【辞書】
◆WannaCry (Wikipedia)
https://ja.wikipedia.org/wiki/WannaCry
【概要】
- 別名
| No | マルウェア名称 | 使用組織 |
|---|---|---|
| 1 | WannaCry | US-CERT, SANS, 総務省, 警察庁 |
| 2 | Wanna Cry | Microsoft |
| 3 | WannaCrypt | JPCERT/CC |
| 4 | Wanna Cryptor | IPA |
| 5 | WanaCryptor | |
| 6 | WanaCrypt0r | |
| 7 | Wcry | Trendmicro |
- 利用する脆弱性
- MS17-010(※1): Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
CVE番号に関しては、諸説ある
| No | CVE番号 | 発表組織 |
|---|---|---|
| 1 | CVE-2017-0144 | Trendmicro, Paloalto |
| 2 | CVE-2017-0145 | JPCERT/CC, Microsoft |
※1: CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148に相当
- 拡張子
- 暗号化時に「.WNCRY」という拡張子を元のファイル名に追加
| abc.jpg ⇒ abc.jpg.WNCRY |
- 感染方法
| 手法 | 場所 | 確認 | 備考 |
|---|---|---|---|
| メール | 国内 | × | |
| 海外 | ? | Dropboxからマルウェアをダウンロード(確証なし) | |
| Web | 国内 | ? | 報告なし |
| 海外 | ? | 報告なし | |
| Network | 〇 |
- 初期進入
- バックドア経由(Malwarebytes)
- ネットワーク感染活動
- 他のPCに感染するために、ダウンロードしたマルウェアをMicrosoft Security Center (2.0)というサービスとして実行する
- SMBサーバを検索
- CVE-2017-0144/0145の脆弱性をついて感染拡大
- 感染対策
| No | 対策 |
| 1 | 脆弱性バッチの適用(MS17-010) |
| 2 | 上記が適用不可の場合は、SMB v1 の利用を停止 |
- 身代金
| 時期 | 身代金 |
| 初期 | 300ドル(=約3.4万円) |
| 3日以後 | 600ドル(=6.8万円) |
| 1週間以後 | ファイルを消去 |
-
- 支払いによってデータが回復した例なし
- 送金額
| Bitcoinアドレス | 取引回数 | 受信額 | 残高 |
| 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn | 96 | 13.60232262 BTC | 13.60232262 BTC |
| 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw | 103 | 16.86888494 BTC | 16.86888494 BTC |
| 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 | 120 | 19.02389183 BTC | 19.02389183 BTC |
| 計 | 319 | 49.49509939 BTC | 49.49509939 BTC |
2017/05/23 19:00現在
出典: https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
- 脅迫メッセージ
出典: http://image.itmedia.co.jp/l/im/news/articles/1705/14/l_yu_cry1.jpg
- 暗号解読
- Windows XPで成功事例が報告される
- 感染国
- 150カ国、30万件以上
- 感染は5/12~5/13に一気に拡大か
| 国名 | 国名 | 国名 | 国名 |
| 英国 | ロシア | スペイン | 米国 |
| オーストラリア | ベルギー | フランス | ドイツ |
| イタリア | メキシコ | 日本 | 中国 |
| ベトナム | トルコ | 台湾 | チリ |
- 感染組織(日本)
| No | 組織名 |
| 1 | 病院 |
| 2 | 個人 |
| 3 | 日立製作所 |
| 4 | JR東日本(高崎支社)*1 |
| 5 | 川崎市上下水道局*2 |
| 6 | 東急電鉄 |
| 7 | 富士・富士宮市消防指令センター |
| 8 | 日立金属 |
- 感染組織(日立製作所)
- 日立製作所とJR東日本で感染を確認
- 日立 電子メールの管理などを行う社内のシステムに被害
- 日立 家電製品の受注や発注をするためのシステムにも障害が発生
- 感染組織(海外)
| No | 国名 | 組織 |
| 1 | 英国 | 国民保健サービス(NHS) |
| 2 | スペイン | テレフォニカ(Telefonica) |
| 3 | 米国 | フェデックス(FedEx) |
| 4 | ロシア | 内務省 (1000台) |
| 5 | ロシア | メガフォン(MegaFon) |
| 6 | 中国 | 山東大学、南昌大学、大連海事大学、桂林航天工業学院などの大学が相次いで被害(中新網) |
| 7 | 中国 | 国営中国石油天然気集団公司(CNPC)電子決済サービスが使用不能 |
- 作成者
| No | 容疑者 | 根拠 | 情報元 |
| 1 | 中国 | 中国語が流ちょうなのに、英語の方が片言 | 大紀元 |
| 中国語をGoogle翻訳で他言語に翻訳 | Flashpoint | ||
| 2 | ロシア | ロシアで被害が拡大 | |
| 3 | 北朝鮮 | コードがラザルスのコードに類似 | Symantec, Kaspersky |
- 亜種
| No | 日 | マルウェア名 | 備考 |
| 1 | Uiwix | キルスイッチが省略 |
【感染デモ】
◆IPA ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ(IPA, 2017/05/22)
https://youtu.be/kVhe_Jh_-_w
【注意喚起】
◆Identificado ataque de ransomware que afecta a sistemas Windows (CCN-CERT, 2017/05/12)
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
◆Alert (TA17-132A) Indicators Associated With WannaCry Ransomware (US-CERT, 2017/05/13)
https://www.us-cert.gov/ncas/alerts/TA17-132A
◆世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について (IPA, 2017/05/14)
http://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
◆ランサムウエア "WannaCrypt" に関する注意喚起 (JPCERT/CC, 2017/05/14)
https://www.jpcert.or.jp/at/2017/at170020.html
◆Multiple Ransomware Infections Reported (US-CERT, 2017/05/12)
https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported
◆SANS ISC InfoSec Forums (SANS, 2017/05/12)
https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/
◆ランサムウェア「WannaCry」に注意、総務省が呼び掛け 「セキュリティパッチを最新版に」 (ITmedia, 2017/05/16 11:10)
世界各地で猛威をふるうランサムウェア「WannaCry」について、総務省が注意喚起
http://www.itmedia.co.jp/news/articles/1705/16/news074.html
【報告書】
◆大規模ランサムウエア感染に関する緊急調査レポートを公開 (NTT DATA, 2017/05/17)
http://www.nttdata.com/jp/ja/news/information/2017/2017051701.html
◆ランサムウェア「WannaCry」対策ガイド rev.1 (Lac, 2017/05/19)
https://www.lac.co.jp/lacwatch/report/20170519_001289.html
◆WannaCry ランサムウエアに関するレポート (東京大学大学院情報学環, 2017/05/18)
http://sisoc-tokyo.iii.u-tokyo.ac.jp/wp-content/uploads/2017/05/20170518_WannaCry_report.pdf
【感染経路】
◆ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る (Trendmicro, 2017/05/18)
http://blog.trendmicro.co.jp/archives/14920
◆大規模サイバー攻撃 ネット接続だけでウイルス侵入か (NHK, 2017/05/18 18:00)
http://www3.nhk.or.jp/news/html/20170518/k10010986481000.html
【初期侵入経路】
◆「Wannacry」の初期侵入はバックドア経由--Malwarebytesが指摘 (ZDNet, 2017/05/22 13:01)
https://japan.zdnet.com/article/35101516/
◆「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表 (ITmedia, 2017/05/22 07:40)
http://www.itmedia.co.jp/enterprise/articles/1705/22/news057.html
【感染OS】
出典: http://www.itmedia.co.jp/news/articles/1705/20/news034.html
- 感染の98% は Windows7
- Windows 7 x64 は 60%
- Windows XP の感染はほぼゼロ
◆「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ (ITMedia, 2017/05/20 19:12)
http://www.itmedia.co.jp/news/articles/1705/20/news034.html
【セキュリティベンダー統計・検知情報】
◆The worm that spreads WanaCrypt0r (MalwareBytes, 2017/5/12)
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
◆Cylance vs. WannaCry-WanaCrypt0r 2.0 (Cylance, 2017/05/12)
https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html
◆An Analysis of the WANNACRY Ransomware outbreak (McAfee, 2017/05/12)
https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/
◆Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica. (AVAST, 2017/05/12)
https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today
◆Player 3 Has Entered the Game: Say Hello to 'WannaCry'(Cisco Talos, 2017/05/12)
http://blog.talosintelligence.com/2017/05/wannacry.html
◆WannaCry ransomware used in widespread attacks all over the world (SECURELIST, 2017/05/12 17:30)
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
◆Wanna Decryptor (WNCRY) Ransomware Explained (Rapid7, 2017/05/12)
https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained
◆WannaCrypt ransomware worm targets out-of-date systems (Microsoft, 2017/05/12)
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
◆How to Accidentally Stop a Global Cyber Attacks (MalwareTech, 2017/05/13)
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
◆WannaCry (Arbor, 2017/05/13)
https://www.arbornetworks.com/blog/asert/wannacry/
◆トレンド、週末24時間に「WannaCrypt」を数百件検出 - 拡散に「Dropbox」も悪用 (Security NEXT, 2017/05/15)
http://www.security-next.com/081633
◆重要な更新情報: WannaCryランサムウェア (Fortinet, 2017/05/15)
http://www.fortinet.co.jp/security_blog/170515-wannacry-ransomware.html
◆ランサムウェアWannaCryに関するさらなる分析 (McAfee, 2017/05/16)
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html
◆ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る (Trendmicro, 2017/05/18)
http://blog.trendmicro.co.jp/archives/14920
◆ランサムウェア「WannaCry」の現状をKasperskyが解説 (Internet Watch, 2017/05/18 16:23)
http://internet.watch.impress.co.jp/docs/news/1060364.html
◆英Sophos、ガイダンスやタイムラインなどWannaCry分析資料 (マイナビニュース, 2017/05/24)
http://news.mynavi.jp/news/2017/05/24/106/
◆WannaCry: how the attack happened (Sophos, 2017/05/19)
https://news.sophos.com/en-us/2017/05/19/wannacry-how-the-attack-happened/
◆Is WannaCry Really Ransomware? (McAfee, 2017/06/08)
https://securingtomorrow.mcafee.com/executive-perspectives/wannacry-really-ransomware/
【解析情報】
◆WannaCryの解析 (まとめ)
http://malware-log.hatenablog.com/entry/WannaCry_Analisys
