ランサムウェアLocky対応について

Check Pointでの対応状況が掲載されているのでご紹介致します。

Check Point Blog　(2/22)記事
Check Point Threat Alert: Locky Ransomware

【記事（概要）】

• 請求書を装った添付のWord Documentを開くと感染する新種の身代金ウイルスが出ている。
• 毎秒１〜５台のペースで感染PCが増えてきている
• 少しの日数で、55000台を超えるPCへの感染が起きている

【記事（Check Pointの防御）】

• 2/1から（記事の2/22までに）Check Point SandBlastは1,000を超えるLockyファイルをブロックしている。
• Check PointのIPS機能は既にLockyを検知してブロックするように2つの防御を持っている。
  • Microsoft Office Mail Attachment Containing Malicious Downloader
  • Suspicious Executable Mail Attachment
• アンチボット機能でも、(Trojan-Ransom.Win32.Locky.A)という定義ファイルを持っていてLockyがアクセスする先の指令サーバー（攻撃者）との通信をカットしている。
• アンチヴィールス機能では、200以上の既知の危ないドメイン情報などを掴んでいる
• アンチbot機能では、114の指令サーバのLocky通信をカットするための定義情報を持っている。

【コメント】

• Lockyに感染する仕組みを止める事はIPSの設定をする事で可能です。(600シリーズの場合追加設定を確認する必要が有ります）
• 600/700シリーズに関わらず、IPS未設定でもアンチヴィールス、アンチボット、URL Filteringの各機能で感染後のデータ流出やウイルスに感染する動きを止める動きをします。
• 700シリーズのIPSの設定値を確認すると、ほとんどのExploit Kit（Web上にあるLockyやTeslaCryptなどのランサムウェアを含む各種ウイルスに感染させる仕組み）を感染前に自動的にブロックする設定になっていました。TeslaCrypt（.vvvウイルス）のブロック設定手順記事で触れていたxploit KitのAnglerやNuclearなども、初期値でブロックされるように設定されてました。【参考画像】（クリックすると拡大されます）
  

【4/1 追記】

• 実際に検証環境にLocky入りのメール添付zipファイルを解凍して、中のjavascriptファイルを実行してみた結果【アンチウイルス機能】と【URLフィルタリング機能】の２機能で 【Lockyが外部の悪意の(C&C）サーバと接続してキー発行する動き】を止めることで、被害を止める様子がCheck Pointの管理画面内ログで見つかりました。（クリックで拡大）
   
• レポートを見てみると、確かにLockyが確認されています。
  

【4/7追記】

3/23のCheck point社Blog Lockyランサムウェアについての翻訳記事を追加しました。

【Check Point記事翻訳】Lockyランサムウェア