WannaCryをまとめてみた

ここ数日、世界を騒がせたランサムウェアであるWannaCryについて、メモ書きしておきます。
標的は主に企業などの大規模ネットワークであり、SMBというファイル共有プロトコルの脆弱性を突いて悪質なファイルをコピーしていきます。
感染すると、ファイルは暗号化され、脅迫文が表示されます。提示金額を支払えばファイルは復号化される?かもですが、望みは薄いです。

スポンサーリンク:

WannaCryの特徴

まず、WannaCryって結局なに?ってところです。

WannaCryはSMBv1の脆弱性である「MS17-010」を突っついたランサムウェアです。


Server Message Block (SMB) は、主にWindowsで使用されているOSI参照モデル第7層アプリケーション層部分の独自通信プロトコルの総称。 LANを通じてファイル共有やプリンタ共有などの実現に使用される。 認証つきプロセス間通信機構としても動作する。
引用 – Wikipedia

要は、WindowsOSで使用されているファイル共有プロトコルの穴である「MS17-010」を狙われているということです

また、感染したPCからネットワーク経由でSMBv1を使用しているPCを探して、攻撃をするため、ワーム活動も持ち合わせている曲者です。

まずは、LAN内のすべてのIPアドレスを取得してきて、SMB(445番ポート)を探索します。
その次に、インターネットを標的にし、無作為にスキャンを行います。

そして、445番ポートが開いているIPアドレスを発見すると、第4オクテットが0~255の範囲すべての端末をスキャンします。

WannaCryの症状

WannaCryがダウンロードされたPCでは、Microsoft Security Center(2.0)というサービスとして実行されます。

WannaCryに感染したPCの症状は、以下のような脅迫文とファイルの暗号化されちゃいます。
wannacry

攻撃の流れとしては、下記の通りです。

  1. 脆弱性(MS17-010)を利用して進入
  2. Microsoft Security Centerとして不正なファイル(mssecsvc.exe)の実行
  3. ランサムウェアとして振る舞うtasksche.exeの生成
  4. 脅迫状の表示
  5. 176種類のファイル拡張子のファイルを暗号化

暗号化されるファイルの種類についてはこちらを参考にして頂ければと思います。

WannaCryの被害状況

2017年5月13日時点でのWannaCryによる被害報道は以下の通りです。

  • イギリス:NHS(医療機関、複数拠点で急患対応や手術不能に)、 日産自動車(工場で被害)
  • ロシア:銀行、内務省(1000台)、保険・社会開発省、国営鉄道、携帯通信会社
  • スペイン:テレフォニカ(テレコム)、イベルドロラ(電力)、Gas Natural(ガス)
  • ドイツ:鉄道(電光掲示板などに脅迫文表示)
  • フランス:ルノー(複数の工場が操業停止)
  • ポルトガル:ポルトガルテレコム(テレコム)
  • アメリカ:FedEx

一般企業の他に医療系、国鉄、通信会社にも影響が及んでおり、手術が停止されたケースもあるそうです。んー迷惑な話ですね(´_ゝ`)

また、被害状況をリアルタイムで反映したマップが公開されております。
wannacry

WannaCryの対策

WannaCryの標的はSMBv1です。
そのため、SMBv1しかサポートされていないWindows XPやWindows Server 2003といったレガシーシステムが主な対象となります。

まずは、Microsoftから提供されているWindows Updateを行いましょう。
Windows Update カタログ
パッチの適応により、被害拡大はある程度抑えることができるでしょう。
SMBを無効化しておくのも一つの手ですね。

但し、完全にふさぐのであれば、やはりランサムウェアのファイルのパターンを検知できるウィルス対策システムを導入しておく必要があります。

万が一のために重要なデータのバックアップは必ずしておきましょう。
脅迫文に表示されている金額を払ったところで、ファイルが復号化されるとは限りません。
WannaCryの場合、お試し復号の機能があり、ファイルの復号が可能であることは確認されているのですが、保証はできません。

スポンサーリンク