当社は、企業環境で検出されている、修正された Petya ランサムウェアの亜種 (PetrWrap, PetWrap, Petya.A, Petja, BadRabbit および Bad Rabbit とも呼ばれます) を認識しています。

• 当社の最新のソフトウェアは、これらすべての脅威を検出します。
  
• 2017 年 6 月 27 日に、r Petya の対応範囲を含めるために Extra.DAT (この記事に添付) を最初にリリースしました。
  
• また、2017 年 6 月 28 日に Petya の対応を含む緊急 DAT をリリースしました。その後の DAT にも対応が含まれます。
  対象範囲の最小 DAT:
  
  • Endpoint Security ( 3025 ) 以降
  • VirusScan Enterprise ( 8574 ) 以降
    
• この記事に添付されている Extra.DAT は、上記の DAT およびそれ以降の DAT に含まれています。
  
• Global Threat Intelligence (GTI) ファイル レピュテーション ( 低 設定) でもこれらの脅威を検出できます。

この記事は追加情報が入手可能になると更新されます。この記事の更新を引き続き監視してください。

この記事の最近の更新

• Petya は次の症状を示します。
  
  • 伝播方法は、リモート デスクトップ プロトコルとサーバー メッセージ ブロック (SMB) プロトコルを介しているようです。
    
  • ラランサムウェアは、感染したシステムに次のメッセージを表示する場合があります。
    
    Repairing file system on C:
    
    The type of the file system is NTFS.
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.
    
    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!
    
    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)
    
  • 暗号化後、影響を受けるシステムはユーザーに再起動を求める場合があります。再起動後、次のような身代金要求画面が表示されます。
    
    
    
  • 現在影響を受けることがわかっているファイル拡張子は次のとおりです。
    

    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

• BadRabbit は次の症状を示します。
  
  • ランサムウェアは、感染したシステムに次のメッセージを表示する場合があります。
    
    Disable your anti-virus and anti-malware programs
    Oops! Your files have been encrypted.
    
    If you see this text, your files are no longer accessible. You might have been looking for a way to recover your files. Don't waste your time. No one will be able to recover them without our
    decryption service.
    
    We need to guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password.
    
  • 影響を受けるシステム上のデータは暗号化されます。
    
  • ユーザーは、TOR ネットワーク上のドメイン ( caforssztxqzf2nm.onion ) にアクセスするように指示されます。支払いページは以下のようになります。
    
    
    
  • 影響を受けることがわかっているファイル拡張子は次のとおりです。
    

    .3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip