Windowsの「SMB v1」における脆弱性を悪用するランサムウェア「WannaCry」(別名「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WCry」など)について知っておくべきことを株式会社シマンテックが公式ブログにまとめている。その挙動を解説した上で、「誰が影響を受けるか」「組織にとって問題が多いのはなぜか」「暗号化されたファイルは復元できるか」といったFAQに回答している。
WannaCryは、データファイルを暗号化した上で、身代金として300ドルをBitcoinで支払うようユーザーに要求するもの。身代金要求の文面には、3日が経過すると要求金額が2倍になり、7日が過ぎても支払いがなければ暗号化されたファイルを削除すると書かれている。
WannaCry によって表示される身代金要求の画面
身代金要求の文面が書かれた「!Please Read Me!.txt」という名前のファイルも投下される
「.zip」「.mp3」「.jpg」「.raw」「.doc」「.ppt」など、170種類以上の拡張子のファイルを暗号化し、ファイル名の末尾に「.WCRY」という拡張子を追加。暗号化されたファイルの復元は現時点では不可能だが、シマンテックは身代金を支払うことは推奨しておらず、バックアップから復元するよう促している。
メールが主な感染経路となっているため、リンクが記載されていたり、ファイルが添付されているメール、特にマクロを有効にして内容を確認するよう勧めてくるメールには警戒する必要がある。信頼できる差出人から送信された正規のメールであることが絶対に確実な場合を除き、マクロは有効にせず、そのまま削除するよう呼び掛けている。
シマンテックでは、ランサムウェアに備えるためにセキュリティソフトを常に最新状態に保つことを勧めている。最新のWindowsセキュリティ更新プログラムが適用されているコンピューターであれば、感染の心配はないとしている。シマンテックやNortonの製品でもすでに対策済みだそうだ。
重要なデータのバックアップを作成することが、ランサムウェア感染に対抗する最も有効な唯一の手段としている。ただし、バックアップは適切に保護すること、あるいは攻撃者に削除されないようにオフラインに保存するよう促している。
関連リンク シマンテック公式ブログの該当記事 Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
関連記事
被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供
2017年5月15日
MSが3月の月例パッチ公開、2月の公開延期分も含む計18件
2017年3月15日