WCry: 既知のこと、未知のこと

アンディ・パテル

現時点で歴史上最大の感染拡散をした暗号化ランサムウェア、WCry、WannaCry、Wana Decrypt0rについては、すでに聞き覚えがあるに違いない。昨日の午後にその姿を現した後、多くの事実が飛び交っていた。これまでにわかったことと、まだわかっていないことをまとめてみた。

WCryは現時点で、わずか2万5000ドルしか儲けていない。

#WannaCry authors have currently approx. 3.2 bitcoins ($5,447 USD) on their wallets, not that much actually. #ransomware

— x0rz (@x0rz) May 12, 2017

WannaCryの開発者は、約3.2ビットコイン（5,447 米ドル）を手にしている。あまり大した額ではない。

― x0rz @x0rz 13 May 2017

彼らは、現時点で、約14.373ビットコイン（約24,660米ドル）を儲けた。

― x0rz @x0rz 6.02PM-13 May 2017

コード内で見つかった「キルスイッチ」のドメイン名を「偶然の英雄」が登録したおかげで、WCryの拡散スピードを抑えることができた。

'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack https://t.co/xnjPzbV2Ec

— Guardian Tech (@guardiantech) May 13, 2017

「偶然の英雄」がランサムウェアのサイバー攻撃の拡散を止めるキルスイッチを発見

― Guardian Tech @guardiantech 10:43 AM – 13 May 2017

しかし、そのコードを少し編集して再びリリースすれば、あっという間に広がり始める。

It's very important everyone understands that all they need to do is change some code and start again. Patch your systems now! https://t.co/L4GIPLGKEs

— MalwareTech (@MalwareTechBlog) May 13, 2017

コードを少し変更するだけで、また攻撃できてしまうことの周知が大切だ。今すぐあなたのシステムにパッチを当てよう！

― MalwareTech @MalwareTechBlog 9:36 AM – 13 May 2017

WCryの被害は、フランクフルトの駅など、多くの公共の場所でも目撃されている。

Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p

— Marco Aguilar (@Avas_Marco) May 12, 2017

ちょうどフランクフルトに着いてこれを撮ったけど、#Sbahn、きみは#Ransomwareに感染してるよ！

― Marco Aguilar @Avas_Marco 4:03 AM – 13 May 2017

目抜き通りの店でも…

This is the day #wcry pic.twitter.com/yGPGfXDkNi

— Vladimir Ivanov (@ivladdalvi) May 13, 2017

今日は#WCryの日だ。

― Vladimir Ivanov @ivladdalvi 4:22 PM – 13 May 2017

教育現場でも…

A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv

— Memesterchef (@dodicin) May 12, 2017

大学の研究室に広がるランサムウェア

― １２Ｂ @dodicin 8:24 PM – 12 May 2017

WCryは、リバースエンジニアリングが非常に簡単だと言われている。

Morning fun reversing WannaCry. This malware is so easy to understand that I will be using it on future my reverse engineering trainings.

— Joxean Koret (@matalaz) May 13, 2017

WannaCryのリバースエンジニアリングは朝の楽しみ。このマルウェアはとてもわかりやすいから、いつかリバースエンジニアリングのトレーニングで使用するつもりだ。

― Joxean Koret @matalaz 6:04 PM – 13 May 2017

Microsoftは、このマルウェアのせいでWindows XP用のパッチをリリースした。

Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r – by @campuscodi https://t.co/XdI6Uw2AXM

— BleepingComputer (@BleepinComputer) May 13, 2017

Microsoftは、Wana Decrypt0rを防御するため、古いWindowsバージョンのパッチをリリース。

― BleepingComputer @BleepinComputer 6:05 PM – 13 May 2017

多くのユーザを救済するためだ。

"See! I told you we don't have to upgrade from XP!" https://t.co/aiY7MIu6LW

— buherator (@buherator) May 13, 2017

「ほら！だからXPをアップグレードする必要などないって言ったでしょう！」

― buherator @buherator 4:27 PM – 13 May 2017

トライデントミサイルプログラムの運用担当者も巻き込んでいる

Absolutely superbly funny (and accurate!) drama taking place in Tory HQ…. can't stop laughing! #GE2017 #panic : https://t.co/NsYD1oVilI

— Rosie R. (@yorkierosie) May 12, 2017

トーリー党本部を舞台にした絶対に面白い（そして正しい！）ドラマ。笑わずにいられない！

― Rosie R. @yorkierosie 13 May

メイ首相が掲げた「強く安定したリーダーシップ」スローガンは、原子力潜水艦がWindows XPで動作していることを昨日みんなが知った時に、意味がなくなった。

うける。

― Roy Carruthers @rjcruthers 5:52 PM – 13 May 2017

Microsoftでさえ、最初のエントリーベクターがわかっていない。

Has anyone produced any of the actual emails used? I'd love to see them.

— Dan Goodin (@dangoodin001) May 13, 2017

誰か実際に使用された電子メールを作った人はいますか？いるなら見てみたい。

― Dan Goodin @dangoodin001 13 May

Microsoftでさえ持っていない。

― codelancer @codelancer 3:47 PM – 13 May 2017

そう、エフセキュアの製品は、WCryトロイの木馬ランサムウェアをブロックする。実際には、感染ベクター内の複数のメカニズムをブロックする。これまでに当社のシステムにより報告されたWCry関連の検出名は以下のとおり。

Gen:Variant.Graftor.374377
Trojan.GenericKD.5054801
Gen:Variant.Graftor.369176
Application:W32/Generic.e889544aff!Online
Gen:Variant.Ransom.WannaCryptor.1
Trojan.Ransom.WannaCryptor.A
Gen:Trojan.Heur.RP.JtW@aePsbmpi
Trojan.GenericKD.5057843
Application:W32/Generic.5ff465afaa!Online
Suspicious:W32/Malware.c5e6c97e27!Online
Application:W32/Generic.47a9ad4125!Online
Trojan.Ransom.WannaCryptor.D
Gen:Trojan.Heur.RP.JtW@aePsbmp
Trojan.GenericKD.5057554
Suspicious:W32/Malware.e889544aff!Online
Suspicious:W32/Malware.5ff465afaa!Online
Suspicious:W32/Malware.51e4307093!Online
Application:W32/Generic.e3712f9d19!Online

この地図は、エフセキュアがWannaCryをブロックした場所を示している。

最後に注意として、いつものアドバイスが今回も有効だ。すなわち、システムにパッチを当てること。XPを実行しないこと。そして、「コンテンツを有効にする」をクリックしないことだ。

今回の感染拡散に関する他のブログ記事も参照してほしい。
アップデート：脅威の解説へのリンクはこちらから。

テーマのトレンド

WCry: 既知のこと、未知のこと

F-Secure Japan

F-Secure Japan

注目記事

関連する投稿

テーマのトレンド

WCry: 既知のこと、未知のこと

共有

共有

注目記事

関連する投稿