WCry: 既知のこと、未知のこと

現時点で歴史上最大の感染拡散をした暗号化ランサムウェア、WCry、WannaCry、Wana Decrypt0rについては、すでに聞き覚えがあるに違いない。昨日の午後にその姿を現した後、多くの事実が飛び交っていた。これまでにわかったことと、まだわかっていないことをまとめてみた。

著者: F-Secure Business Security Insider
日付: 2017年05月22日
読了時間: 2 分

アンディ・パテル

現時点で歴史上最大の感染拡散をした暗号化ランサムウェア、WCry、WannaCry、Wana Decrypt0rについては、すでに聞き覚えがあるに違いない。昨日の午後にその姿を現した後、多くの事実が飛び交っていた。これまでにわかったことと、まだわかっていないことをまとめてみた。

WCryは現時点で、わずか2万5000ドルしか儲けていない。

WannaCryの開発者は、約3.2ビットコイン(5,447 米ドル)を手にしている。あまり大した額ではない。

― x0rz @x0rz 13 May 2017

彼らは、現時点で、約14.373ビットコイン(約24,660米ドル)を儲けた。

x0rz @x0rz 6.02PM-13 May 2017

コード内で見つかった「キルスイッチ」のドメイン名を「偶然の英雄」が登録したおかげで、WCryの拡散スピードを抑えることができた。

「偶然の英雄」がランサムウェアのサイバー攻撃の拡散を止めるキルスイッチを発見

Guardian Tech @guardiantech 10:43 AM – 13 May 2017

しかし、そのコードを少し編集して再びリリースすれば、あっという間に広がり始める。

コードを少し変更するだけで、また攻撃できてしまうことの周知が大切だ。今すぐあなたのシステムにパッチを当てよう!

MalwareTech @MalwareTechBlog 9:36 AM – 13 May 2017

WCryの被害は、フランクフルトの駅など、多くの公共の場所でも目撃されている。

ちょうどフランクフルトに着いてこれを撮ったけど、#Sbahn、きみは#Ransomwareに感染してるよ!

― Marco Aguilar @Avas_Marco 4:03 AM – 13 May 2017

目抜き通りの店でも…

今日は#WCryの日だ。

― Vladimir Ivanov @ivladdalvi 4:22 PM – 13 May 2017

教育現場でも…

大学の研究室に広がるランサムウェア

― 12B @dodicin 8:24 PM – 12 May 2017

WCryは、リバースエンジニアリングが非常に簡単だと言われている。

WannaCryのリバースエンジニアリングは朝の楽しみ。このマルウェアはとてもわかりやすいから、いつかリバースエンジニアリングのトレーニングで使用するつもりだ。

― Joxean Koret @matalaz 6:04 PM – 13 May 2017

Microsoftは、このマルウェアのせいでWindows XP用のパッチをリリースした。

Microsoftは、Wana Decrypt0rを防御するため、古いWindowsバージョンのパッチをリリース。

― BleepingComputer @BleepinComputer 6:05 PM – 13 May 2017

多くのユーザを救済するためだ。

「ほら!だからXPをアップグレードする必要などないって言ったでしょう!」

― buherator @buherator 4:27 PM – 13 May 2017

トライデントミサイルプログラムの運用担当者も巻き込んでいる

トーリー党本部を舞台にした絶対に面白い(そして正しい!)ドラマ。笑わずにいられない!

― Rosie R. @yorkierosie 13 May

メイ首相が掲げた「強く安定したリーダーシップ」スローガンは、原子力潜水艦がWindows XPで動作していることを昨日みんなが知った時に、意味がなくなった。

うける。

― Roy Carruthers @rjcruthers 5:52 PM – 13 May 2017

Microsoftでさえ、最初のエントリーベクターがわかっていない。

誰か実際に使用された電子メールを作った人はいますか? いるなら見てみたい。

― Dan Goodin @dangoodin001 13 May

Microsoftでさえ持っていない。

― codelancer @codelancer 3:47 PM – 13 May 2017

そう、エフセキュアの製品は、WCryトロイの木馬ランサムウェアをブロックする。実際には、感染ベクター内の複数のメカニズムをブロックする。これまでに当社のシステムにより報告されたWCry関連の検出名は以下のとおり。

Gen:Variant.Graftor.374377
Trojan.GenericKD.5054801
Gen:Variant.Graftor.369176
Application:W32/Generic.e889544aff!Online
Gen:Variant.Ransom.WannaCryptor.1
Trojan.Ransom.WannaCryptor.A
Gen:Trojan.Heur.RP.JtW@aePsbmpi
Trojan.GenericKD.5057843
Application:W32/Generic.5ff465afaa!Online
Suspicious:W32/Malware.c5e6c97e27!Online
Application:W32/Generic.47a9ad4125!Online
Trojan.Ransom.WannaCryptor.D
Gen:Trojan.Heur.RP.JtW@aePsbmp
Trojan.GenericKD.5057554
Suspicious:W32/Malware.e889544aff!Online
Suspicious:W32/Malware.5ff465afaa!Online
Suspicious:W32/Malware.51e4307093!Online
Application:W32/Generic.e3712f9d19!Online

この地図は、エフセキュアがWannaCryをブロックした場所を示している。

最後に注意として、いつものアドバイスが今回も有効だ。すなわち、システムにパッチを当てること。XPを実行しないこと。そして、「コンテンツを有効にする」をクリックしないことだ。

今回の感染拡散に関する他のブログ記事も参照してほしい。
アップデート:脅威の解説へのリンクはこちらから


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中