2017年5月15日

株式会社Doctor Web Pacific

5月12日金曜日、「WannaCry」、「WannaCryptor」、「WanaCrypt0r」、「WCrypt」、「WCRY」、「WNCRY」などとも呼ばれる Trojan.Encoder.11432 が世界各地でコンピューターを攻撃し、個人のほか政府機関や企業に大きな被害が出ています。Dr.Webソフトウェアのユーザーは、このランサムウェアから保護されています。

このトロイの木馬の最初の亜種 (Wanna Decryptor 1.0) は2017年3月27日午前07:20にDoctor Webのラボにて解析され、同日午前11:51にウイルスデータベースに追加されています。

「WannaCry」としても知られる Trojan.Encoder.11432 は金曜日の夜から拡散され、土曜日には世界中で大手企業のコンピューターを感染させています。

Doctor Webでは5月12日午前10:45にそのサンプルを入手し、Dr.Webウイルスデータベースに追加しました。

サンプルがデータベースに追加される以前より、Dr.Webは BACKDOOR.Trojan として既にこのトロイの木馬を検出していました。

Trojan.Encoder.11432 と名付けられたこのトロイの木馬はマルチコンポーネントなエンコーダーで、4つのコンポーネント(ネットワークワーム、エンコーダードロッパー、エンコーダー、作成者のデコーダー)を含んでいます。

Trojan.Encoder.11432 は感染させたコンピューター上にあるファイルを暗号化し、それらを復元するために、指定されたe-wallet(イーウォレット)にビットコインで身代金を支払うよう要求します。

このトロイの木馬の大規模拡散は、プロトコル「SMB」の脆弱性が要因となっています。Windows 10よりも古いバージョンの全てのWindows OSがこの脆弱性を持っています。Dr.Webユーザーは、 Trojan.Encoder.11432 の拡散が開始されて以降、何らの被害も受けていません。

Trojan.Encoder.11432 による感染からコンピューターを守るための推奨事項は以下のとおりです：

• お使いのOS向けのMS17-010アップデート(technet.microsoft.com/en-us/library/security/ms17-010.aspxで入手可能)と最新のセキュリティアップデートを全てインストールする。
• アンチウイルスをアップデートする。
• ファイアウォールを使用して、攻撃対象のネットワークポート(139、445)を閉じる。
• 攻撃されている、脆弱性を持ったOSのサービスを無効にする。
• 新しいソフトウェア(実行ファイル)のインストールと実行を禁止する。
• 不必要なユーザー権限を削除する(新しいソフトウェアを起動・インストールする権限)。
• システム内の必要のないサービスを削除する。
• Torネットワークへのアクセスを禁止する。