セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

CryptXXXが猛威。TeslaCryptのマスターキーが配布もすぐ次の脅威

TeslaCryptの収束、は束の間でした。

CryptXXX Ransomware: Simple, Evasive, Effective

世界で1番数が多かったランサムウェア(身代金ウイルス)の(国内で俗に言う)TeslaCrypt(vvvウイルス)がマスターキーを公開したニュースがつい先日ありました。

感染して社内のファイルが読み込めなくされてしまっても、用意されている手順を行えば、戻せるようになった!

ということで大きくニュースになりましたが(そもそも、こういったニュースに疎くて、戻し方を知らない人にはまだまだTeslaCryptは有効ですが)思ったよりも早く、次の脅威がやってきてしまいました。

ドラゴンボールの新しい敵の出現よりもペースが早いですね。

TeslaCryptの次は、CryptXXX

CryptXXXという、新しいランサムウェアがまた、どんどん拡大しています。
メール添付されるNemucod(他のマルウェアに感染させる仕組みを持っているマルウェア)が感染する先も、早々にTeslaCryptから、CryptXXXに切り替わって行ってます。

CryptXXXの動き

TeslaCryptに非常に似ていると言いながら違いについて、記事冒頭リンク先のCheck Point blogでは触れられています。
・ライブラリ形式なので単体で起動せず、Windowsのシステムファイルに依存して起動する

・シャドウコピーを特に消さない(システムの復元操作で元に戻せそう)
・自分を消す仕組みを持っていない(他のランサムウェアはサンプルを見つけられるのを嫌がり自分を消すことが多い)

見分ける方法として、
”ダウンロードしてきたフォルダ上で、動くはずのないsvchost.exeが動作している。”

若干、従来のランサムウェアよりも事後対応が簡単そうです

実は、いろいろなランサムウェアの復旧について色々な海外ブログなどで深く調べていくと、手間さえかければ荒らされた後でも元に戻せるものが多く(絶対ではありません)どうやっても不可能なものは、そう多くありません。
とはいえ、一旦かかると、元に戻すのに多大な労力がかかるランサウェアです。

CryptXXXについては、そのうちまた対策が世間に広く公開されそうな気がしますが今後のランサムウェアを取り巻く世間の流れは次のようになっていくのではないかなと思われます。

(1)簡単でも次々新しいランサムウェアが世に出て
(2)そのうち解除できる方法やツールが公開され
(3)また簡単でも次々新しいランサムウェアが世に出て

対応の仕方を情報収集できない人達(いわゆる、情報弱者)が右往左往しなければならなくなるようになっていきそうです。

Check Pointの対応

今回のCryptXXXに感染させる仕組み、Anglerという名前の Exploit kit(感染させる仕組み)はCheck Point 全機種で止めることができます。
下記の通り
・AntiVirus(ウイルス対策)機能
(Trojan-Ransom.Win32.CryptXXX)
の機能で対策済、Check Point全機種で対策のためのシグニチャ(定義ファイル)を持っていて最新のものが常に更新されています。

と発表されています。

  • img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る