この記事では、ランサムウェアの発生時に最初の応答側に一般的なガイダンスを提供します。
ランサムウェアは、ランサムで対象の情報を保持する非対称の暗号化を使用したマルウェアです。 非対称(パブリック/プライベート)暗号化は、ファイルの暗号化と復号化にキーのペアを使用する暗号化です。 攻撃者は、秘密鍵を使用して、攻撃者のサーバーに保存されたファイルを復号化するために、プライベートキーを持つ公開プライベートキーのペアを一意に生成します。侵入されたユーザーは、ファイルを復号化するための秘密鍵を得るために身代金を支払わなければなりません。
現在、さまざまな種類のランサムウェアが存在します。通常、ランサムウェアやその他のウイルス対策は、スパムキャンペーン、フィッシング詐欺メール、または対象の攻撃によって配布されます。弊社のセキュリティ製品では、ランサムウェアの防止に役立つ複数の技術を使用しています。
環境内のランサムウェアの攻撃に対応するには、以下の手順を実行します:
- 影響を受けるシステムを識別し、隔離します 。
影響を受けるシステムを隔離すると、脅威の拡散を防ぐことができます。すべての脅威またはランサムウェアの亜種がこの動作を表示するわけではありません。
- 脆弱性に対する更新を適用し、環境の対応状況を確認します:
- 全てのシステムで、ベンダーまたはオペレーティングシステムの更新を適用します。 このアクションは、マルウェアが悪用している脆弱性を軽減するために重要です。1つでも更新されていないシステムがあると、マルウェアに利用される可能性のある環境の穴が露呈します。
- 環境が既存のセキュリティポリシーに従って準拠していることを確認してください。ランサムウェアの亜種は、アプリケーションまたはオペレーティング システムの脆弱性を悪用します。
- 既知のランサムウェアのすべての動作に関連する ENS ルールをオンラインシステムに適用します。詳細については、関連する記事を参照してください:
- 推奨されるベストプラクティスが適切であるかの確認をします。詳細については、関連する記事を参照してください:
- 関連する追加 .DAT 情報 (使用可能な場合) を適用、テスト、配備します。
追加 .DAT は、脅威を検出して削除するために提供される一時的な検出ファイルです。通常の DAT ファイルにまだ追加されていないファイルです。Trellix Advanced Research Center が Extra.DAT を提供した場合、感染したシステム上でローカルに適用してテストすることがベストプラクティスです。追加の DAT を適切にテストしたら、それを適用して完全なシステムオンデマンドスキャン (ODS) を実行します。
- すべてのシステムで完全な ODS を実行します。
- 環境の管理の確認
過去 24 時間に検出された脅威を確認します。詳細については、以下の関連記事を参照してください:
- 駆除が確認されると、隔離されたシステムをオンラインに戻します。
隔離されたシステムを駆除した後、これらを小さなグループに入れて、後で動作を注意深く監視することをお勧めします。
- バックアップから該当ファイルを復元します。
すべてのシステムがクリーンでネットワークに戻されたら、影響を受けているアプリケーションファイルを正常なバックアップソースまたは Windows シャドウボリュームから復元します。
- インシデント対応と予防措置の実施します。
ゲートウェイでのファイルタイプのブロックは、最も簡単で防御的な方法です(下記のファイルタイプを参照してください)。 ランサムウェア、ダウンローダ、JS / Nemucod はすべて互いに偽装しています。 一般的に、ダウンローダは JS ほど頻繁でありませんが、DOC や XLS としてスパムメールまたはフィッシングメールで受信します。 JS/Nemucod は、J としてスパムまたはフィッシング詐欺メールに届きます。ランサムウェアは、JS、EXE、TMP、SCR、および WSF として到着します。ほとんどのインストーラーは、ユーザープロファイルのディレクトリに、EXE をドロップします。 インストーラーやドロッパーを保護している場合は、ランサムウェアに対しても簡単に保護できます。
ダウンローダと Nemucod (トロイの木馬) の場合は、ファイアウォールルールを作成して、 Microsoft Word 、 Microsoft Excel 、スクリプト、PowerShell による送信呼び出しを防止します。また、これらのアプリケーションによって生成された正当なトラフィックに基づいて正しい許可リストを作成する必要があります。
例えば、組織が Office 365 を使用している場合、 Microsoft ドキュメントOffice 365 の URL と IP アドレスの範囲を参照してください。エンドポイントには、送信許可リストに含める完全修飾ドメイン名、ポート、 URL 、 IPv4 アドレス範囲、および IPv6 アドレス範囲が含まれます。これらのエンドポイントは、コンピューターが Office 365 を正常に使用できるようにします。
また、会社のポリシーではなくアーカイブファイルをブロックすることをお勧めします。アーカイブファイルの例としては、ZIP、RAR、TAR、および JAR などがあります。
- 推奨事項の実装を検討してください:
- セキュリティに関する意識とトレーニングを実施します:
- フィッシング・スパムキャンペーンをシミュレートして、ソーシャルエンジニアリング攻撃に該当するユーザーにセキュリティ意識を持たせます。
- 電子メールで送信されたリンクをクリックする前に、ユーザーに2回考えてください。
- 送信者から要求されない限り、不明または未承諾の添付ファイルを開かないようにユーザーに指示します。添付ファイルを開く前に、電子メールヘッダーを表示するか、別の電子メールを送信して送信者を検証します。
- 不審な電子メールを組織のセキュリティ運用センターに報告します。不審な電子メールを安全に送信する方法と場所について、ユーザーに通知します。
- Microsoft Office アプリケーションでマクロを無効にします。 以下のいずれかのアクションを実行すると、Office アプリケーションでマクロが実行される可能性があります:
- マクロ設定ですべてのマクロを有効にするオプションを選択します。
- マクロを手動で有効にします。
注: デフォルトでは、マクロは無効になっています。マクロの設定で、警告を表示してすべてのマクロを無効にするオプションを選択することをお勧めします。
- ユーザーは、組織の共有フォルダーにビジネスデータをバックアップする必要があります。ランサムウェアの感染時に、ユーザーの端末に存在するデータが完全に失われる場合があります。
- .EXE 、 .RAR、 .SCR、 .CAB、 .VBS、 .BAT、 .WSF、 .JS およびメールと web ゲートウェイで類似した添付ファイルをブロックします。
- Powershell の実行が想定されていないシステムで PowerShell の実行を防止します。
- .doc、 .docx、 .xls、 .xlsx、 または .JS 添付ファイルをスパム対策やウイルス対策のスキャン対象から除外する許可リストポリシーがないことを確認してください。
- SiteAdvisor Enterprise ブラウザープラグインをインストールして、スパムの添付ファイルを検出し、不正なドメインへのアクセスをブロックします。
- 電子メールと web gateway 製品を使用して、不正なリンクを特定し、リンクまたは添付ファイルを含む電子メールをブロックします。
- スパム フィルタ リングを有効にします。