Loading...

Knowledge Center


変更された Petya ランサムウェアの亜種に対する保護( 2017 年 6 月)
Technical Articles ID:   KB89540
Last Modified:  2017/09/05
Rated:


Environment

DAT を使用するマカフィー製品

注意: この記事はマカフィー Business 製品および Enterprise 製品のみに適用されます。マカフィー コンシューマー向け製品または Small Business 製品に関する情報やサポートが必要な場合は、https://service.mcafee.com にアクセスしてください。
Petya に関するコンシューマー向けの記事:TS102703

Summary

マカフィーでは、企業環境で検出された、変更された Petya ランサムウェアの亜種(PetrWrap、PetWrap、Petya.A、Petja とも呼ばれる)を認識しています。

  • マカフィーは、この脅威に対する対策を含めるために Extra.DAT(この記事に添付)をリリースしました。
     
  • マカフィーは、緊急 DAT をリリースし、Petya を対象に含めました。 今後の DAT にもこの対策は含まれます。
    対応済の最小 DAT:
     
    • VSE(8574)以上
    • ENS(3025)以上
       
  • この記事に添付されている Extra.DAT は、上記の DAT に含まれています。上記の DAT に更新していない場合は、この記事に添付されている Extra.DAT を引き続き使用する必要があります。
     
  • マカフィーはまた、Global Threat Intelligence(GTI)ファイル レピュテーション( の設定)でこの脅威を検出しています。
 

マカフィーの観察と分析は、https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire を参照してください。

追加情報が使用可能になった時点で、この記事は更新されます。更新のためにこの記事を継続して監視してください。

この記事の最新のアップデート

この記事が更新されたときに電子メール通知を受信するには、ページ右側の 購読 をクリックします。購読するには、ログインする必要があります。

日付 更新
2017 年 7 月 20 日 お客様が検索した同義語を追加しました。
2017 年 7 月 19 日 PSExec に関する情報を訂正しました。
2017 年 7 月 3 日 VirusScan Enterprise および Endpoint Security の推奨されるアクセス保護ルールを更新し、Petya のこの特定の亜種をより効果的にターゲットとしました。
2017 年 6 月 28 日 17:30 GMT ENS DAT(3025)に関する情報を追加。
2017 年 6 月 28 日 12:45 GMT 緊急 DAT 8574 に関する情報を追加。
2017 年 6 月 28 日 12:10 GMT マカフィーの観測と分析へのリンクを追加。
2017 年 6 月 28 日 1:55 GMT Network Security(NSP)ユーザー定義のシグネチャ(UDS)と更新された対象に関する情報を追加。
2017 年 6 月 28 日 0:40 GMT 既存のシグネチャを更新して 0x43c0bd00- NETBIOS-SS を追加:MS17-010 SMB リモートコードの実行(Eternal Tools および WannaCry ランサムウェア)
2017 年 6 月 27 日 22:40 GMT
  • VSE および ENS のアクセス保護ルールを追加。
  • 関連情報セクションにリソースをさらに追加。
2017 年 6 月 27 日 21:30 GMT
  • 更新された Extra.DAT を参照できないという報告があったため、新しい名前で再度添付しました。正しいファイル名は EXTRADAT.zip です。
  • マカフィー NSP の Petya の対応を追加。
2017 年 6 月 27 日 20:23 GMT 新しい ExtraDAT ファイルで更新。


この脅威は次のような症状を示します。

  • 伝播方法は、リモート デスクトップ プロトコル(RDP)および/またはサーバー メッセージ ブロック(SMB)プロトコルを経由しているように見えます。
     
  • ランサムウェアが感染した PC で、次のメッセージが表示されることがあります。

    Repairing file system on C:

    ファイルの種類は NTFS です。
    ディスクの 1 つにエラーが含まれており、修復が必要です。このプロセスの完了までに数時間かかる場合があります。完了するまで待機することを強く推奨します。

    警告:PC の電源をオフにしないでください。CHKDSKこのプロセスを中断すると、すべてのデータが壊れる可能性があります。電源ケーブルが接続されていることを確認してください。

    CHKDSK はセクター xxxxx / xxxxxxxx (x%) を修復しています。


     
  • 暗号化後、影響を受けたシステムでは、ユーザーに再起動が求められることがあります。再起動後、以下のようなランサムウェアの画面が表示されます。



     
  • 影響を受けたことが知られているファイル拡張子は以下のとおりです。
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

優先する防止アクションとして、MS17-010 のすべてのシステムを更新してください(まだパッチが適用されていない場合)。
 

McAfee NSP の Petya ランサムウェア対応
既存のシグネチャ:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 SMB リモートコードの実行(Eternal Tools および WannaCry ランサムウェア)
  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 同一の MID および FID のタイプの混乱の脆弱性(CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS: Windows SMB リモート コード実行の脆弱性(CVE-2017-0144)
  • 0x43c0b400- NETBIOS-SS: Windows SMB リモート コード実行の脆弱性(CVE-2017-0145)
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB アウト オブ バウンド書き込みの脆弱性(CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 情報漏洩の脆弱性(CVE-2017-0147)
  • 0x451e3300- HTTP: Microsoft Office OLE 任意のコード実行の脆弱性(CVE-2017-0199)
NSP 研究チームは、更新された対象でユーザー定義シグネチャ(UDS)を作成しました。この UDS は、KB55447 からダウンロードできます。

上記で参照された記事は、ServicePortal に登録済みのユーザーが利用できます。

登録記事を参照するには、
  1. ServicePortal }http://mysupport.mcafee.com にログインします。
  2. ホームページのナレッジセンターの検索で記事 ID を入力します。
  3. 検索をクリックするか、ENTER キーを押します。


VirusScan Enterprise(VSE)およびエンドポイント セキュリティ(ENS)のアクセス保護ルール
VSE および ENS に対する以下のアクセス保護ルールは、マルウェア対策に役立ちます。 マカフィーは、Petya のこの特定の変種をより効果的にターゲットにするため、推奨される AP ルールを更新しました。

注:これらのアクセス保護ルールによって、Extra.DAT の実装が不要になるものではありません。これらは、マルウェア対策を支援することを目的としていますが、システム上でマルウェアのペイロードが作成または実行されることを防止しません。 これらの 2 つのアクセス保護ルールは、rundll32.exe が cmd.exe のインスタンスを起動するのを防ぎ、Microsoft Technet の PSExec ユーティリティの作成も防止します。 これらは、PSExec の元のファイル名のダウンロードや保存を防止するものではないため、管理者は必要に応じてこのユーティリティを使用することができます。
  
VSE アクセス保護ルール
含めるプロセス:rundll32.exe
除外するプロセス:
ブロックするファイル/フォルダー:cmd.exe
アクション:ブロック実行

注:これにより、マルウェアのコア動作であると判明した cmd.exe のインスタンスを rundll32.exe という名前のプロセスが実行できないようにします。 これには、カスタム スクリプトのような、同じ動作を実行する正当なソフトウェアが含まれます。
 
含めるプロセス: *
除外するプロセス:
ブロックするファイル/フォルダー:**\PSEXESVC.EXE
アクション:ブロックの作成

注:これにより、任意のプロセスによる PSExec のリモート サービスの作成を防止します。このファイルの作成を防止することで、マルウェアのペイロードの複製に使用されるコンポーネントである PSExec の複製を防止することができます。これにより、管理者がこのルールが適用されているシステムに PSExec の新しいコピーを保存することを防止することはできませんが、PSExESVC.EXE がターゲット システム上に作成されるのを防ぎ、悪意の目的使用されるか通常のリモート管理目的に使用されるかにかかわらず、PSExec の使用を防止します。
 
 
ENS アクセス保護ルール
ファイル名またはパスに rundll32.exe を使用して、含めるステータスが「含む」の新しいルールを作成する
種類が「ファイル」のサブルールを作成し、ターゲットの場合は cmd.exe を含める
実行を防止するアクションを選択する
 
ファイル名またはパスに * を使用して、含めるステータスが「含む」の新しいルールを作成する
種類が「ファイル」のサブルールを作成し、ターゲットの場合は **\PSEXESVC.EXE を含める
作成を防止するアクションを選択する

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.