McAfee では、企業環境で検出されたランサムウェアの新しい亜種を把握しています。 脅威名: Ransom-wannacry (WCry、WanaCrypt、WannaCrypt、WanaCrypt0r とも呼ばれます)

McAfee の研究と解析については、 https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/ を参照してください。
McAfee の公式な Threat Advisory は PD27077 にあります。
技術的概要 https://www.mcafee.com/us/resources/solution-briefs/sb-how-to-protect-against-ransomware.pdf の情報も参照してください。

対応範囲の最小 DAT バージョン:

• VSE (8527) 以上 *
• ENS (2978) 以上 *

* 既知の亜種に対する McAfee 定義でのコンテンツ保護。

ベストプラクティスとして、最小限の更新間隔でリポジトリの更新タスクを設定し、新しいコンテンツが McAfee によるリリース時に適用されるようにします。

この記事は追加情報が得られると更新されます。 このドキュメントの更新を引き続き監視してください。

この記事のトピック

感染したシステムの症状
VSE アクセス保護ルール
ENS アクセス保護ルール
ENS 適応脅威対策 - Real Protect とアプリケーションの動的隔離
ENS アプリケーションの動的隔離ルール
WannaCry ランサムウェアに対する Advanced Threat Defense の対応範囲
WannaCry ランサムウェアに対する McAfee NSP の対応範囲
よくある質問

この脅威によって、感染しているシステムで次の症状が見られます。

• ファイルが、.wnry、.wcry、.wncry、.wcryt、および .wncryt 拡張子で暗号化されます。 エンドユーザの画面にランサムメッセージが表示されます。
• エンドユーザに次の Ransom-WannaCry デスクトップバックグラウンドが表示されます。
  
• 再起動すると、影響を受けたマシンではブルーンスクリーンのエラーが発生し、起動できません。
• ローカルホストで暗号化が見られ、SMB 共有が開きます。 重要: SMB 共有が暗号化されるのを防ぐために、お客様は Microsoft クリティカルパッチ MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) をただちにインストールする必要があります。

トップに戻る

VirusScan Enterprise (VSE) と Endpoint Security (ENS) アクセス保護のプロアクティブな対策

VSE アクセス保護ルールの使用:

ルール 1:

ルール タイプ: レジストリのブロック ルール
含めるプロセス: *
保護するレジストリ キーまたは値: HKLM -/Software/WanaCrypt0r
保護するレジストリ キーまたは値: キー
ブロックするレジストリアクション: キーまたは値の作成

ルール 2:

ルール タイプ: ファイル/フォルダーのブロック ルール
含めるプロセス: *
ブロックするファイルまたはフォルダーの名前: *.wnry
禁止するファイル アクション: 新規ファイルの作成

トップに戻る

ENS アクセス保護ルールの使用:

ルール 1:

実行ファイル 1:

包含: 含める
ファイル名またはパス: *

サブルール 1:

サブルールの種類: レジストリキー
操作: 作成
ターゲット 1:

包含: 含める
ファイル、フォルダー名またはファイル パス: * \Software\WanaCrypt0r

サブルール 2:

サブルールの種類: ファイル
操作: 作成
ターゲット 1:

包含: 含む
ファイル、フォルダー名またはファイル パス: *.wnry

トップに戻る

適応脅威対策（ATP）を備えた Endpoint Security（ENS）- Real Protect とアプリケーションの動的隔離（DAC）

EMS 10.5 適応脅威対策 Real Protect をアプリケーションの動的隔離と組み合わせて使用することで、未知のエクスプロイトに対する次世代の保護が提供されます。

ATP を備えてた ENS により、WannaCry エクスプロイトの既知の亜種すべてに対して完全な保護が提供されます。 McAfee では、不明な WannaCry の亜種を検出するために、次の ATP 設定を推奨しています。

1. 適応脅威対策の [オプション] ポリシーで次のように設定します。

[ルールの割り当て] = [セキュリティ]（デフォルト設定は [バランス]）

2. 適応脅威対策の [アプリケーションの動的隔離] ポリシーで次のルールを設定します。

アプリケーションの動的隔離 – 隔離ルール

See KB87843 – Best Practices for ENS Dynamic Application Containment Rues（「ENS」アプリケーションの動的隔離ルールのベスト プラクティス」）を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。

トップに戻る



Ransom-WannaCry 亜種によってトリガーされる ENS アプリケーションの動的隔離ルール

このセクションでは、WannaCry の既知の亜種によりトリガーされるアプリケーションの動的隔離ルールの追加情報を示します。 ENS セキュリティスタックの他のレイヤーで検出されない関連プロセスを効果的に含めるために、追加のルールを有効化する必要がない場合があります。 KB87843 - Best Practices for ENS Dynamic Application Containment Rues (「ENS アプリケーションの動的隔離ルールのベスト プラクティス」) を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。

ルール 1:

ルール名: 任意の子プロセスの実行

ルール 2:

ルール名: ユーザー Cookie の場所へのアクセス

ルール 3:

ルール名: 拡張子が .html、.jpg または .bmp のファイルの作成

ルール 4:

ルール名: 拡張子が .exe のファイルの作成

ルール 5:

ルール名: ユーザーのデータ フォルダーの変更

ルール 6:

ルール名: スタートアップのレジストリの場所の変更

ルール 7:

ルール名: 重要な Windows ファイルとレジストリの場所の変更

ルール 8:

ルール名: ネットワーク上のファイルの読み取りまたは変更

ルール 9:

ルール名: 拡張子が.bat のファイルの変更

ルール 10:

ルール名: 拡張子が .vbs のファイルの変更

ルール 11:

ルール名: 拡張子が .bat のファイルの作成

ルール 12:

ルール名: ランサムウェがよく狙うファイルの読み取り

ルール 13:

ルール名: ネットワーク上でのファイルの作成

ルール 14:

ルール名: ランサムウェがよく狙うファイルへの書き込み

ルール 15:

ルール名: 隠し属性ビットの変更

トップに戻る

次のビルド以降で使用可能な WannaCry 用の Advanced Threat Defense（ATD）コンテンツ更新パッケージ:

3.6.x – 3.6.2.103.61987 以降
3.8.x パッケージ – 3.8.2.170207.59307 以降
3.10.x – 3.10.2.170712.61985 以降
4.0 - 基本インストールに含まれる検出

WannaCry ランサムウェアに対する McAfee NSP の対応範囲:

既存の署名:

• 0x43c0b800-NETBIOS-SS: Windows SMBv1 同一の MID および FID のタイプ混同の脆弱性 (CVE-2017-0143)
• 0x43c0b400-NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE 2017-0144)
• 0x43c0b500-NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE-2017-0145)
• 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB アウト オブ バンド書き込みの脆弱性 (CVE 2017-0146)
• 0x43c0b900-NETBIOS-SS: Windows SMBv1 情報開示の脆弱性 (CVE-2017-0147)

トップに戻る

Ransom-WannaCry に関するよくある質問