WannaCryは、2017/5/12発見されたランサムウェアです。
暗号化型ランサムウェア「WannaCry」の流行が始まりました。
規模は世界的で、2日間での攻撃の数はジャストシステム調べで
80000件を数えました。実際の攻撃数は、もっと多いでしょう。

https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html



ランサムウエアは、すべてのファイルを暗号化します。
感染したら全てのデータは諦める他なく、例外はありません。
一般的にWannaCryは2段階でやってきます。



--1段階目、感染と感染拡大を意図したエクスプロイド侵入--

エクスプロイドとはマルウェアの一種です。
マルウェアに含まれるデータや実行可能codeがコンピューターや
リモートコンピューターで動作するソフトの脆弱性を悪用します。

簡単に言うとこんな感じです。
例えば、InternetExplorerやFirefox、Opera、Chromeなどの
使用中ブラウザがアップデートせず脆弱性が存在するとします。

すると、PC上で密かに「マルウェアのcode」が実行されたり、
システムが想定外の動作をするようになったりします。
大半のケースで、PCで何でもできるように、権限を昇格させます。

ブラウザーは、Flash、Java、Microsoft Officeと並んで、
特によく狙われるソフトウェアです。広く利用されているため、
セキュリティEXPもハッカーも積極的に脆弱性を探しており、
ベンダーは修正パッチをたびたびリリースしなければなりませんが、
対策という言葉からも、検証→適用…なので遅れるのが常です。

犯罪者は他の感染手段よりエクスプロイトを好む傾向にあります。
運任せになることもある悪戯目的とは違って、脆弱性の悪用は
犯罪者の望みどおりの結果(金銭的結果です)を出せるからです。

エクスプロイトが送り込まれる経路は2つしかありません。
1.悪意あるエクスプロイトcodeが仕込まれたサイトにアクセス
2.一見無害そうな悪質なコードが隠されたファイルを開いたとき
簡単に想像付くと思うが、スパムやフィッシングを介しています。
またjs/jsonは平文&改行コード無しですから、簡単に入ってきます。



--第2段階、暗号化型ランサムウェアをダウンロード--

WannaCryには、他の暗号化型ランサムと異なる特徴があります。
今までの暗号化型ランサムウェア(Locky/Petya)に感染するには、
コンピューター利用者の側で何らかのアクションが必要でした。
例えば、不審なリンクをクリック、Word開いて悪意マクロを実行、
メールに添付された添付ファイルをダウンロードするなどです。
しかしWannaCryの場合、一切の操作を必要としません。

Microsoftは、セキュリティ更新プログラムをインストール済み
なら当該脆弱性は存在せず、PCリモートハッキングはできません。
としていますが…、なんらかの形でWannaCryを実行していれば
(リンクのクリック、マクロの実行、添付ファイルのダウンロード）
完全に感染済みで今現在の段階で被害を防ぐことはできません。



1台のPCが感染すると、WannaCryはLAN内全体に感染を広げます。
そのネットワーク上にあるPCすべて暗号化する可能性があります。
大企業がWannaCryの攻撃に苦しめられているのはこのためです。
ネットワーク上にあるPCの数が多いほど、被害規模が拡大します。
これも以前のLocky/Petya/Cryptとは違うところです。



またWannaCryはさまざまなタイプのファイルを暗号化します。
Office文書、画像、動画、圧縮、データベースソースのほか、
重要なデータを含む可能性のあるファイル形式が影響を受けます。
暗号化されたファイルには「.WCRY」という拡張子が付けられ、
開くことができなくなります。

暗号化の後、デスクトップ壁紙が、感染の事実を告げ、
取るべき行動を指示する内容を含む画像に変更されます。
さらに、感染者が間違いなくメッセージに気付くように、
同じ内容の文章テキストがPC内の各フォルダーに配置されます。

一般的なランサムウェアの場合と同様Bitcoinで身代金を支払い、
その後に全て復号されることになる、というのが一連の流れです。
3日後には身代金の額が増額され、7日後には復号が不可能になる。
身代金を支払っても必ずファイルが復号される保証はないので、
支払いはお勧めしません。




--感染の大きな原因--

大きな原因は、市場に溢れているPCにインストールされたソフト
特にサポート終了とApple/Microsoft/Javaが言っても使い続ける。
Windows2000/XP/VISTA群、Office2000/2003/XP群、JAVA6.x群、
OSX 10.8以前の群、update放置されたWordPressと思ってます。

OSXもWindowsも便利の名の元に画面の裏側でdbが動作します。
悪意がある感染を拡大させたい者が、使わないはずがありません。

今回の攻撃の多くは、ロシアで起きていますが、
ウクライナ、インド、台湾、カザフスタン、タジキスタンでも
WannaCryによる被害が頻発しているようです。




今回、複数の大規模組織が一斉に感染を報告しました。
中でもイギリス病院は、手術を中断せざるをえなくなりました。

日本は今の所、日立とイオンとJR東日本だけ？
日立グループのパソコンは昼の段階で全部止まったらしいです。
感染マップを見ると古いCISCOルータが使用されているところか、
日本にJustsystemとYAMAHAがあってよかったってところですね。




--感染しないためには--

・メールに添付されたファイルは開かない
・メールをOutlookやLiveMailでプレビューしない
・無料のアダルトサイトへはアクセスしない
・オークションなどで販売されるOSやOFFICEを使わない
・感染拡大中やサイバー攻撃とニュースが言うときは触らない
・動作がおかしいなと思ったらシャットダウンする

です。





PS....VISTAがサポート終了して約1か月ですか、
https://omurogi.com/index.php?e=327
どう考えても完全に狙いうちですね、今回のは正直怖いです。
出来れば1週間ほどはWindowsを使いたくない気分ですし、
今もUbuntuで更新してます、自衛隊機が気になるとこですね。