ウクライナを中心にランサムウエアPetyaが拡散中

2017年6月27日(日本時間深夜)にウクライナ・ロシアを中心に被害拡大しているランサムウエアPetya(ペチャ、ペトヤ)やPetyaの亜種GoldenEyeですが、国外ではWannaCryを思い出せそうな悪夢な状況に至っている。
piyologには恒例の「まとめ」記事が記載されているので参考をお勧めしたい。

※翌日執筆ブログ「Petya亜種GoldenEyeは破壊活動が目的なウイルス」も併せて参考下さい。

中央銀行や国営通信社、地下鉄、空港、POS端末、ATMなどに加えて、チェルノブイリ原子力発電所のシステムにも感染。原子力発電所の放射線モニタリングシステムが手動作業に切り替えられるという事態に陥っているランサムウエアは、Petyaの亜種、NotPetyaだとか。

(参考)
新たなランサムウェアが大発生(Kaspersky、2017.06.28)
規模ランサムウェア攻撃:技術的詳細(Kaspersky、2017.06.28)
ランサムウェア「GoldenEye」の感染源は会計ソフト? 未確認情報で混乱も(ZDNet、2017.06.28)
中央銀行や国営通信、チェルノブイリ原発をシステムダウンさせたマルウェア「NotPetya(GoldenEye)」が世界レベルで大流行(Gigazine、2017.06.28)

感染経路は、
・Microsoft Officeの脆弱性(CVE-2017-0199)を用いたメールベースの攻撃
・ウクライナの税務会計ソフトベンダー「MeDoc」のソフトウェア更新機能の悪用

拡散方法は、
・WannaCryと同様に、SMB v1の脆弱性を突く「EternalBlue」エクスプロイトなどの手法
※ Windows XP〜Windows 2008が対象。(注:MS17-010にて対応済み)
(参考)
MS17-010 がインストールされたことを確認する方法(Microsoft、2017.05.26)
「WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説(Trendmicro、2017.06.07)

となっている。日本の場合は、ブロードバンドルーターのお陰だったり、Windows updateを無意識的に実施してくれていたり、ウイルス駆除ソフトを利用していたり、サポート切れのOSはなるべく利用していなかったり、などで、WannaCryには感染確率が低かった(気がした)。そのため、今回のPetyaも、WannaCryで対策済みだろうから、国内ではさほど感染するような愚かな感染は発生しないだろう、と見込んでいる。

ただ、今回のランサムウエアであるPetyaは、感染してから10〜60分経過したのち、システムを再起動します。この時間中に、MBR(マスター・ブート・レコード)やMFT(マスター・ファイル・ツリー)の上書きが行われます。また、再起動はWindowsコマンド:at、schtasks、shutdown.exeを使ってスケジュールされます。再起動後、偽のチェックディスク(CHKDSK)が実行され、OSが起動する代わりに、身代金要求の脅迫メッセージを表示するようになるのとのことです。

(参考)
大規模な暗号化型ランサムウェア攻撃が欧州で進行中、被害甚大(Trendmicro、2017.06.28)
続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析(Trendmicro、2017.06.28)

暗号化される拡張子ですが、何気に「Excelが対象外」という謎めいた状況だったりします。
Excelの拡張子は、.xlsや.xlsxですからね。
(参考)Petya— Enhanced WannaCry ?(Matt Suiche

.3ds,.7z,.accdb,.ai,.asp,.aspx,.avhd,.back,.bak,.c,.cfg,.conf,.cpp,.cs,
.ctl,.dbf,.disk,.djvu,.doc,.docx,.dwg,.eml,.fdb,.gz,.h,.hdd,.kdbx,.mail,
.mdb,.msg,.nrg,.ora,.ost,.ova,.ovf,.pdf,.php,.pmf,.ppt,.pptx,.pst,.pvi,
.py,.pyc,.rar,.rtf,.sln,.sql,.tar,.vbox,.vbs,.vcb,.vdi,.vfd,.vmc,.vmdk,
.vmsd,.vmx,.vsdx,.vsv,.work,.xls,.xlsx,.xvd,.zip

(参考)
感染が拡大中のランサムウェアの対策について(IPA、2017.06.28)
Petya ランサムウェアが急増: これまでにわかっていること(Symantec、2017.06.27)
ランサムウェア Petya/GoldenEye への対応状況について(F-Secure、2017.06.28)
インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起(JPCERT/CC、2017.06.28)
新種ランサムウェア「GoldenEye」が世界各地に感染拡大、SMB v1の脆弱性「MS17-010」を突いて感染(impress、2017.06.28)
「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 – 犯人と連絡取れず、身代金支払いは無駄に(SecurityNext、2017.06.28)
WannaCryを超えるおそれ、ランサムウェア「Petya」爆発的感染(マイナビ、2017.06.28)
US-CERT、ランサムウェア「Petya」の爆発的な感染拡大に注意喚起、「WannaCry」を超える危険も(ThinkIT、2017.06.28)
また大規模ランサムウェア攻撃、世界各地で被害–今度は「GoldenEye」(CNET、2017.06.28)
大規模なランサムウェア攻撃 チェルノブイリにも影響(BBC、2017.06.28)