McAfee では、企業環境で検出されたランサムウェアの新しい亜種を把握しています。 脅威名: Ransom-wannacry (WCry、WanaCrypt、WannaCrypt、WanaCrypt0r とも呼ばれます)
McAfee の研究と解析については、 https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/ を参照してください。
McAfee の公式な Threat Advisory は PD27077 にあります。
技術的概要 https://www.mcafee.com/us/resources/solution-briefs/sb-how-to-protect-against-ransomware.pdf の情報も参照してください。
対応範囲の最小 DAT バージョン:
- VSE (8527) 以上 *
- ENS (2978) 以上 *
* 既知の亜種に対する McAfee 定義でのコンテンツ保護。
ベストプラクティスとして、最小限の更新間隔でリポジトリの更新タスクを設定し、新しいコンテンツが McAfee によるリリース時に適用されるようにします。
この記事は追加情報が得られると更新されます。 このドキュメントの更新を引き続き監視してください。
この記事のトピック
感染したシステムの症状
VSE アクセス保護ルール
ENS アクセス保護ルール
ENS 適応脅威対策 - Real Protect とアプリケーションの動的隔離
ENS アプリケーションの動的隔離ルール
WannaCry ランサムウェアに対する Advanced Threat Defense の対応範囲
WannaCry ランサムウェアに対する McAfee NSP の対応範囲
よくある質問
この記事の最新の更新
この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。
| 日付 |
更新 |
| 2017 年 11 月 20 日 |
Extra.DAT の添付ファイルと Extra.DAT ファイルへの参照を削除しました。 |
| 2017 年 7 月 20 日 |
WannaCry ランサムウェアに対する Advanced Threat Defense コンテンツアップデートを追加しました。 お客様の質問に対応する「よくある質問」 を追加しました。 |
| 2017 年 7 月 18 日 |
お客様の質問に応じていくつかの小さな追加や調整を行いました。 |
| 2017 年 6 月 15 日 |
Host Intrusion Prevention のセクションを削除しました。 マカフィーはこの製品のプロアクティブな対策を調査中です。 |
| 2017 年 6 月 9 日 |
脅威の亜種として wannacrypt を追加しました。 |
この脅威によって、感染しているシステムで次の症状が見られます。
- ファイルが、.wnry、.wcry、.wncry、.wcryt、および .wncryt 拡張子で暗号化されます。 エンドユーザの画面にランサムメッセージが表示されます。
- エンドユーザに次の Ransom-WannaCry デスクトップバックグラウンドが表示されます。
- 再起動すると、影響を受けたマシンではブルーンスクリーンのエラーが発生し、起動できません。
- ローカルホストで暗号化が見られ、SMB 共有が開きます。 重要: SMB 共有が暗号化されるのを防ぐために、お客様は Microsoft クリティカルパッチ MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) をただちにインストールする必要があります。
トップに戻る
VirusScan Enterprise (VSE) と Endpoint Security (ENS) アクセス保護のプロアクティブな対策
| 注意: VSE と ENS のアクセス保護ルールによって、.WNRY ファイルの作成が回避されます。 このルールにより暗号化ルーチンが回避されます。暗号化ルーチンは、.WNCRYT、.WNCRY、.WCRY 拡張子を含む暗号化されたファイルが見られる場所です。 .WNRY に対してブロックを実装すると、暗号化されたファイル タイプに対する他のブロックは必要なくなります。 |
VSE アクセス保護ルールの使用:
ルール 1:
ルール タイプ: レジストリのブロック ルール
含めるプロセス: *
保護するレジストリ キーまたは値: HKLM -/Software/WanaCrypt0r
保護するレジストリ キーまたは値: キー
ブロックするレジストリアクション: キーまたは値の作成
ルール 2:
ルール タイプ: ファイル/フォルダーのブロック ルール
含めるプロセス: *
ブロックするファイルまたはフォルダーの名前: *.wnry
禁止するファイル アクション: 新規ファイルの作成
トップに戻る
ENS アクセス保護ルールの使用:
ルール 1:
実行ファイル 1:
包含: 含める
ファイル名またはパス: *
サブルール 1:
サブルールの種類: レジストリキー
操作: 作成
ターゲット 1:
包含: 含める
ファイル、フォルダー名またはファイル パス: * \Software\WanaCrypt0r
サブルール 2:
サブルールの種類: ファイル
操作: 作成
ターゲット 1:
包含: 含む
ファイル、フォルダー名またはファイル パス: *.wnry
トップに戻る
適応脅威対策(ATP)を備えた Endpoint Security(ENS)- Real Protect とアプリケーションの動的隔離(DAC)
EMS 10.5 適応脅威対策 Real Protect をアプリケーションの動的隔離と組み合わせて使用することで、未知のエクスプロイトに対する次世代の保護が提供されます。
ATP を備えてた ENS により、WannaCry エクスプロイトの既知の亜種すべてに対して完全な保護が提供されます。 McAfee では、不明な WannaCry の亜種を検出するために、次の ATP 設定を推奨しています。
- 適応脅威対策の [オプション] ポリシーで次のように設定します。
[ルールの割り当て] = [セキュリティ](デフォルト設定は [バランス])
- 適応脅威対策の [アプリケーションの動的隔離] ポリシーで次のルールを設定します。
アプリケーションの動的隔離 – 隔離ルール
See KB87843 – Best Practices for ENS Dynamic Application Containment Rues(「ENS」アプリケーションの動的隔離ルールのベスト プラクティス」)を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。
トップに戻る
Ransom-WannaCry 亜種によってトリガーされる ENS アプリケーションの動的隔離ルール
このセクションでは、WannaCry の既知の亜種によりトリガーされるアプリケーションの動的隔離ルールの追加情報を示します。 ENS セキュリティスタックの他のレイヤーで検出されない関連プロセスを効果的に含めるために、追加のルールを有効化する必要がない場合があります。 KB87843 - Best Practices for ENS Dynamic Application Containment Rues (「ENS アプリケーションの動的隔離ルールのベスト プラクティス」) を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。
ルール 1:
ルール名: 任意の子プロセスの実行
ルール 2:
ルール名: ユーザー Cookie の場所へのアクセス
ルール 3:
ルール名: 拡張子が .html、.jpg または .bmp のファイルの作成
ルール 4:
ルール名: 拡張子が .exe のファイルの作成
ルール 5:
ルール名: ユーザーのデータ フォルダーの変更
ルール 6:
ルール名: スタートアップのレジストリの場所の変更
ルール 7:
ルール名: 重要な Windows ファイルとレジストリの場所の変更
ルール 8:
ルール名: ネットワーク上のファイルの読み取りまたは変更
ルール 9:
ルール名: 拡張子が.bat のファイルの変更
ルール 10:
ルール名: 拡張子が .vbs のファイルの変更
ルール 11:
ルール名: 拡張子が .bat のファイルの作成
ルール 12:
ルール名: ランサムウェがよく狙うファイルの読み取り
ルール 13:
ルール名: ネットワーク上でのファイルの作成
ルール 14:
ルール名: ランサムウェがよく狙うファイルへの書き込み
ルール 15:
ルール名: 隠し属性ビットの変更
トップに戻る
次のビルド以降で使用可能な WannaCry 用の Advanced Threat Defense(ATD)コンテンツ更新パッケージ:
3.6.x – 3.6.2.103.61987 以降
3.8.x パッケージ – 3.8.2.170207.59307 以降
3.10.x – 3.10.2.170712.61985 以降
4.0 - 基本インストールに含まれる検出
WannaCry ランサムウェアに対する McAfee NSP の対応範囲:
既存の署名:
- 0x43c0b800-NETBIOS-SS: Windows SMBv1 同一の MID および FID のタイプ混同の脆弱性 (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE 2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB アウト オブ バンド書き込みの脆弱性 (CVE 2017-0146)
- 0x43c0b900-NETBIOS-SS: Windows SMBv1 情報開示の脆弱性 (CVE-2017-0147)
NSP 研究チームは、CVE-2017-0148 の情報を確認し、UDS を作成しました。 UDS は、登録ユーザーのみが KB55447 から入手可能です。 https://support.mcafee.com にログインし、記事にアクセスします。
トップに戻る
Ransom-WannaCry に関するよくある質問
McAfee Application Control (MAC) をブロック モードにすると、感染を防ぐことができますか?
はい。これは、MAC がホワイトリストに登録されていない新しいハッシュ値をブロックするためです。
Threat Intelligence Exchange (TIE) と ATD の組み合わせによってこのゼロデイ脅威がブロックされますか?
TIE と ATD には、多数のゼロデイ WannaCry サンプルが含まれています。 含まれていなかったものについては、WannaCry の後続の亜種をゼロディとして収集したさらなる情報がクラウドに追加されました。 ATD は、WannaCry 固有のコンテンツの更新情報もリリースしました。 これらのコンテンツの更新情報は最新のビルドで利用できます。
アクセス保護ルールに汎用的な名前を付けるのはなぜですか?
ルール名は、ルール自体に影響を与えないので、必要に応じて任意の名前を付けることができます。
ファイル拡張子のルールはないはず: * * \*.wnry しますか?
「\」は入力する正しい構文ですが、ポイント製品によってパスが変更され、すべての「\」が「/」に置き換えられるため、このような構文になります。
ファイル拡張子のルールはないはず: * * \*.wnry しますか?
いいえ。VSE と ENS が異なるワイルドカード構文を使用するため、両方がルールを適切に使用できる *.wnry が最適となります。
どの Daily DAT ファイルでリリースされますか?
VSE DAT 8527 以降
ENS DAT 2978 以降
