法人向け製品でのExPetrウイルス攻撃からの対処方法

 

 

共通の記事: 製品共通の記事

 
 
 

法人向け製品でのExPetrウイルス攻撃からの対処方法

"製品共通の記事"へ戻る
2017 6月 30 Article ID: 13753
 
 
 
 

Kaseprsky Labの専門家は、最近発生した世界中の組織に侵入する暗号化型ウイルス感染の調査を続けています。弊社の予備データによると、この暗号化型ウイルスは実際には有名なPetyaランサムウェアファミリーには属していませんが、同じコードが含まれている行が複数存在していました。今回の場合はPetyaの機能と本質的に異なる機能を持つ新しいマルウェアファミリーとなり、弊社はこの新しい暗号化型ウイルスをExPetrと名付けました。

Kaseprsky Labの専門家は現在、ExPetrが複数の攻撃経路で利用されたと考えています。変更されたEternalBlueとEternalRomanceエクスプロイトが、企業ネットワーク全体にExPetrを広めるために使用されたことを確認しています。

Kaspersky Labの製品は、このマルウェアを次のように判定して検出します:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

システムウォッチャー は、このマルウェアを次のように判定し検出します:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

システムウォッチャーを使用すると、多くの場合、カスペルスキー製品は予防として暗号化型ウイルスの初期攻撃ベクトルを正常にブロックします。 Kaspersky Labでは暗号化型ウイルスを発見するシステムウォッチャーの機能を向上させることに取り組んでいます。それにより、今回のような暗号化型ウイルスの可能性のある変更を検出することも可能になります。

Kaseprsky Labの専門家はまた、データを解読できる解読ツールを作成する可能性も模索しています。

この度の攻撃の詳細についてKaspersky Labのレポート[英文]を参照してください。

感染のリスクを最小限に抑えるために、法人製品をお使いのお客様には以下の手順を行うことを推奨します。

  1. ウイルスによって悪用された脆弱性を修正するために次のマイクロソフト公式の更新プログラムをインストールする:
  2. すべての保護機能が有効になっていること、Kaspersky Security Network に接続されていること、およびシステムウォッチャーが有効になっていることを確認してください。
  3. 使用した全てのカスペルスキー製品のデータベースを更新してください。

追加の手段として [アプリケーション権限コントロール] を使用して、すべてのアプリケーショングループがPSexecパッケージ、Sysinternalsおよび次のファイルにアクセス(それに応じて)実行できないようにすることをお勧めします:

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Kaspersky Security Center 10からの設定方法

 
 
 
 
 

ローカルでの設定方法

 
 
 
 

カスペルスキー製品を使用しない場合は、前述のファイルの実行を禁止し、SysinternalsパッケージのPSExecユーティリティを実行することをお勧めします。これは、Windowsオペレーティングシステムに含まれているAppLocker機能を使用して行うことができます。

 
 
 
 
この情報は役に立ちましたか?
はい いいえ
 

 
 

このサイトへのフィードバック

サイトのデザインに関するご感想や、問題点などをご報告ください。

サイトへのフィードバックを送信 サイトへのフィードバックを送信

ありがとうございます!

お寄せ頂きましたフィードバックは、今後のサイトの改善に役立てて参ります。