Loading...

Knowledge Center


Ransom-WannaCry からの保護 (2017 年 5 月)
Technical Articles ID:   KB89335
Last Modified:  2017/12/20
Rated:


Environment

DAT を使用する McAfee 製品


注意: この記事はマカフィー Business 製品および Enterprise 製品のみに適用されます。マカフィー コンシューマー向け製品または Small Business 製品に関する情報やサポートが必要な場合は、https://service.mcafee.com にアクセスしてください。 この攻撃と McAfee の一般ユーザー向け製品の詳細については、TS102675 を参照してください。

Summary

McAfee では、企業環境で検出されたランサムウェアの新しい亜種を把握しています。 脅威名: Ransom-WannaCry (WCry、WanaCrypt、WannaCrypt、WanaCrypt0r とも呼ばれます)

McAfee の研究と解析については、https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/ を参照してください。
McAfee の公式な Threat Advisory は、PD27077 にあります。
技術的概要 https://www.mcafee.com/us/resources/solution-briefs/sb-how-to-protect-against-ransomware.pdf の情報も参照してください。

McAfee では、Ransom-WannaCry を対応範囲に含む緊急 DAT をリリースしました。後続 DAT でも対応範囲を追加してく予定です。 対応範囲の最小 DAT バージョン:

  • VSE (8527) 以上 *
  • ENS (2978) 以上 *

* 既知の亜種に対する McAfee 定義でのコンテンツ保護。

この記事に添付されている Extra.DAT は VSE 8530 と ENS 2981 に含まれる予定です。

ベスト プラクティスとして、最小限の更新間隔でリポジトリの更新タスクを設定し、新しいコンテンツが McAfee によるリリース時に適用されるようにします。

この記事は追加情報が得られると更新されます。更新の有無について、継続してこのドキュメントを確認してください。

この記事のトピック

感染したシステムの症状
VSE アクセス保護ルール
ENS アクセス保護ルール
ENS 適応脅威対策 - Real Protect とアプリケーションの動的隔離
ENS アプリケーションの動的隔離ルール
WannaCry ランサムウェアに対する Advanced Threat Defense の対応範囲
WannaCry ランサムウェアに対する McAfee NSP の対応範囲
よくある質問


この記事の最新の更新内容
この記事が更新されたときに電子メール通知を受信するには、ページ右側の 購読 をクリックします。購読するには、ログインする必要があります。

日付 更新
2017 年 7 月 20 日 WannaCry に対する Advanced Threat Defense のコンテンツの更新が追加されました。 お客様の質問に対応する FAQ が追加されました。
2017 年 7 月 18 日 お客様の質問に対応して、いくつかの小さな追加と調整が行われました。
2017 年 6 月 15 日 「ホスト侵入検知」のセクションが削除されました。 McAfee はこの製品のプロアクティブな対策を調査しています。
2017 年 6 月 9 日 脅威名の亜種として WannaCrypt が追加されました。
2017 年 5 月 16 日午後 2 時 30 分中部夏時間 ENS ATP 設定が追加されました。
2017 年 5 月 15 日午前 11 時 30 分中部夏時間 ENS でのより簡単な実装のために Extra.DAT ファイル EXTRA_20170514-2.zip が更新されました。
2017 年 5 月 15 日午前 11 時中部夏時間 FAQ が新しい質問で更新されました。
2017 年 5 月 15 日午前 10 時中部夏時間 VSE 8530 と ENS 2981 に含まれることに関して Extra DAT の記述が更新されました。 「DAC ルール」のセクションが更新されました。
2017 年 5 月 14 日午後 12 時 45 分中部夏時間 VSE 8529 または ENS 2980 を実行しているお客様でも必要になることに関して、Extra DAT 添付ファイルと記述が更新されました。
2017 年 5 月 14 日午前 8 時 55 分中部夏時間 公式な Threat Advisory のリンクが追加されました。
2017 年 5 月 14 日午前 7 時 30 分中部夏時間 Extra DAT 添付ファイルが更新されました。
2017 年 5 月 13 日午後 3 時 05 分中部夏時間 この記事でトピックへのアクセスが簡単になるように、ENS アプリケーションの動的隔離ルールと内部ジャンプが追加されました。 McAfee コンシューマーのお客様向けに、この記事がお使いの McAfee 製品には適用されないことを示すメモが追加されました。
2017 年 5 月 13 日午前 11 時 15 分中部夏時間 8527 または 8528 で必要になることに関して、Extra DAT 添付ファイルと記述が更新されました。
2017 年 5 月 13 日午前 9 時 15 分中部夏時間 緊急 DAT がリリースされたこと、および対応範囲の最小 DAT バージョンが追加されました。
2017 年 5 月 12 日午後 11 時 55 分中部夏時間 NSP シグネチャに関する KB55447 への参照が追加されました。
2017 年 5 月 12 日午後 6 時中部夏時間 NSP シグネチャが追加されました。
2017 年 5 月 12 日午後 5 時 30 分中部夏時間 ブログへのリンクが追加され、イメージが更新されました。
2017 年 5 月 12 日午後 5 時中部夏時間 記事の終わり付近に「よくある質問」のセクションが追加されました。
2017 年 5 月 12 日午後 4 時 20 分中部夏時間 Extra.DAT ファイルの添付ファイルが更新されました。
2017 年 5 月 12 日午後 3 時 45 分中部夏時間
  • 感染したマシン上のランサム メッセージのスクリーンショットが追加されました。
  • お客様に Microsoft クリティカル パッチ MS17-010 に更新するよう促す重要メモが症状リストの下に追加されました。
2017 年 5 月 12 日午後 2 時 35 分中部夏時間
  • 最新のランサムウェアの亜種 (Ransom-WannaCry) に関するこの記事の「添付ファイル」セクションにプロアクティブな Extra.DAT ファイルおよび関連記事へのリンクが追加されました。
  • VSE と ENS のアクセス保護ルールに関する説明情報が追加されました。
2017 年 5 月 12 日午後 1 時 05 分中部夏時間 脅威名の同義語が追加されました。
2017 年 5 月 12 日午後 12 時 30 分中部夏時間 記事が作成され、公開されました。



この脅威によって、感染しているシステムで次の症状が見られます。

  • ファイルが、.wnry.wcry.wncry.wcryt、および .wncryt 拡張子で暗号化されます。 エンド ユーザーの画面にランサム メッセージが表示されます。
  • エンド ユーザーに次の Ransom-WannaCry デスクトップ バックグラウンドが表示されます。
  • 再起動すると、影響を受けたマシンではブルー スクリーンのエラーが発生し、起動できません。
  • ローカル ホストで暗号化が見られ、SMB 共有が開きます。 重要: SMB 共有が暗号化されるのを防ぐため、お客様は Microsoft クリティカル パッチ MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) をただちにインストールする必要があります。

トップに戻る


VirusScan Enterprise (VSE) と Endpoint Security (ENS) のアクセス保護のプロアクティブな対策

注: VSE と ENS のアクセス保護ルールによって、.WNRY ファイルの作成が回避されます。 このルールにより暗号化ルーチンが回避されます。暗号化ルーチンは、.WNCRYT、.WNCRY、.WCRY 拡張子を含む暗号化されたファイルが見られる場所です。 .WNRY に対してブロックを実装すると、暗号化されたファイル タイプに対する他のブロックは必要なくなります。



VSE アクセス保護ルールの使用:

ルール 1:

ルール タイプ: レジストリのブロック ルール
含めるプロセス: *
保護するレジストリのキーまたは値: HKLM - /Software/WanaCrypt0r
保護するレジストリのキーまたは値: キー
ブロックするレジストリ アクション: キーまたは値の作成

ルール 2:

ルール タイプ: ファイル/フォルダーのブロック ルール
組み入れるプロセス: *
ブロックするファイルまたはフォルダーの名前: *.wnry
禁止するファイル アクション: 新規ファイルの作成


トップに戻る


ENS アクセス保護ルールの使用:

ルール 1:

実行ファイル 1:

包含: 含める
ファイル名またはパス: *



サブルール 1:

サブルールの種類: レジストリ キー
操作: 作成
ターゲット 1:

対象: 含む
ファイル、フォルダー名またはファイル パス: *\Software\WanaCrypt0r



サブルール 2:

サブルールの種類: ファイル
操作: 作成
ターゲット 1:

対象: 含む
ファイル、フォルダー名またはファイル パス: *.wnry


トップに戻る

適応脅威対策 (ATP) を備えた Endpoint Security (ENS) - Real Protect とアプリケーションの動的隔離 (DAC)

ENS 10.5 適応脅威対策 Real Protect をアプリケーションの動的隔離と組み合わせて使用することで、未知のエクスプロイトに対する次世代の保護が提供されます。

ATP を備えた ENS により、WannaCry エクスプロイトの既知の亜種すべてに対して完全な保護が提供されます。 McAfee では、不明な WannaCry の亜種を検出するために、次の ATP 設定を推奨しています。

  1. 適応脅威対策の [オプション] ポリシーで次のように設定します。

[ルールの割り当て] = [セキュリティ] (デフォルト設定は [バランス])


  1. 適応脅威対策の [アプリケーションの動的隔離] ポリシーでの次のルールを設定します。

[アプリケーションの動的隔離] - [隔離ルール]

KB87843 - Best Practices for ENS Dynamic Application Containment Rues (「ENS アプリケーションの動的隔離ルールのベスト プラクティス」) を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。

トップに戻る



Ransom-WannaCry の亜種によってトリガーされる ENS アプリケーションの動的隔離ルール

ここでは、WannaCry の既知の亜種によりトリガーされるアプリケーションの動的隔離ルールの追加情報を示します。 ENS セキュリティ スタックの他のレイヤーで検出されない関連プロセスを効果的に含めるために、追加のルールを有効化する必要がない場合があります。 KB87843 - Best Practices for ENS Dynamic Application Containment Rues (「ENS アプリケーションの動的隔離ルールのベスト プラクティス」) を参照し、説明に従って推奨 DAC ルールを [ブロック] に設定します。

ルール 1:

ルール名: 任意の子プロセスの実行

ルール 2:

ルール名: ユーザー Cookie の場所へのアクセス

ルール 3:

ルール名: 拡張子が .html、.jpg または .bmp のファイルの作成

ルール 4:

ルール名: 拡張子が .exe のファイルの作成

ルール 5:

ルール名: ユーザーのデータ フォルダーの変更

ルール 6:

ルール名: スタートアップのレジストリの場所の変更

ルール 7:

ルール名: 重要な Windows ファイルとレジストリの場所の変更

ルール 8:

ルール名: ネットワーク上のファイルの読み取りまたは変更

ルール 9:

ルール名: 拡張子が .bat のファイルの変更

ルール 10:

ルール名: 拡張子が .vbs のファイルの変更

ルール 11:

ルール名: 拡張子が .bat のファイルの作成

ルール 12:

:ルール名: ランサムウェアがよく狙うファイルの読み取り

ルール 13:

ルール名: ネットワーク上でのファイルの作成

ルール 14:

ルール名: ランサムウェアがよく狙うファイルへの書き込み

ルール 15:

:ルール名: 隠し属性ビットの変更


トップに戻る



次のビルド以降で使用可能な WannaCry 用の Advanced Threat Defense (ATD) コンテンツ更新パッケージ:

3.6.x - 3.6.2.103.61987 以降
3.8.x パッケージ - 3.8.2.170207.59307 以降
3.10.x - 3.10.2.170712.61985 以降
4.0 - 基本インストールに含まれる検出



WannaCry ランサムウェアに対する McAfee NSP の対応範囲:

既存の署名:

  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 同一 MID および FID タイプ混同の脆弱性 (CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS: Windows SMB リモート コード実行の脆弱性 (CVE-2017-0144)
  • 0x43c0b500- NETBIOS-SS: Windows SMB リモート コード実行の脆弱性 (CVE-2017-0145)
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB アウト オブ バンド書き込みの脆弱性 (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 情報開示の脆弱性 (CVE-2017-0147)
NSP 研究チームは、CVE-2017-0148 の情報を確認し、UDS を作成しました。 UDS は、登録ユーザーのみが KB55447 から入手可能です。 https://support.mcafee.com にログインし、記事にアクセスします。

トップに戻る

Ransom-WannaCry に関するよくある質問

McAfee Application Control (MAC) をブロック モードにすると、感染を防ぐことができますか?
はい。これは、MAC がホワイトリストに登録されていない新しいハッシュ値をブロックするためです。

Threat Intelligence Exchange (TIE) と ATD の組み合わせによってこのゼロデイ脅威がブロックされますか?
TIE と ATD には、多数のゼロデイ WannaCry サンプルが含まれました。 含まれていなかったものについては、WannaCry の後続の亜種をゼロデイとして収集したさらなる情報がクラウドに追加されました。 ATD は、WannaCry 固有のコンテンツの更新情報もリリースしました。 これらのコンテンツの更新情報は最新のビルドで利用できます。

アクセス保護ルールに汎用的な名前を付けるのはなぜですか?
ルール名は、ルール自体に影響を与えないので、必要に応じて任意の名前を付けることができます。

ソフトウェア キーを使用しないで ' \' ではなく '/' しますか?
「\」は入力する正しい構文ですが、ポイント製品によってパスが変更され、すべての「\」が「/」に置き換えられるため、このような構文になります。

ファイル拡張子のルールはないはず: * * \*.wnry しますか?
いいえ。VSE と ENS が異なるワイルドカード構文を使用するため、両方がルールを適切に使用できる *.wnry が最適となります。

どの Daily DAT ファイルでリリースされますか?
8527 以降、VSE DAT
ENS DAT 2978 以降

DAT も、この問題を解決しますか? または、レジストリの更新も必要ですか?
添付されている Extra.DAT、緊急 DAT、およびすべての後続 DAT には、この時点で McAfee Labs に送信されていた既知の亜種がすべて捕捉されます。 アクセス保護ルールは、Ransom-WannaCry の既知の亜種をすべてブロックする一般的な方法として提示されます。

McAfee が直接 DAT に防止を配置せず、Extra.DAT を選択したのはなぜですか?
この記事では Extra.DAT は、実環境で確認された脅威の新しい亜種としてリリースおよび更新されています。 実稼働環境用の DAT はこれらの新しい亜種に対応していないため、現在の実稼働環境用の DAT と一緒に公開された Extra.DAT を実装することを推奨しています。

記事の内容がわかりにくいです。 「対応範囲の最小 DAT バージョン: VSE 8527」および「後続 DAT でも対応範囲を追加していく予定です」という記述がありますが、 「VSE 8529 を実行しているお客様でも添付されている extra.dat が必要になります」という記述もあります。 どちらが正しいですか?
8527 は、WannaCry の亜種の最初の脅威に対する最小 DAT リリースでした。 新しい亜種がリリースされるのに伴い、これらの検出が新しい DAT ビルドに追加されていきました。

Attachment

EXTRA_20170514-2.zip
6K • < 1 minute @ broadband


Disclaimer

The content of this article originated in English. If there are differences between the English content and its translation, the English content is always the most accurate. Some of this content has been provided using Machine Translation translated by Microsoft.

Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.