- HOME
- セキュリティ最新ニュース
- Check Pointはすでにランサムウェア Locky の対策済です。
Security
Check Pointはすでにランサムウェア Locky の対策済です。
ランサムウェアLocky対応について
Check Pointでの対応状況が掲載されているのでご紹介致します。
Check Point Blog (2/22)記事
Check Point Threat Alert: Locky Ransomware
【記事(概要)】
- 請求書を装った添付のWord Documentを開くと感染する新種の身代金ウイルスが出ている。
- 毎秒1〜5台のペースで感染PCが増えてきている
- 少しの日数で、55000台を超えるPCへの感染が起きている
【記事(Check Pointの防御)】
- 2/1から(記事の2/22までに)Check Point SandBlastは1,000を超えるLockyファイルをブロックしている。
- Check PointのIPS機能は既にLockyを検知してブロックするように2つの防御を持っている。
- アンチボット機能でも、(Trojan-Ransom.Win32.Locky.A)という定義ファイルを持っていてLockyがアクセスする先の指令サーバー(攻撃者)との通信をカットしている。
- アンチヴィールス機能では、200以上の既知の危ないドメイン情報などを掴んでいる
- アンチbot機能では、114の指令サーバのLocky通信をカットするための定義情報を持っている。
【コメント】
- Lockyに感染する仕組みを止める事はIPSの設定をする事で可能です。(600シリーズの場合追加設定を確認する必要が有ります)
- 600/700シリーズに関わらず、IPS未設定でもアンチヴィールス、アンチボット、URL Filteringの各機能で感染後のデータ流出やウイルスに感染する動きを止める動きをします。
- 700シリーズのIPSの設定値を確認すると、ほとんどのExploit Kit(Web上にあるLockyやTeslaCryptなどのランサムウェアを含む各種ウイルスに感染させる仕組み)を感染前に自動的にブロックする設定になっていました。TeslaCrypt(.vvvウイルス)のブロック設定手順記事で触れていたxploit KitのAnglerやNuclearなども、初期値でブロックされるように設定されてました。【参考画像】(クリックすると拡大されます)
【4/1 追記】
- 実際に検証環境にLocky入りのメール添付zipファイルを解凍して、中のjavascriptファイルを実行してみた結果【アンチウイルス機能】と【URLフィルタリング機能】の2機能で 【Lockyが外部の悪意の(C&C)サーバと接続してキー発行する動き】を止めることで、被害を止める様子がCheck Pointの管理画面内ログで見つかりました。(クリックで拡大)
- レポートを見てみると、確かにLockyが確認されています。
【4/7追記】
3/23のCheck point社Blog Lockyランサムウェアについての翻訳記事を追加しました。