Quick Heal Security Labは、世界的に拡大したPetyaランサムウェアの新しい脅威についいて報告します。地球規模で瞬く間に拡大した新しいランサムウェアの初期段階にているというものです。今のところこのランサムウェア攻撃の複数のサンプルを各国から収集しています。

我々の分析によると:

Petyaは、フィッシングメールにより拡散しました。メールに添付されているファイルを実行すると、ユーザアクセスコントロール(UAC)のプロンプトが表示されます。しかし、プログラムの実行後、マスタブートレコード(MBR)を暗号化し、ディスク領域全体を暗号化するコードをもった、カスタムブートローダに置き換えます。MFT (Master File Tree)から初めて、ユーザにランサム(身代金)を告知します。コンピュータの全ディスク領域を暗号化することに成功すると、以下のようなランサムプロンプトが表示されます。

このランサムウェアからどうコンピュータか守るか?

Quick Heal およびSeqrite EPS ユーザは、このeternal blueエクスプロイトを利用した、ランサムウェア攻撃から、プロテクトされています。これは、WannaCryランサムウェアが拡散のために利用した際の脆弱性と同じものです。Quick Heal IDSは、eternal blueエクスプロイト攻撃をブロックしています。Quick Healのふるまい検知によりブロックされ、ユーザに対して潜在的な攻撃をユーザに警告を発します。Quick Healのセキュリティ設定は、ONにしておくこと、が肝要です。

Quick Heal Security Labは、常に脅威を監視し、異なるレイヤーに脅威対策のためのアップデートをリリースしています。定期的にリリースされている、すべてのアップデートを実行して、常に最新のQuick Healにしておくことを推奨します。

予防的措置と推奨

  1. 不確定の送信者からのメールのリンクはクリックしない
  2. Eternal Blue関連の脆弱性対処パッチである、MS17-010を含むすべてのマイクロソフトWindowsパッチは、あてておくこと
  3. 自動アップデートは、ONにしておき、常に最新のアップデート状態にしておくこと
  4. 定期的に外部ディスクにデータをバックアップしておくこと
  5. アドミン権限でコンピュータにログインしない。アドミン権限ではなく、ユーザ権限であるアカウントで作業を行うこと

もし自分のPCで被害を確認した場合は、データはどうなっているのでしょう?

もし誤って誰かがプロテクトされていないPC上で、メール中のリンクをクリックし、添付ファイルがダウンロードされて、ランサムウェアを実行してしまった場合、またはコンピュータを再起動する必要のある、ブルースクリーンが表示されてしまった場合でも、コンピュータを再起動せずに、データを保存することが可能です。電源をシャットダウンすること。ブルースクリーンが出てきてしまった場合、MBRだけが置換されており、ディスク領域のデータは、いまだ無傷で、他のクリーンなシステムのハードディスクにマウントすることで、利用可能です。この段階で決して感染しているコンピュータのハードディスク上でブートしないでください。データのマウント後に、データへのアクセス、コピー可能になります。