2017年6月28日

ExPetr(New Petya、NotPetya)の大発生

ニュース 脅威

※2017年6月29日更新:当該マルウェアをKaspersky Labでは「ExPetr」と命名。それに伴い、タイトルおよび本文の該当箇所を変更しました。このほか、検知名および身代金支払いに関する記述も更新しました。

2017年6月27日(日本時間深夜)に始まったランサムウェアの世界的大流行は、つい最近発生したWannaCryの事例と同等の規模であるように見受けられます。

わずか数時間の間に数か国の大手企業が感染を報告しており、感染規模はさらに拡大が見込まれます。

一部リサーチャーは、この新たなランサムウェアがWannaCryである可能性(実際にはWannaCryではない)、あるいはPetyaの亜種(Petya.A、Petya.D、PetrWrap(英語記事))である可能性を示唆しています。Kaspersky Labのエキスパートは、この新しいマルウェアが、これまでにPetyaとして知られているどのバージョンとも大きく異なるとの結論に至り、別のマルウェアファミリーであると位置付けました。当社では、このマルウェアを「ExPetr」と名付けています(非公式ながら「NotPetya」という呼称もあります)。

今回の件は、複数の攻撃媒介が関与する複合型の攻撃と見られます。現時点で確認しているのは、EternalBlueエクスプロイトの修正版が、少なくとも企業ネットワーク内の感染拡大に使用されていることです。この攻撃の技術的詳細(IOC、YARAルール含む)については、こちらの記事をご参照ください。

現時点でカスペルスキー製品は、この新しいランサムウェアを以下の検知名で検知およびブロックします。

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic(Kaspersky Security Networkにより検知)
  • PDM:Trojan.Win32.Generic(システムウォッチャー機能により検知)
  • PDM:Exploit.Win32.Generic(システムウォッチャー機能により検知)

 

カスペルスキーの企業向け製品をお使いのお客様へ:

  1. Kaspersky Security Networkとシステムウォッチャー機能を有効にしてください。
  2. 定義データベースを、ただちに手動でアップデートしてください。
  3. Windows OSのセキュリティ更新プログラムをすべて適用してください。特に重要なのは、EternalBlueに悪用されるバグを修正するプログラムです。
  4. 追加の対策として、Kaspersky Endpoint Securityのアプリケーション権限コントロールを利用するのもよいでしょう。この機能を利用して、すべてのアプリケーショングループに対し、「perfc.dat」というファイルへのアクセスを拒否するように設定し(このファイルの実行や関与を防ぐため)、PsExecユーティリティ(Sysinternals Suiteの一部)が実行しないように設定してください。
  5. 4に代わるものとしては、Kaspersky Endpoint Securityのアプリケーション起動コントロールを使用してPsExecユーティリティの実行をブロックする方法もあります。ただし、perfc.datのブロックにはアプリケーション権限コントロールをお使いください。
  6. Kaspersky Endpoint Securityのアプリケーション起動コントロールを、ホワイトリストモードに設定してください。
  7. このほか、Windows AppLocker機能を使用して、perfc.datとPsExecユーティリティの実行を無効化することもできます。

一般の皆様へ:

  1. データのバックアップを取ってください。バックアップデータがあると、万一の場合に役立ちます。
  2. カスペルスキー製品をお使いであれば、Kaspersky Security Networkとシステムウォッチャー機能を有効にしてください。
  3. 定義データベースを、今すぐ手動でアップデートしてください。
  4. Windows OSのセキュリティ更新プログラムをすべて適用してください。特に重要なのは、EternalBlueに悪用されるバグを修正するプログラムです。適用方法はこちらをご覧ください

身代金支払いについて

Motherboardに掲載されたアップデート情報(英語記事)によると、ドイツのメールプロバイダーPosteoは、被害者から脅迫者への連絡やBitcoin取引の確認、復号鍵の受け取りに使われていたとみられるメールアドレスを閉鎖しました。つまり、今後は身代金を支払ってファイルを取り戻すことは期待できません。なお、Kaspersky Labでは、身代金の支払いをお勧めしていません。

なお、Kaspersky Labのエキスパートの分析では、暗号化されたデータを元に戻せる見込みはないことが示唆されています。

当社では、マルウェアの暗号化ルーチンの高レベルコードを解析し、攻撃者は暗号化されたディスクを復号できないと判断しました。復号には、固有のインストールIDが必要です。今回のマルウェアと類似が指摘されるランサムウェア(Petya、Mischa、GoldenEye)の場合、インストールIDにはキー復旧に必要な情報が含まれています。しかし、ExPetr(別名NotPetya)の場合、インストールIDにその情報がありません。したがって、攻撃者は復号に必要な情報を取り出すことができず、暗号化されたデータを復旧することはできません。身代金を支払わないことを強く推奨いたします。