話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
現在、ウクライナを中心に「GoldenEye」「Petya」「PEtrwrap」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。 この記事では弊社マルウェア解析チームが現時点までに調査した調査内容を掲載します。 はじめに脅威の全体像を簡潔に記載した上で、後半ではより細かい分析結果を中心に解説していきます。 ■今回の攻撃のおおまかな仕組みとマルウェアの挙動について 感染の方法については、サードパーティ製のアプリケーション「MeDoc」経由や、メールに添付されたファイル経由で感染する等、色々な情報が流れていますが、今のところ弊社では確証のある情報は確認できていません。 今回の攻撃の中核となるマルウェア本体のファイル形式はDLLとなります。 マルウェア本体となるDLLファイル(DLLマルウェア①とする)は名前のないエクスポート関数が用意されており、外部からエクス
マカフィーがランサムウェア「Petya」を緊急解説
新たに出現したランサムウェアの大規模な感染によって企業のネットワークが大きく混乱しています。今回の事件の黒幕は、Petyaランサムウェアです。この悪意あるランサムウェアは、感染先のコンピューターのファイルと、PCを起動する際に参照されるマスターブートレコード(MBR)を暗号化して、コンピューターを使用不能にします。 Petyaランサムウェアの存在は2016年3月に確認されていました。このランサムウェアが他のランサムウェアファミリーと異なる点は、コンピューター上のファイルを暗号化するだけでなく、MBR(master boot record)もまた暗号化する点にあります。この二重の攻撃方法により、感染したコンピューターのディスクはアクセス不能になり、ほとんどのユーザーはコンピューターを復旧させることができません。 今日発見されたこのPetyaの新しい亜種では、先月猛威を振るったランサムウェアW
「Petya」系ランサムウェア、ファイル1つで感染防止?--米研究者
今回発生した「Petya」の亜種とみられる最新ランサムウェアの感染には、有効な回復法が見つかっていない。しかし、ある研究者が、たった1つの「Windows」ファイルを作成することで、感染を防止する方法を発見したとしている。 「WannaCry」が世界中に混乱を巻き起こしてから、まだ何カ月も経っていないというのに、今度はPetyaの亜種とされるランサムウェアの攻撃が、さまざまな事業を中断させている。このランサムウェアは現地時間6月27日、ウクライナ、ロシア、デンマーク、英国、米国などで多くの被害を出し、銀行、エネルギー会社、空港などの業務を一時停止の混乱状態に陥らせた。 しかし、感染を防ぐ方法はあるとBleeping Computerが報じている。感染からの回復ではなく、あくまで保護だが、対策に要する時間はほんの数分だという。 Petya系ランサムウェアを調査したCybereasonのセキュ
続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析 |
本ブログでも既報の通り、欧州を中心に暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」の亜種による大規模な攻撃が確認されています。トレンドマイクロでは今回の事例で使用された PETYAの活動について、より詳細な解析を行いました。その結果、「MS17-010」脆弱性(通称:Eternal Blue)の利用以外にも、PsExec や WMICと言ったマイクロソフトが提供する正規ツールを利用したネットワークワーム活動など、PETYA が持つ非常に巧妙な活動が明らかになりました。 ■PsExec と WMIC を利用したネットワークワーム活動 ネットワーク上における PETYA の拡散は EternalBlue によるものだけではありません。マイクロソフトが提供する正規ツール PsExecと、Windows の正規プロセスであり管理技術の中核を担う「Windows ManagementIn
ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「NotPetya」についてまとめてみた - piyolog
2017年6月27日頃からウクライナ、ロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃はランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。 注意喚起等 US-CERT Alert (TA17-181A) Petya Ransomware IPA 感染が拡大中のランサムウェアの対策について 総務省 世界的な不正プログラムの感染被害について(注意喚起)【更新】 インシデントタイムライン NotPetya、ウクライナ、M.E.docの動きをまとめると次の通り。 日時 出来事 2017年4月14日 M.E.docがアップデート(10.01.175-10.01.176)。アップデートファイルにバックドアが混入していた恐れ。 2017年5月15日 M.E.docがアップデート(10.01.180-10.01
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ランサムウェア「GoldenEye」、侵入後は脆弱性以外の手法で感染拡大、暗号化されたファイルの復号は不能? 
