Loading...

Knowledge Center


Ransom-WannaCry への対応について (2017 年 5 月)
Technical Articles ID:   KB89335
Last Modified:  2017/05/16
Rated:


Environment

DAT を使用する McAfee 製品

注意: この記事はマカフィービジネス、およびエンタープライズ製品にのみ適用されます。マカフィーコンシューマー、またはスモールビジネス製品に関する情報やサポートが必要な場合には、https://service.mcafee.com を参照ださい。この攻撃とマカフィーコンシューマー製品の詳細についてはこちらを参照してください。TS102675

[日本語] http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry74-c59a.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+McafeeBlog+%28McAfee+Japan+Blog%29
[英語] https://securingtomorrow.mcafee.com/consumer/consumer-threat-notices/wannacry-ransomware-attacks/
 

Summary

McAfeeは、新たなランサムウェアが企業環境で検出された事を確認しました。 
脅威名は、Ransom-WannaCry(WCry、WanaCrypt、WanaCrypt0rとも呼ばれます)です。

マカフィーの観察と分析の情報:https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/
マカフィー オフィシャルスレッドアドバイザリ: 
PD27077
マカフィーコミュニティ:  https://community.mcafee.com/docs/DOC-9829

マカフィーは Ransom-WannaCry に対応する緊急 DAT をリリースしました。
その後のバージョンでも随時検知を追加していきます。検知可能な最小 DAT バージョンは以下の通りです。
  • VSE (8527) または以降のバージョン *
  • ENS (2978) または以降のバージョン *
* 既知の亜種に対する定義ファイルでのコンテンツ保護

この記事に添付されている Extra.DAT は VSE 8530, ENS 2981 へそれぞれ含まれています。
ベストプラクティスは最小限の更新間隔でリポジトリの更新タスクを構成の上、新しい定義ファイルがリリースされた際に確実に適用されるようにすることです。この記事は追加情報が入手可能になると更新されますので、継続してご確認ください。

この記事のトピックス
感染したシステムの症状
VSE のAccess Protection ルール
ENSの Access Protection ルール
ENS アプリケーションの動的隔離ルール
McAfee NSP での WannaCry Ransomware カバレッジ
よくある質問



記事の更新
この記事の更新時に電子メール通知を受け取るには、ページの右側にある[購読]をクリックします。 登録するには、ログインが必要です。

 
日付 更新内容
May 16, 2017 2:30 PM CDT Host IPS と ENS ATP での設定を追記しました。
May 15, 2017 11:30 AM CDT ENS でのインプリを容易にするための Extra.DAT ファイル (EXTRA_20170514-2.zip) を更新しました。
May 15, 2017 11:00 AM CDT FAQ 項目を追記
May 15, 2017 10:00 AM CDT VSE 8530、および ENS 2981 へ含まれた Extra DAT に関する情報を更新しました。
DAC ルールセクションを更新しました。
May 14, 2017 12:45 PM CDT Extra DAT の更新、および VSE で 8529 DAT を、ENS で 2980 をご利用のお客様も添付されている Extra DAT をご利用いただく旨を追記
May 14, 2017 8:55 AM CDT オフィシャルスレッドアドバイザリへのリンクを追加
May 14, 2017 7:30 AM CDT Extra.dat ファイルを更新
May 13, 2017 3:05 PM CDT ENS アプリケーションの動的隔離ルールと、この記事のトピックスへの簡易的なアクセスを行うため内部リンクを追加しました。マカフィーコンシューマ向け顧客は、この記事のマカフィー製品が該当しない注記を追加しました。
May 13, 2017 11:15 AM CDT Extra DAT の更新、および 8527/8528 DAT でも必要とする旨を更新
May 13, 2017 9:15 AM CDT 緊急 DAT リリース、および検知可能な最小 DAT バージョンについて追記
May 12, 2017 11:55 PM CDT NSP シグネチャの入手先として KB55447 への案内を追記
May 12, 2017 6:00 PM CDT NSP対応シグネチャの追記
May 12, 2017 5:30 PM CDT ブログへのリンクおよび画像の更新
May 12, 2017 5:00 PM CDT FAQの追記
May 12, 2017 4:20 PM CDT Extra.dat ファイルの更新
May 12, 2017 3:45 PM CDT
  • 感染端末におけるメッセージの画面ショット追加
  • 重要事項:Critical Microsoft Patch MS17-010への更新案内を追記
May 12, 2017 2:35 PM CDT
  • Ransom-WannaCry 用 Extra.dat ファイルの添付、および関連記事の追記
  • VSEおよびENSのアクセス保護ルールに関する情報の掲載
May 12, 2017 1:05 PM CDT 類似する脅威名の追記
May 12, 2017 12:30 PM CDT 本記事の作成および公開


この脅威は、感染したシステムで次のような症状を示します。
・ファイルは .wnry, .wcry, .wncry、および .wncryt 拡張子で暗号化されます。 画面には、ランサムメッセージを含む文が表示されます。
・以下のRansom-WannaCry画面が表示されます。


・再起動すると、影響を受けるコンピュータでブルースクリーンエラーが発生し、起動できなくなります。
・ローカルホストとオープンSMB共有が暗号化されることを確認しています。

重要:SMB共有が暗号化されることを防ぐため、すぐにマイクロソフトのクリティカルパッチMS17-010をインストールする必要があります。
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
 
 
VirusScan EnterpriseVSE)およびエンドポイントセキュリティ(ENS)アクセス保護プロアクティブ対策

注意: VSEおよびENSアクセス保護ルールは、".WNRY" ファイルの作成を防止します。
このルールは、".WNCRYT"、".WNCRY"、および/または ".WCRY" 拡張子を含む、暗号化ファイルを作成するための、暗号化ルーチンを防ぎます。".WNRY" に対するブロックを実装すると、他の暗号化されたファイルの種類に対するブロックは必要ありません。



VSE Access Protection ルールを使用する場合:
ルール 1:
 
ルールのタイプ: レジストリのブロックルール
組み入れるプロセス: *
保護するレジストリのキーまたは値: HKLM - /Software/WanaCrypt0r
保護するレジストリのキーまたは値: キー
ブロックするレジストリのアクション: キーまたは値の作成
 
 
ルール 2:
 
ルールのタイプ: ファイル/フォルダのブロックルール
組み入れるプロセス: *
ブロックするファイルまたはフォルダの名前: *.wnry
禁止されたファイルアクション: 新規ファイルの作成
 
 
ENS Access Protection ルールを使用する場合:
 
ルール 1:
 
実行ファイル 1:
対象ステータス: 含む
ファイル名またはパス: *
 
サブルール1:
 
サブルールの種類: レジストリ キー
操作: 作成
対象1:
 
対象ステータス: 含む
レジストリキーのパス: *\Software\WanaCrypt0r
 
 
サブルール2:
 
サブルールの種類: ファイル
操作: 作成
対象1:
 
対象ステータス: 含む
ファイル、フォルダー名またはファイル パス: *.wnry
  

Host Intrusion Prevention (Host IPS) カスタムシグネチャプロアクティブ対策

注意: Host IPS カスタムシグネチャルールは ".WNRY" ファイルの作成を防止します。これらのルールは ".WNCRYT", ".WNCRY" 、および/または ".WCRY" 拡張子を含む、暗号化されたファイルを表示する暗号化ルーチンを防止します。 ".WNRY" ファイル作成に対するブロックを実装することで、他の暗号化ファイルタイプをブロックする必要がなくなります。

 Host IPS カスタムシグネチャルールの使用方法:

シグネチャルール 1:

新しい標準サブルール
ルールの種類 = Registry
操作 = 作成, 変更, 権限の変更
パラメータ, "を含む" "レジストリキー" 
レジストリキー= \REGISTRY\MACHINE\SOFTWARE\WanaCrypt0r
実行ファイル = *

シグネチャルール 2:

新しい標準サブルール
ルールの種類 = Files
操作 = 作成, 書き込み, 名前の変更,読み取り専用属性と隠しファイル属性を変更する
パラメータ, include Files 
ファイル= *.wnry
実行ファイル = *



 

Endpoint Security (ENS) with Adaptive Threat Protection (ATP) – Real Protect と Dynamic Application Containment (DAC) 

ENS 10.5 Adaptive threat Protection Real Protect は Dynamic Application Containment と連携して、未知の脆弱性に対する次世代のプロテクションを提供します。

ENS with ATP では WannaCry の既知の亜種すべてに対して、完全なプロテクションを提供します。 WannaCry に関する未知の亜種を検出するため、マカフィーでは下記の ATP 構成を推奨します。
 

  1. 以下の設定を実施します。"Adaptive Threat Protection" - "Options" ポリシー:

Rule Assignment = Security (デフォルト設定は Balanced)


 

  1. 以下のルールを設定します。"Adaptive Threat Protection" – "Dynamic Application "Containment" ポリシー:
Dynamic Application Containment – Containment ルール
KB87843 – Best Practices for ENS Dynamic Application Containment Rues を参照のうえ、推奨される DAC ルールを規定通りにブロックへ設定します。

ルール1:
 
ルール名: 任意の子プロセスの実行
 
ルール2:
 
ルール名: ユーザー Cookie の場所へのアクセス

ルール3:
 
ルール名: .html, .jpg、 または .bmp 拡張子がついたファイルの作成

ルール4:

ルール名: .exe 拡張子がついたファイル作成

ルール5:

ルール名: ユーザーのデータフォルダ変更

ルール6:

ルール名: スタートアップのレジストリ変更

ルール7:

ルール名: 重要な Windows ファイルとレジストリ変更

ルール8:

ルール名: ネットワーク上のファイルの読み取り、または変更

ルール9:

ルール名: .bat 拡張子がついたファイルの変更

ルール10:

ルール名: .vbs 拡張子がついたファイルの変更

ルール11:

ルール名: .bat 拡張子がついたファイルの作成

ルール12:

ルール名: ランサムウェがよく狙うファイルの読み取り

ルール13:

ルール名: ネットワーク上でのファイルの作成

ルール14:

ルール名: ランサムウェがよく狙うファイルへの書き込み

ルール15:

ルール名: 隠し属性ビットの変更

McAfee NSPでのWannaCry Ransomware カバレッジ

対応シグネチャ:
  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)  
  • 0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)  
  • 0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)                                                                             
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)                                
 
NSPのリサーチチームは、CVE-2017-0148の情報を確認しUDSを作成しました。USDは登録済みユーザー向け KB55447より入手可能です。https://support.mcafee.com にアクセスし記事にアクセスしてください。 



FAQ:Ransom-WannaCry
 
McAfee Application Control(MAC)をブロックモードで使用すると、感染を防止できますか? 
はい、MACはホワイトリストに登録されていない新しいハッシュ値をすべてブロックします。
 
なぜアクセス保護ルールに名前を付けていますか?
ルール名はルール自体に影響を及ぼさず、自由に名前を付けることができます。

DATで問題が解決されますか? またはレジストリアップデートも必要ですか?
添付された Extra.DAT と緊急 DAT によって現時点で McAfee Labs へ提出されたすべての既知の亜種を検出し、今後の DAT バージョンでも対応を強化します。既知の Ransom-WannaCry 亜種をブロックするための一般的なアプローチとして、アクセス保護ルールを推奨しています。


McAfee は Extra.DAT をチョイスしたのは何故ですか? 保護するための情報を DAT へ直接含めなかったのは何故ですか?
驚異の亜種が新たに発見されたため、Extra.DAT リリースと本ナレッジを更新しました。プロダクション DAT ではこれらの新しい亜種に対応していないため、現行のプロダクション DAT と Extra.DAT の使用を推奨します。
 

 

関連情報:

KB50642 - VirusScan Enterprise 8.x に Extra.DAT をローカルで適用する方法
KB67602 - ePolicy Orchestrator 経由で EXTRA.DAT を手動でチェックインし配備する方法

 

Attachment

EXTRA_20170514-2.zip
6K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.