アンディ・パテル
現時点で歴史上最大の感染拡散をした暗号化ランサムウェア、WCry、WannaCry、Wana Decrypt0rについては、すでに聞き覚えがあるに違いない。昨日の午後にその姿を現した後、多くの事実が飛び交っていた。これまでにわかったことと、まだわかっていないことをまとめてみた。
WCryは現時点で、わずか2万5000ドルしか儲けていない。
#WannaCry authors have currently approx. 3.2 bitcoins ($5,447 USD) on their wallets, not that much actually. #ransomware
— x0rz (@x0rz) May 12, 2017
WannaCryの開発者は、約3.2ビットコイン(5,447 米ドル)を手にしている。あまり大した額ではない。
― x0rz @x0rz 13 May 2017
彼らは、現時点で、約14.373ビットコイン(約24,660米ドル)を儲けた。
― x0rz @x0rz 6.02PM-13 May 2017
コード内で見つかった「キルスイッチ」のドメイン名を「偶然の英雄」が登録したおかげで、WCryの拡散スピードを抑えることができた。
'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack https://t.co/xnjPzbV2Ec
— Guardian Tech (@guardiantech) May 13, 2017
「偶然の英雄」がランサムウェアのサイバー攻撃の拡散を止めるキルスイッチを発見
― Guardian Tech @guardiantech 10:43 AM – 13 May 2017
しかし、そのコードを少し編集して再びリリースすれば、あっという間に広がり始める。
https://twitter.com/MalwareTechBlog/status/863191272969973760
コードを少し変更するだけで、また攻撃できてしまうことの周知が大切だ。今すぐあなたのシステムにパッチを当てよう!
― MalwareTech @MalwareTechBlog 9:36 AM – 13 May 2017
WCryの被害は、フランクフルトの駅など、多くの公共の場所でも目撃されている。
Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p
— Marco (@AvasMarco) May 12, 2017
ちょうどフランクフルトに着いてこれを撮ったけど、#Sbahn、きみは#Ransomwareに感染してるよ!
― Marco Aguilar @Avas_Marco 4:03 AM – 13 May 2017
目抜き通りの店でも…
https://twitter.com/ivladdalvi/status/863293308403015680
今日は#WCryの日だ。
― Vladimir Ivanov @ivladdalvi 4:22 PM – 13 May 2017
教育現場でも…
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— anita max wynn (@dodicin) May 12, 2017
大学の研究室に広がるランサムウェア
― 12B @dodicin 8:24 PM – 12 May 2017
WCryは、リバースエンジニアリングが非常に簡単だと言われている。
Morning fun reversing WannaCry. This malware is so easy to understand that I will be using it on future my reverse engineering trainings.
— Joxean Koret (@joxean@mastodon.social) (@matalaz) May 13, 2017
WannaCryのリバースエンジニアリングは朝の楽しみ。このマルウェアはとてもわかりやすいから、いつかリバースエンジニアリングのトレーニングで使用するつもりだ。
― Joxean Koret @matalaz 6:04 PM – 13 May 2017
Microsoftは、このマルウェアのせいでWindows XP用のパッチをリリースした。
Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r – by @campuscodihttps://t.co/XdI6Uw2AXM
— BleepingComputer (@BleepinComputer) May 13, 2017
Microsoftは、Wana Decrypt0rを防御するため、古いWindowsバージョンのパッチをリリース。
― BleepingComputer @BleepinComputer 6:05 PM – 13 May 2017
多くのユーザを救済するためだ。
"See! I told you we don't have to upgrade from XP!" https://t.co/aiY7MIu6LW
— @buherator@infosec.place (@buherator) May 13, 2017
「ほら!だからXPをアップグレードする必要などないって言ったでしょう!」
― buherator @buherator 4:27 PM – 13 May 2017
トライデントミサイルプログラムの運用担当者も巻き込んでいる
Absolutely superbly funny (and accurate!) drama taking place in Tory HQ…. can't stop laughing! #GE2017 #panic : https://t.co/NsYD1oVilI
— Rosie R. (@yorkierosie) May 12, 2017
トーリー党本部を舞台にした絶対に面白い(そして正しい!)ドラマ。笑わずにいられない!
― Rosie R. @yorkierosie 13 May
メイ首相が掲げた「強く安定したリーダーシップ」スローガンは、原子力潜水艦がWindows XPで動作していることを昨日みんなが知った時に、意味がなくなった。
うける。
― Roy Carruthers @rjcruthers 5:52 PM – 13 May 2017
Microsoftでさえ、最初のエントリーベクターがわかっていない。
https://twitter.com/dangoodin001/status/863283642205782016
誰か実際に使用された電子メールを作った人はいますか? いるなら見てみたい。
― Dan Goodin @dangoodin001 13 May
Microsoftでさえ持っていない。
― codelancer @codelancer 3:47 PM – 13 May 2017
そう、エフセキュアの製品は、WCryトロイの木馬ランサムウェアをブロックする。実際には、感染ベクター内の複数のメカニズムをブロックする。これまでに当社のシステムにより報告されたWCry関連の検出名は以下のとおり。
Gen:Variant.Graftor.374377
Trojan.GenericKD.5054801
Gen:Variant.Graftor.369176
Application:W32/Generic.e889544aff!Online
Gen:Variant.Ransom.WannaCryptor.1
Trojan.Ransom.WannaCryptor.A
Gen:Trojan.Heur.RP.JtW@aePsbmpi
Trojan.GenericKD.5057843
Application:W32/Generic.5ff465afaa!Online
Suspicious:W32/Malware.c5e6c97e27!Online
Application:W32/Generic.47a9ad4125!Online
Trojan.Ransom.WannaCryptor.D
Gen:Trojan.Heur.RP.JtW@aePsbmp
Trojan.GenericKD.5057554
Suspicious:W32/Malware.e889544aff!Online
Suspicious:W32/Malware.5ff465afaa!Online
Suspicious:W32/Malware.51e4307093!Online
Application:W32/Generic.e3712f9d19!Online
この地図は、エフセキュアがWannaCryをブロックした場所を示している。
最後に注意として、いつものアドバイスが今回も有効だ。すなわち、システムにパッチを当てること。XPを実行しないこと。そして、「コンテンツを有効にする」をクリックしないことだ。
今回の感染拡散に関する他のブログ記事も参照してほしい。
アップデート:脅威の解説へのリンクはこちらから。
カテゴリ