo
          VSE/ePO/MA Support Engineering Operations, Japan
          Intel Security