セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

ランサムウェア「GandCrab」バージョン4にアップデート

ランサムウェア「GandCrab」がバージョン4にアップデートされました。
GandCrabは2018年1月に登場したランサムウェアで、Internet Explorer や Flash Player の脆弱性を突いて、JavaScriptやFlash、VBscriptをベースにした攻撃を仕掛けてきました。
「サービスとしてのマルウェア」として安価に利用することができ、頻繁にアップデートされているのも大きな特徴です。
今回のアップデートでは、暗号化がより高速になり、配布方法にも変更が加わりました。

感染手口

GandCrabに感染すると、一般的なランサムウェアと同様にファイルが暗号化され、拡張子が「.CRAB」に変更されます。
変更された拡張子を元に戻しても開くことはできません。
1ファイルだけは無料で復号できる機能も搭載されていますが、これは被害者に「身代金を支払えばファイルを元に戻せる」と思わせることが目的と考えられています。

バージョン4のGandCrabは、乗っ取られたWordPressサイト経由で配布されます。乗っ取られたウェブサイトにアクセスすると、システムツールのダウンロードを促されますが、実際にはGandCrabによる暗号化が始まります。
暗号化アルゴリズムが「RSA-2048」から「Salsa20」に変更されたことで、ファイルの暗号化がより高速になったのもバージョン4の特徴です。また、インターネット接続なしで暗号化を行えるようになった他、SMBの脆弱性を利用した感染拡大を実現しています。そのため、Windows XPやWindows Server 2003で動作している端末は、仮に直接インターネット接続をしていなかったとしても被害に遭うリスクに晒されます。

対処方法

GandCrabを回避するためには、信頼できないウェブサイトからファイルをダウンロードしないことです。
とはいえ、GandCrabの実行ファイルやダウンロードリンクは頻繁に更新されており、再び配布方法が変わる可能性もあります。
変化する感染手口に対処するためにはアンチウイルスソフトのパターンファイルを最新の状態にしておくことが必要です。
更に、続々と登場する亜種や新バージョンに対抗するために、パターンファイルに頼らないセキュリティ対策を取ることが大切です。

FFRI yaraiは先読み技術によって様々な未知のマルウェアを検出してきました。
GandCrabによる攻撃も被害発生以前にリリースされたバージョンで検知・防御しています。

img_fs_01-1
 img_yarai_ロゴ大

参考(外部リンク)

ランサムウェア「GandCrab」 vs. FFRI yarai
ランサムウェア「GandCrab」がv4にアップデート、暗号化がより高速に

記事一覧に戻る