2017/06/27

ランサムウェア「Petya 2.0」

2017 年 6 月 27 日 Marc Laliberte 著

今日のニュースで、世界中で拡大している悪質なランサムウェア亜種の記事をご覧になった方も多いのではないでしょうか。Petya 2.0(NotPetyaと呼ぶ研究者もいます)はすでに、ヨーロッパ、ロシア、米国に拡大し、海運会社のマースク、米国ピッツバーグの医療機関、ウクライナの複数の銀行も被害に遭いました。

Petya 2.0 は、昨年の Petya と同様に、個々のファイルではなく、被害者のコンピュータ上の MBR(マスターブートレコード)を暗号化します。MBR が暗号化されてしまうと、被害者のコンピュータが完全にロックされ、身代金を払って復号鍵を入力するまで利用できなくなります。Windows が起動する代わりに、身代金要求メッセージがコンピュータに表示され、指定されたウォレットアドレスにビットコインで 300 ドルを送金し、復号鍵を受け取るための一意の ID を電子メールで送信するよう指示されます。

攻撃者のビットコインウォレットアドレスの取引をたどると、コンピュータのアクセスを復元したいと考えた被害者によって、すでに総額で数千ドルの身代金が支払われているようです。残念ながら、身代金要求メッセージで使用されている電子メールアドレスの電子メールホスティングプロバイダによって、攻撃者のアカウントがロックされています。つまり、被害者が身代金を支払ったとしても、復号鍵を受け取る手段が存在しないのです。

Petya 2.0 の主な感染経路は、フィッシング詐欺メールに添付された偽の注文ファイルです。Petya 2.0 は、最初の被害者の感染後、かつ、暗号化の前の段階で、WannaCryのランサムウェアと同様に EternalBlue(MS17-010)脆弱性を悪用して被害者のネットワークを水平方向に移動し、他のシステムも感染させます。Petya 2.0 はさらに、正規の Windows ツールである PSExec と WMIC も利用することで、EternalBlue 脆弱性のパッチがすでに適用されている Windows マシンも感染させているようです。

感染したシステムで MBR 暗号化処理を中断できる可能性があるいくつかの方法が、研究者によって発見されています。Petya 2.0 は初期実行時に、1 時間後にシステムの再起動をスケジュールします。そして、その再起動の後に、Windows の起動プロセスを停止して、MBR を暗号化する専用のコードをロードします。この暗号化プロセスが完了する前に感染したコンピュータの電源を切れば、MBR を救える可能性があり、その場合は、感染したコンピュータから消去されてしまう前にファイルを別のシステムにバックアップできます。

さらには、Petya 2.0 の潜在的なキルスイッチも発見されています。Petya 2.0 は実行時に、ファイル “C:\Windows\perfc”(ファイル拡張子なし)の存在をチェックし、ファイルが存在すると、実行が停止します。そのため、管理者がこの場所にファイルを作成しておくことで、Petya 2.0 の実行とシステムの暗号化を防止できます。

Petya 2.0 によって、最新セキュリティアップデートプログラムを使ってシステムを常にアップデートしておくことの必要性が再認識されました。また、従業員教育を徹底してフィッシングメールの特定方法を周知し、Petya 2.0 を始めとするランサムウェアの社内ネットワークへの侵入を防ぐことも重要です。ウォッチガードのお客様は、Petya 2.0ナレッジベースの記事で、Petya 2.0の感染防止のためのヒントをご確認ください。

日本語ナレッジベース:https://www.watchguard.co.jp/knowledge-base/wg-against-petya-20-ramsomware
ナレッジベース元情報:https://watchguardsupport.secure.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000KxQSAU&lang=en_US

—Marc Laliberte