ランサムウェア WannaCryの攻撃 修正パッチだけでは防げない?

最終更新日

キルスイッチ発見と有志による対処が、WannaCryの被害を抑止。

WannaCry:情報まとめ - カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594

WannaCryは感染時に、特定のドメインにアクセスしようとします。アクセスに成功すれば攻撃を中止、アクセスに失敗すれば攻撃を継続します。この仕組み(キルスイッチ)の発見者らが、キルスイッチを機能させるために必要なドメインの登録と応答設定をしてくれたため、被害が抑えられました。

ただし、プロキシを利用している環境ではキルスイッチは機能しません。

キルスイッチのない亜種も見つかっています。攻撃には使用されていなかったとのことですが、今後、攻撃に使われる可能性もあります。

安心するのはまだ早い。

WannaCryの拡散は現在も継続中。亜種や類似のマルウェアも登場しました。

ランサムウェア「UIWIX」など「WannaCry/Wcry」の模倣犯が連続して出現
http://blog.trendmicro.co.jp/archives/14934

UIWIXは暗号化だけではなく、情報を収集する能力もあります。検出されにくいように工夫されていたり、一部の国では感染しないように作られています。

Adylkuzzは感染したPCをボット化して遠隔操作。仮想通貨の発掘(マイニング)に利用します。これに感染した場合、ファイルの暗号化や金銭要求はないため気づきにくいのですが、勝手にPCのリソースが使われることになります。

EternalBlueはSMB v2を利用して攻撃することもできるそうです。今後、SMB v2以降も狙われるかもしれません。

WannaCryについてのかなり詳しいまとめ記事があるので、紹介しておきます。

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20170513/1494700355

追記

「WannaCry被害が多いのはWindows7 PCで、XPはほとんどない」という話が流れています。情報源は、KasperskyのCostin Raiu氏のツイートです。

現在、XPよりWindows7のユーザーの方が圧倒的に多いため、被害件数で見れば、XPの方がかなり少ない可能性はあると思います。

しかし、甚大な被害に遭ったイギリスの医療機関等ではXP・XP Embeddedが多く使われている、という話が事実なら、XPの被害がほとんどないとは考えにくいです。

一方で、いくつかの海外サイトには、XPがWannaCryに感染しにくいということが書かれていました。WannaCryに限っては、XPはワーム感染しないとか、感染時にXPがクラッシュしてしまうケースがあるとか。ざっと読んだだけですので、情報源も真偽も未確認です。

本当のところはどうなんでしょうね。とりあえず、XPもそれ以降もちゃんと対策しておきましょう。

感染するのはPCだけではない。

Windows EmbeddedとSMB v1プロトコルを使っている医療機器等も感染しています。現在、一部のメーカーが修正パッチを準備中。

ルーターも感染という情報が流れていますが、これについては確認がとれていません。

被害が急増しているランサムウェア「WannaCrypt」は感染して数分で他のマシンに広まる | スラド セキュリティ
https://security.srad.jp/story/17/05/17/0414235/

上のURLには、「さらに3分後には脆弱性を持つ家庭用ルータにも感染した」と書かれていますが、誤訳のようです。原文には、ルータがWannaCryptに感染したとは書かれていませんでした。

原文はこちら。
"Furthermore, three minutes is about the same amount of time IoT malware will infect a vulnerable home router left connected to the Internet without patches."

https://www.bleepingcomputer.com/news/security/honeypot-server-gets-infected-with-wannacry-ransomware-6-times-in-90-minutes/ より

いずれにしても、脆弱性のあるルーターは存在します。脆弱性を放置せず、ファームウェアの更新や設定の見直しをしてください。

  • ルーターのパスワードは初期設定のまま使わず、変更しておく。
  • ルーターの(USB)ストレージ機能も注意。これにもパスワードをかける。
  • ルーターの設定に使用するブラウザについて。

    クッキーが残った状態でWebサイトにアクセスすると、ログイン情報を読み取られる可能性があります。

    設定前 … クッキー等は削除し、ブラウザをいったん終了させてから、起動する。

    設定後 … クッキー等を削除し、ブラウザを終了させる。

WannaCryの侵入経路

WannaCryは、IPアドレスに対して、無差別にポートスキャンを行ってから、侵入しています。インターネットに接続しているだけで、WannaCryが侵入できるかどうか試される可能性があります。

また、感染した端末をローカルネットワークに接続した場合も、ローカルネットワーク内の他の端末を感染させようとします。

WannaCryは、下の2つを利用しています。いずれも、米国の「National Security Agency(国家安全保障局、NSA)」からの流出情報に含まれていたものです。

  • エクスプロイト EternalBlue
  • バックドアツール DoublePulsar

DoublePulsarはメモリ上で動作し、活動終了後はメモリから消去され、痕跡をほとんど残しません。

ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/14920

上のURLに書かれていることを、図にしてみました。

WannaCryのワーム活動による侵入方法

感染予防とリスクマネージメント

とりあえずやっておいたこと。

  • SMBv1の脆弱性に対する修正パッチを適用。
  • セキュリティソフトの定義ファイル(パターンファイル)は常に最新に。
  • バックアップをまめにとる。(外付けHDD/SSDに。バックアップを取るときだけ接続) リストア用DVD/USBメモリも用意。
  • 445番ポートを遮断する。

1~3はさんざん言われていることですから、ここでは最後の445番ポートについてだけ書いておきます。

445番ポートを遮断する。

445番ポートを遮断した場合、SMBv2以降でのファイル共有ができなくなります。

ルーターとPC(端末)の両方で445番ポートを閉じました。

WannaCryが使うのはTCP 445番ポートとのこと。しかし、UDPもSMBによって使われるため、UDPも一応設定しておきました。

(私の所ではSMBプロトコルを使ったファイル共有をしていないため、445番ポートを閉じても、問題は起きていません)

ルーターのIPv4・IPv6フィルタ設定

ルーターによって、設定方法は異なります。製品の取り扱い説明書を見てください。

自宅のNEC Atermシリーズのルーターのデフォルト設定では、445番ポートについては次のようになっていました。

IPv4

  • WAN側 out TCP 宛先ポート445 破棄
  • WAN側 out UDP 宛先ポート445 破棄

IPv6

  • (なし)

これでは不十分だと思って、IPv6にもルールを追加して使っていました。今回はさらに追加して、IPv4とIPv6の両方で下のようにしました。

WAN側の445番ポートへのパケットを破棄
  • WAN側 in TCP 宛先ポート 445
  • WAN側 in UDP 宛先ポート 445
  • WAN側 out TCP 宛先ポート 445
  • WAN側 out UDP 宛先ポート 445
WAN側 in (WAN → ルーター)
WAN側 out (WAN ← ルーター)
LAN側の445番ポートへのパケットを破棄
  • LAN側 in 宛先ポート TCP 445
  • LAN側 in 宛先ポート UDP 445
  • LAN側 out 宛先ポート TCP 445
  • LAN側 out 宛先ポート UDP 445
LAN側 in (ルーター ← 端末)
LAN側 out (ルーター → 端末)

PC(端末)のファイアウォール設定

Windows ファイアウォール、またはサードパーティ製セキュリティソフト・ファイアウォールソフトにて

  • 受信 TCP 445番ポートをブロック
  • 受信 UDP 445番ポートをブロック
  • 送信 TCP 445番ポートをブロック
  • 送信 UDP 445番ポートをブロック

未感染で対策済みの端末だけなら、in・受信だけ設定しておけばいいのかもしれませんが、念のためout・送信も遮断。

現在使っているセキュリティソフトは、ポートスキャンを検知したら警告してくれます。ただし、その前にルータが阻んでくれているのか、警告が出たことがありません。

もし感染してしまったら

HDD/SSDを完全消去してから、未感染時のバックアップから復元、またはOS再インストールが妥当でしょう。

身代金を支払ったとしても、ファイルを復元できない可能性があります。
また、ファイルが暗号化されているだけでなく、バックドアによって余計なものが仕込まれている可能性もあります。暗号化が解除できても、そのまま使い続けるのは心配です。これは、他のランサムウェアでも同じです。

なお、次章のWannaCry用 暗号化解除ツールを使いたい場合は、感染直後、PCを再起動する前に作業しなければならないことがあります。

暗号化解除ツールその1 Wannakeyとwanakiwi

[2017/05/24] wanakiwi追加。Wannakeyもバージョンアップに合わせて書き換えました。

さっそく暗号化解除ツールを作成してくれた方々がいます。

ただし、条件があります。すべてのケースでうまく動作するわけではありません。感染前のバックアップがなく、どうしても取り出したいデータがある場合は使ってみるといいでしょう。

Wannakey
https://github.com/aguinet/wannakey

使用条件

  • 感染したPCのOSがWindows XP
  • 感染してからまだPCを再起動していない。(メモリ上のWannaCryが使用している部分が、解放・再配置されていないこと)

v2.0でWannaCryプロセスを自動で探して復号化キーを作成するようになりました。ただし、WannaCryプロセスがwcry.exe以外の場合には対応できないかもしれません。

wannakiwi
https://github.com/gentilkiwi/wanakiwi

Wannakey(バージョン0.2?)の改良版 (製作者は異なる)

使用条件

  • 感染したPCのOSがWindows XP、Windows 7、Windows Server 2003の32bit版 (64bit版は不明)

    (Windows Vista、Windows Server 2008、2008 R2でも動作する可能性があるらしい)

  • 感染してからまだPCを再起動していない。(メモリ上のWannaCryが使用している部分が、解放・再配置されていないこと)
    …ここはWannakeyと同じ

どちらのツールも、暗号化解除されたファイルは新しく保存されるため、作成日・更新日・アクセス日は復号化時の日時になるでしょう。

でも、そこは気にする必要はありません。そもそも、WannaCry感染時、暗号化したファイルを作成→元のファイルを削除という流れになっており、元のファイルの日時は分からなくなっています。

また、暗号化されたファイル(拡張子が.WNCRYのもの)は削除されません。

暗号化解除できたら、ファイルの中身を確認してください。解除に失敗した場合、普通はエラーになると思いますが、エラーにならず、中身が空のファイルが作成されることもあり得ます。

解除に成功していることが確認できたら、必要なファイルと00000000.dkyファイル(復号化キー)をバックアップし、PCを再起動またはシャットダウンします。その後、OSを再インストールしましょう。

00000000.dkyの場所はデイスク内を検索して、見つけてください。wannakey.exeやwanakiwi.exeと同じフォルダー内の可能性もあります。

バックアップに使うのは、内蔵ではなく外付けの空ディスク。必要な時以外は、PCとの接続を切ります。次回接続するときは、対策済みのPCからウイルススキャンをして、安全を確認してから使いましょう。

以下、Wannakey 2.0の使い方wanakiwiの使い方です。

Wannakey 2.0の使い方

wannakey.exeをダウンロード

  1. https://github.com/aguinet/wannakey/tree/master/bin にアクセス
  2. wannakey.exeをクリック
  3. Downloadボタンをクリック
  4. ダウンロード先のディレクトリを指定し、「保存」ボタンをクリック

wannakey.exe実行から暗号化解除まで

  1. コマンドプロンプト(cmd.exe)を起動。次のコマンドを実行。
  2. wannakey.exe(のフルパス)

    例 wannakey.exeがD:\Wannakeyフォルダーに入っている場合
    D:\Wannakey\wannakey.exe

  3. マルウェアWannaCryの画面で、(送金はしないで)「Decrypt」ボタンをクリック
WannaCryのプロセスPIDが自動で取得できない場合は。

自分で調べて、wannakey.exeコマンドに引数として渡す必要があります。

その場合のコマンドは、
wannakey.exe(のフルパス) [PID番号]
になると思います。

XPでのPIDの確認方法
  1. タスクマネージャーを起動 (Ctrl + Alt +Del)
  2. プロセスタブを選択
  3. 表示(V)→列の選択(S)→PID(プロセスID)(P)にチェック→OK
  4. wcry.exeプロセスを探し、PIDの数字を確認する。

wcry.exeはWannaCryのプロセスです。

wanakiwiの使い方

wanakiwi.exeをダウンロード

  1. https://github.com/gentilkiwi/wanakiwi/releases にアクセス
  2. wanakiwi.zipまたはwanakiwi.7zをクリック
  3. 「ファイルを保存する(S)」を選択→OK
  4. ダウンロード先のディレクトリを指定し、「保存」ボタンをクリック
  5. 解凍(展開)して、wanakiwi.exeを取り出す

zip形式は、Windows搭載の機能で解凍できます。7z形式は解凍ソフトを用意する必要があります。

WannaCryのプロセスを確認

  1. タスクマネージャーを起動 (Ctrl + Alt +Del)
  2. プロセスタブを選択
  3. WannaCryのプロセスを探す。

    WannaCryのプロセスには、次のようなものがあります

    • wcry.exe
    • wnry.exe
    • data_1.exe
    • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
    • tasksche.exe
    • mssecsvc.exe

WannaCryのプロセス名、あるいはそのPIDは、次のwanakiwi.exeコマンド実行時に必要になります。

wanakiwi.exeで暗号化解除

  1. コマンドプロンプト(cmd.exe)を(XP以外は管理者として)起動。 次のコマンドを実行。
  2. wanakiwi.exe(のフルパス) [WannaCryプロセス名]
    または、wanakiwi.exe(のフルパス) [WannaCryプロセスのPID]

    例 (wanakiwi.exeがD:\wanakiwiフォルダー内に入っている場合)

    WannaCryプロセス名がwcry.exe
    D:\wanakiwi\wanakiwi.exe wcry.exe

    WannaCryプロセスのPIDが1234
    D:\wanakiwi\wanakiwi.exe 1234

暗号化解除ツールその2 トレンドマイクロ社の復号化ツール

トレンドマイクロ社のツールも、WannaCryに対応していました。他のランサムウェアの一部にも使えます。

使用条件

  • 感染してからまだPCを再起動していない。(メモリ上のWannaCryが使用している部分が、解放・再配置されていないこと)
  • サポートOSは不明 (Windows XP~Windows 10まで?)

ダウンロードと使い方は下記URLにて。
ランサムウェア ファイル復号ツール | サポート Q&A:トレンドマイクロ

暗号化を解除できない場合でも、一部ファイルは復元可能

上に挙げた暗号化解除ツールは、WannaCryに感染したPCを再起動する前に、作業を開始しなければなりません。

すでに再起動してしまったPCや、暗号化解除が上手くいかない場合は、データ復元ソフトを使ってみるといいでしょう。

カスペルスキー社によれば、暗号化されていない状態のファイルをデータ復元ソフトで探し出せる可能性があるとのこと。

WannaCry:暗号化されたファイルに復元の可能性 - カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898

[上記URLの要点]

WannaCryは暗号化したファイルを別名保存し、元のファイルを削除します。しかし、元ファイルを上書き等するわけではないため、ディープスキャンをすれば復元できそうです。(すべてのファイルを救出できるわけではありません)

また、WannaCryの不備により、読み取り専用ファイルは暗号化されません。ただし、隠し属性が付与されています。つまり、読み取り専用ファイルは、隠し属性を外すだけで見れるようになります。

データ復元ソフトでファイルを探す場合の注意点

  • 新規ファイルの保存、ソフトウェアのインストールを行わない。できればPCをシャットダウンさせておく。
  • データ復元ソフトは、USBメモリやCD/DVDでブートして起動するタイプを使う。
  • 復元ファイルの保存は、外付けのディスク・USBメモリ等へ。

PCは稼働させているだけでも、OS等による書き込みが行われます。消去されたファイル(A)のディスク上の場所に、別のデータ(B)が上書きされた場合、ソフトウェアレベルではファイル(A)を復元できなくなります。

データ復元ソフトの性能によっては、ファイルを検出できないこともあります。また、フォルダーツリー構造を維持したまま復元できるソフトと、できないソフトがあります。

関連記事