セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

WannaCryランサムウェア感染とロールバック(回復)

2017年5月12日前後に大規模キャンペーンが起こった
マルウェアダウンローダ型/ドロップ型/ワーム型 ランサムウェア
WannaCry(ワナクライ:泣きたい)の暗号化の様子と、
アンチランサムウェア機能による復元の様子を動画でご紹介します。

SandBlast AgentをWindowsに導入しておいたので、
アンチランサムウェア機能が動作している様子を見ることができます。
サンドボックス検査と、アンチボット検査をオフにした状態で
わざと、感染源となるファイルを開いてみたところ、暗号化が始まると同時に
SandBlast Agentにより、ランサムウェアが動作したことを検出します。

暗号化後に自動的に暗号化前の状態に戻す動作、
退避していたファイルをロールバック(復元)しています。

気をつけるべきなのは、今回のWannnaCryは、
感染源がメールの添付ファイルだけではない点です。

WannaCryは感染した端末を社内持ち込むなどで、
自動的に社内のPCの古いファイル共有プロトコルの脆弱性を狙って
広がっていく仕組みをもった、ワーム型のマルウェアでもあります。

・Microsoftから緊急で配信されている、パッチファイルの更新や
・古いファイル共有プロトコルSMBv1(サンバ バージョン1)を停止する
(今回、SMBv1がまだ規定値で有効であるパッチ未更新のWindows7が感染PCの98%ということです。)
などの対策が必要です。

動画URL(https)
youtu.be/Z_cZjn5MEBA

SandBlast Agentは、6月1日に販売開始いたします。

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る