私たちは、企業環境でランサムウェアの亜種が検出されたことを認識しています。脅威名:
Ransom-WannaCry (
WCry,
WanaCrypt,
WannaCrypt, WanaCrypt0r とも呼ばれます)。
以下の関連記事を参照してください:
対象範囲の最小 DAT:
- Endpoint Security (ENS) 2978 以上 *
- VirusScan Enterprise (VSE) 8527 以上 *
* Trellix が定義した既知の亜種に対するコンテンツ保護。
ベスト プラクティスとして、最小限の更新間隔でリポジトリ更新タスクを構成します。これにより、新しいコンテンツがリリースされたときに確実に適用されるようになります。
この記事は、追加情報が入手可能になると随時更新されます。この記事の更新を引き続き監視してください。
この記事のトピック
感染したシステムの症状
VSE アクセス保護ルール
ENS アクセス保護ルール
ENS 適応脅威対策 - Real Protect とアプリケーションの動的隔離
ENS アプリケーションの動的隔離ルール
WannaCry ランサムウェアに対する Advanced Threat Defense の対応範囲
WannaCry ランサムウェアに対する McAfee NSP の対応範囲
よくある質問
この記事の最近の更新
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
日付 |
更新 |
2022 年 10 月 10 日 |
書式設定のマイナーな更新。内容の変更はありません。 |
この脅威によって、感染しているシステムで次の症状が見られます。
- ファイルが、.wnry, .wcry, .wncry, .wcryt, .wncryt 拡張子で暗号化されます。ユーザーには身代金メッセージが表示された画面が表示されます。
- ユーザーには、次の Ransom-WannaCry デスクトップの背景が表示されます。
- 再起動すると、影響を受けるシステムにブルー スクリーン エラーが発生し、起動できません。
- 暗号化はローカル ホストと開いている SMB 共有で見られます。
重要: SMB 共有が暗号化されないようにするには、Microsoft のクリティカル パッチ MS17-010 を直ちにインストールしてください。詳細については、この Microsoft の記事 を参照してください。
トップに戻る
ENS と VSE アクセス保護のプロアクティブな対策
注: ENS と VSE のアクセス保護ルールによって、.WNRY ファイルの作成が回避されます。このルールにより、暗号化ルーチンが防止されます。暗号化ルーチンでは、1 つ以上の .WNCRYT, .WNCRY または .WCRY 拡張子を含む暗号化されたファイルが表示されます。.WNRY に対するブロックを実装すると、暗号化されたファイル タイプに他のブロックは必要なくなります。 |
VSE アクセス保護ルールの使用:
ルール 1:
ルール タイプ: レジストリのブロックルール
追加するプロセス: *
保護するレジストリ キーまたは値: HKLM - /Software/WanaCrypt0r
保護するレジストリ キーまたは値: キー
防止するファイル アクション: キーまたは値の作成
ルール 2:
ルール タイプ:ファイル/フォルダーのブロック ルール
追加するプロセス: *
ブロックするファイルまたはフォルダーの名前 *.wnry
禁止するファイル アクション: 新規ファイルの作成
トップに戻る
ENS アクセス保護ルールの使用:
ルール 1:
実行ファイル 1:
包含: 含める
ファイル名またはパス: *
サブルール 1:
サブルール タイプ:レジストリ キー
操作: 作成
ターゲット 1:
包含: 含める
ファイル、フォルダー名またはファイル パス: *\Software\WanaCrypt0r
サブルール 2:
サブルール タイプ: ファイル
操作: 作成
ターゲット 1:
包含: 含める
ファイル、フォルダー名またはファイル パス: *.wnry
トップに戻る
適応脅威対策(ATP)を備えた Endpoint Security(ENS)- Real Protect とアプリケーションの動的隔離(DAC)
ENS ATP Real Protect と DAC は、未知のエクスプロイトに対する次世代の保護を提供します。
ENS ATP は、WannaCry エクスプロイトの既知の亜種すべてに対して完全な保護を提供します。未知の WannaCry 亜種を検出するには、次の ATP 構成をお勧めします。
- 適応型脅威対策 - オプション ポリシーで次の設定を構成します。
[ルールの割り当て] = [セキュリティ](デフォルト設定は [バランス])
- 適応型脅威対策 – [アプリケーションの動的隔離] ポリシーで次のルールを設定します。
アプリケーションの動的隔離 – 隔離ルール
KB87843 Dynamic Application Containment ルールとベストプラクティス 説明に従って推奨される DAC ルールを ブロック に設定します。
先頭に戻る
Ransom-WannaCry 亜種によってトリガーされる ENS DAC ルール
このセクションでは、既知の WannaCry 亜種によってトリガーされる、観察された DAC ルールに関する追加情報を提供します。ENS セキュリティ スタックの他の層が検出しないプロセスの場合、プロセスを効果的に封じ込めるために追加のルールを有効にする必要がない場合があります。KB87843 - Dynamic Application Containment ルールとベストプラクティス を参照して、推奨される DAC ルールを規定どおりにブロックに設定します。
ルール 1:
ルール名: 任意の子プロセスの実行
ルール 2:
ルール名: ユーザー Cookie の場所へのアクセス
ルール 3:
ルール名: 拡張子が .Html、.jpg、または .bmp のファイルの作成
ルール 4:
ルール名: 拡張子が .exe のファイルの作成
ルール 5:
ルール名: ユーザーのデータ フォルダーの変更
ルール 6:
ルール名: スタートアップのレジストリの場所の変更
ルール 7:
ルール名: 重要な Windows ファイルとレジストリの場所の変更
ルール 8:
ルール名: ネットワーク上のファイルの読み取りまたは変更
ルール 9:
ルール名: 拡張子が .bat のファイルの変更
ルール 10:
ルール名: 拡張子が .vbs のファイルの変更
ルール 11:
ルール名: 拡張子が .bat のファイルの作成
ルール 12:
ルール名: ランサムウェがよく狙うファイルの読み取り
ルール 13:
ルール名: ネットワーク上でのファイルの作成
ルール 14:
ルール名: ランサムウェがよく狙うファイルへの書き込み
ルール 15:
ルール名: 隠し属性ビットの変更
トップに戻る
次のビルド以降で使用可能な WannaCry 用の Advanced Threat Defense(ATD)コンテンツ更新パッケージ:
3.6.x – 3.6.2.103.61987 以降
3.8.x パッケージ – 3.8.2.170207.59307 以降
3.10.x – 3.10.2.170712.61985 以降
4.0 – 基本インストールに含まれる検出
WannaCry ランサムウェアに対する McAfee NSP の対応範囲:
既存の署名:
- 0x43c0b800- NETBIOS-SS: Windows SMBv1 同一の MID および FID のタイプ混同の脆弱性 (CVE-2017-0143)
- 0x43c0b400- NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE 2017-0144)
- 0x43c0b500- NETBIOS-SS: Windows SMB リモートコード実行の脆弱性 (CVE-2017-0145)
- 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB アウト オブ バンド書き込みの脆弱性 (CVE 2017-0146)
- 0x43c0b900- NETBIOS-SS: Windows SMBv1 情報開示の脆弱性 (CVE-2017-0147)
トップに戻る
Ransom-WannaCry に関するよくある質問
Application Control をブロック モードにすると感染を防ぐことができますか? はい、Application Control は許可リストにない新しいハッシュ値をブロックするためです。
Threat Intelligence Exchange (TIE) と ATD の組み合わせによってこのゼロデイ脅威がブロックされますか?
TIE と ATD には、多数のゼロデイ WannaCry サンプルが含まれています。含まれていなかったものについては、WannaCry の後続の亜種をゼロディとして収集したさらなる情報がクラウドに追加されました。ATD は、WannaCry 固有のコンテンツの更新情報もリリースしました。これらのコンテンツの更新情報は最新のビルドで利用できます。
アクセス保護ルールに汎用的な名前を付けるのはなぜですか?
ルール名は、ルール自体に影響を与えないので、必要に応じて任意の名前を付けることができます。
ソフトウェア キーに ‘/’ ではなく ‘\’ が使用されないのはなぜですか?
「\」は入力すべき正しい構文ですが、管理対象製品はパスを変更し、「\」を「/」に置き換えます。
ファイル拡張子ルールが **\*.wnry ではないのはなぜですか?ENS と VSE は異なるワイルドカード構文を使用します。 したがって、どちらもこのルールを適切に使用できるため、
*.wnry を使用するのが最善です。
カバレッジはどの通常の DAT ファイルでリリースされますか?ENS DAT 2978
以降
VSE DAT 8527 以降