ランサムウエアBad RabbitもWannaCryと同じ脆弱性MS17-010悪用

欧州・ロシアで感染拡大中のランサムウエア「Bad Rabbit」ですが、日本国内でもじわりじわり感染が広がっているという。しかし、偽装プログラム配布場所(水飲み場)は、10月25日時点でアクセス不可となっており、限定的攻撃であったとも言われています。

Bad Rabbitは、有名なWannaCryと同様に、Windowsの脆弱性(MS17-010)を利用して、感染拡大を目指します。従って、過去のランサムウエアに懲りたWindows利用者であれば、対策済みだと信じています。

今回の手口は、Webサイトを改ざんされ、不適切なjavascriptが埋め込まれてしまう。その改ざんされたWebサイトにアクセスした利用者は、気付かれずに悪意のあるソフトウエアをダウンロード(これをドライブバイダウンロードという)で感染します。この悪意のあるソフトウエアは、Adobe Flash Playerのインストーラーを偽装しており、これをインストールした場合に、このマルウエアの一種であるランサムウエアBad Rabbit(暗号化ウイルス)に感染します。

引き続き、「データのバックアップを取る」「Windows updateを実施する」「ウイルス駆除ソフトを常駐させる」という対策を実施していきましょう。

ランサムウェア「Bad Rabbit」配布目的で、国内企業サイトが改ざん被害〜日本への攻撃は全体の3%か?(impress、2017.10.27)
ウェブサイトからAdobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせて感染を広げる。Bad Rabbitに感染すると、オープンソースツール「DiskCryptor」により対象の拡張子を持つファイルを暗号化されるほか、同梱するオープンソースソフト「Mimikatz」を悪用し、感染PCの資格情報を窃取。SMBを通じてローカルネットワーク内のほかのPCへと感染を広げる機能を備えている。

 

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される(Trendmiro、2017.10.25)
Bad Rabbit はファイル共有プロトコル 「Server Message Block(SMB)を利用して拡散します。この手法は、管理共有フォルダに対して「総当たり攻撃(ブルートフォース攻撃)」を仕掛け、侵入に成功した場合、そのフォルダに自身の複製を作成するものです。もし総当たり攻撃が失敗した場合、SMB の脆弱性「EternalRomance」を利用します。この脆弱性は 2017 年 3 月にセキュリティ情報「MS17-010」で更新プログラムが提供されています。

 

データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大(Gigazine、2017.10.25)
「Bad Rabbit」はロシアを中心に、ウクライナ、トルコ、ドイツなどヨーロッパに感染が急拡大しているマルウェアで、感染すると保存したデータを暗号化されてしまい、データを復号してほしければ仮想通貨ビットコインで0.05BTC(記事作成時点で約3万2000円)を支払え、と脅されます。暗号化にはDiskCryptorが使われており、データはRSA 2048で暗号化されるとのこと。

 

Bad Rabbit:新たな大規模ランサムウェア攻撃の兆し(Kaspersky、2017.10.26)
今年は、世を騒がせた大規模なランサムウェア攻撃が2つありました。WannaCry、そしてExPetr(別名PetyaとNotPetya)です。現在は、今年3つ目となる大規模攻撃が進行中と見られます。

□□□カスペルスキー製品をお使いの場合:
●システムウォッチャーとKaspersky Security Networkが有効になっていることを確認する。無効になっている場合は、有効にしてください。

□□□カスペルスキー製品をお使いでない場合:
●ファイル「c:\windows\infpub.dat」と「c:\Windows\cscc.dat」は開かないでください。
●ネットワーク内でランサムウェアが拡散するのを防ぐため、可能であればWindows Management Instrumentation(WMI)を無効にしてください。

□□□共通の推奨事項:
●データのバックアップを取りましょう。
●身代金は支払わないでください。

 

ランサムウェア『Bad Rabbit』について超絶簡単にまとめてみた。 (にゃんたくのひとりごと、2017.10.25)
Virustotal結果https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/details

 

ランサムウェア「Bad Rabbit」の内部構造を紐解く(MBSD、2017.10.27)