セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

Check Pointはすでにランサムウェア Locky の対策済です。

ランサムウェアLocky対応について

Check Pointでの対応状況が掲載されているのでご紹介致します。

Check Point Blog (2/22)記事
Check Point Threat Alert: Locky Ransomware

【記事(概要)】

  • 請求書を装った添付のWord Documentを開くと感染する新種の身代金ウイルスが出ている。
  • 毎秒1〜5台のペースで感染PCが増えてきている
  • 少しの日数で、55000台を超えるPCへの感染が起きている

【記事(Check Pointの防御)】

  • 2/1から(記事の2/22までに)Check Point SandBlastは1,000を超えるLockyファイルをブロックしている。
  • Check PointのIPS機能は既にLockyを検知してブロックするように2つの防御を持っている。
  • アンチボット機能でも、(Trojan-Ransom.Win32.Locky.A)という定義ファイルを持っていてLockyがアクセスする先の指令サーバー(攻撃者)との通信をカットしている。
  • アンチヴィールス機能では、200以上の既知の危ないドメイン情報などを掴んでいる
  • アンチbot機能では、114の指令サーバのLocky通信をカットするための定義情報を持っている。

【コメント】

  • Lockyに感染する仕組みを止める事はIPSの設定をする事で可能です。(600シリーズの場合追加設定を確認する必要が有ります)
  • 600/700シリーズに関わらず、IPS未設定でもアンチヴィールス、アンチボット、URL Filteringの各機能で感染後のデータ流出やウイルスに感染する動きを止める動きをします。
  • 700シリーズのIPSの設定値を確認すると、ほとんどのExploit Kit(Web上にあるLockyやTeslaCryptなどのランサムウェアを含む各種ウイルスに感染させる仕組み)を感染前に自動的にブロックする設定になっていました。TeslaCrypt(.vvvウイルス)のブロック設定手順記事で触れていたxploit KitのAnglerやNuclearなども、初期値でブロックされるように設定されてました。【参考画像】(クリックすると拡大されます)
    750_exploit 2

【4/1 追記】

  • 実際に検証環境にLocky入りのメール添付zipファイルを解凍して、中のjavascriptファイルを実行してみた結果【アンチウイルス機能】と【URLフィルタリング機能】の2機能で 【Lockyが外部の悪意の(C&C)サーバと接続してキー発行する動き】を止めることで、被害を止める様子がCheck Pointの管理画面内ログで見つかりました。(クリックで拡大)
    スクリーンショット 2016-03-31 13.53.25 
  • レポートを見てみると、確かにLockyが確認されています。
    スクリーンショット 2016-03-31 14.52.35

【4/7追記】

3/23のCheck point社Blog Lockyランサムウェアについての翻訳記事を追加しました。

【Check Point記事翻訳】Lockyランサムウェア

 

 

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る