戻る
2017年7月12日  —  Acronis
サイバーセキュリティ

ランサムウェア対策「Acronis Active Protection」は見逃さない。検出されないPowerShellを利用したランサムウェアもブロック

Acronis
Acronis Cyber Disaster Recovery
今すぐ試用

検出されないPowerShellを利用した巧妙なランサムウェアも、Acronis Active Protectionは見逃しません。 新たなランサムウェアの亜種は、PowerShellを利用し、スピア型フィッシングメールによって拡大し検出を回避しました。NioGuard Security Labによると、多くのマルウェアなどのウイルス対策ソフトウェアなどでは、次世代のランサムウェア攻撃に対しての準備ができていない状況です。そういった中でAcronisは、最近のゼロデイ・ランサムウェア攻撃の検出とブロックに成功しています。 Virustotalは、2017年7月9日時点での検出率を、ウイルス対策ソフト57製品のうち掲出できた製品はなかったと発表しています。 2日後にも同様にテストされましたが、テストされたマルウェア対策プログラムの半分以上が、このタイプの危険なランサムウェアを検出できませんでした。   ランサムウェアはどのようにして広がるのか 悪質なJS(Readable Msg-j8k5b798d4.js)は、迷惑メールフィルタによってブロックされた文字を含む、偽の配信状況通知電子メールに添付されたZIPアーカイブ (EML_j8k5b798d4.zip)で配信されます。   ユーザーがひとたび実行してしまうと、 JavaScriptはPowerShellコンソールを起動し、そのオブジェクトを解読したシェルスクリプトをPowerShellコンソールに送信します。

Acronis
Acronis
Acronis
"C:¥Windows¥system32¥ windowspowershell¥v1.0¥powershell.exe" iex $ env:LoadShellCodeScript

データの暗号化 まず、3つのランダムなBase64のような文字列が生成されます。 •    String1 •    String2 •    UUID   これらの文字列は、リモートサーバーに送信され、Rijndaelキーを生成するために使用されます。 Rijndaelキーは 'Rfc2898DeriveBytes'クラスを使用して生成されます。コンストラクタは、次のパラメータを受け入れて暗号オブジェクトを作成します。 •    string1 - キーを派生させるために使用されるパスワード。 •    hex_byte_array(string2) - キーを派生させるために使用されるキーソルト。 •    5 - Rijndaelキーを生成するための反復回数。 初期化ベクトル(IV)は、'alle'から SHA-1ハッシュの最初の16バイトとして計算されます。IVとキーは、すべてのファイルで同じです。これは、256ビットのキーとCBCモードを用い たRijndael暗号化アルゴリズムを使用しています。 cryptolockerは、ファイルの最初の4096バイトを暗号化します。ファイルサイズが大きい場合は、ファイルサイズが小さい場合はファイル全体が暗号化されます。   ランサムウェアは、Base64文字列からデコードされ、最後に個人IDが追加されます。ID自体は早い段階でランダムに生成されます。'_README-Encrypted- Files.html'という名前の身代金メモを含むhtmlファイルは、暗号化されたファイルを含むフォルダにドロップされます。   PowerShellランサムウェアは、次の拡張子を持つファイルを暗号化します。

Acronis
Acronis
Acronis
Acronis
Acronis
yuv, ycbcra, xis, x3f, x11, wpd, tex, sxg, stx, st8, st5, srw, srf, sr2, sqlitedb, sqlite3, sqlite, sdf, sda, sd0, s3db, rwz, rwl, rdb, rat, raf, qby, qbx, qbw, qbr, qba, py, psafe3, plc, plus_muhd, pdd, p7c, p7b, oth, orf, odm, odf, nyf, nxl, nx2, nwb, ns4, ns3, ns2, nrw, nop, nk2, nef, ndd, myd, mrw, moneywell, mny, mmw, mfw, mef, mdc, lua, kpdx, kdc, kdbx, kc2, jpe, incpas, iiq, ibz, ibank, hbk, gry, grey, gray, fhd, fh, ffd, exf, erf, erbsql, eml, dxg, drf, dng, dgc, des, der, ddrw, ddoc, dcs, dc2, db_journal, csl, csh, crw, craw, cib, ce2, ce1, cdrw, cdr6, cdr5, cdr4, cdr3, bpw, bgt, bdb, bay, bank, backupdb, backup, back, awg, apj, ait, agdl, ads, adb, acr, ach, accdt, accdr, accde, ab4, 3pr, 3fr, vmxf, vmsd, vhdx, vhd, vbox, stm, st7, rvt, qcow, qed, pif, pdb, pab, ost, ogg, nvram, ndf, m4p, m2ts, log, hpp, hdd, groups, flvv, edb, dit, dat, cmt, bin, aiff, xlk, wad, tlg, st6, st4, say, sas7bdat, qbm, qbb, ptx, pfx, pef, pat, oil, odc, nsh, nsg, nsf, nsd, nd, mos, indd, iif, fpx, fff, fdb, dtd, design, ddd, dcr, dac, cr2, cdx, cdf, blend, bkp, al, adp, act, xlr, xlam, xla, wps, tga, rw2, r3d, pspimage, ps, pct, pcd, m4v, fxg, flac, eps, dxb, drw, dot, db3, cpi, cls, cdr, arw, ai, aac, thm, srt, save, safe, rm, pwm, pages, obj, mlb, md, mbx, lit, laccdb, kwm, idx, html, flf, dxf, dwg, dds, csv, css, config, cfg, cer, asx, aspx, aoi, accdb, 7zip, 1cd, xls, wab, rtf, prf, ppt, oab, msg, mapimail, jnt, doc, dbx, contact, n64, m4a, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, qcow2, vdi, vmdk, vmx, wallet, upk, sav, re4, ltx, litesql, litemod, lbf, iwi, forge, das, d3dbsp, bsa, bik, asset, apk, gpg, aes, ARC, PAQ, tar.bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, djv, djvu, svg, bmp, png, gif, raw, cgm, jpeg, jpg, tif, tiff, NEF, psd, cmd, bat, sh, class, jar, java, rb, asp, cs, brd, sch, dch, dip, pl, vbs, vb, js, asm, pas, cpp, php, ldf, mdf, ibd, MYI, MYD, frm, odb, dbf, db, mdb, sql, SQLITEDB, SQLITE3, 011, 010, 009, 008, 007, 006, 005, 004, 003, 002, 001, pst, onetoc2, asc, lay6, lay, ms11, sldm, sldx, ppsm, ppsx, ppam, docb, mml, sxm, otg, odg, uop, potx, potm, pptx, pptm, std, sxd, pot, pps, sti, sxi, otp, odp, wb2, 123, wks, wk1, xltx, xltm, xlsx, xlsm, xlsb, slk, xlw, xlt, xlm, xlc, dif, stc, sxc, ots, ods, hwp, 602, dotm, dotx, docm, docx, DOT, 3dm, max, 3ds, xml, txt, CSV, uot, RTF, pdf, XLS, PPT, stw, sxw, ott, odt, DOC, pem, p12, csr, crt, key

  C&Cコミュニケーション PowerShellスクリプトは、HTTP プロトコルを使用してチェックイン要求をリモートサーバーhxxp://joelosteel.gdn/pi.phpに送信します。リクエストには3つの文字列(パスワード、ソルト、UUID)が含まれています。最初の2つは、暗号化キーを作成するために使用されます。   チェックイン要求が送信されると、スクリプトは2分間スリープしてファイルの暗号化に進みます。 リモートサーバーのIPはDigitalOcean、LLCに登録されており、米国ニューヨーク市にあります。   解読サービスは、Torネットワークでホストされています。 http://5zzfhzftspadlgje.onion.to このレポートを作成した時点で、解読サービスはありませんでした。 シャドウコピーの削除 最後に、スクリプトはファイルのシャドウコピーを削除します。 まとめ •    難読化されたスクリプト(JS、PowerShell)を使用することで、ランサムウェアは簡単にウイルス対策保護を回避します。 •    ランサムウェアは、スピアフィッシング電子メールを使用して標的攻撃としてきます。 •    PowerShell cryptolockerは、キー長256ビットのRijndael暗号化アルゴリズムを使用します。キーを引き出すために使用された文字列は、攻撃者に送信されます。したがって、犠牲者はISPのHTTPトラフィックダンプにアクセスすることなくファイルを解読することはできません。 •    ランサムウェアは、ファイルのシャドウコピー(バックアップバージョン)を削除します。   ランサムウェアPowerShellをAcronis True Imageはブロック Acronis True Imageは、暗号化攻撃をブロックしユーザーが影響を受けるファイルを復元することが可能です。 1. Acronis True Imageに搭載されたランサムウェア対策「Acronisu Active Protection」が、ランサムウェアのアクティビティを検出します。   2. [ファイルを復元する]ボタンをクリックすると、影響を受けたファイルが復元されます。   ファイルを正常に復元  

Acronis
Acronis
Acronis
Acronis
Acronis
Acronis
Acronis

ランサムウェア対策機能「Acronis Active Protection」搭載のAcronis True Image 2017 New Generationを今すぐお試しください。

Acronis

アクロニスについて

アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。

サイバーセキュリティ サイバープロテクション

アクロニスのその他の情報

2024年4月30日  — 3 分で読めます
Acronis
2024年4月30日  — 3 分で読めます
5月27日「 ITmedia Security Week 2024 春 」にて講演を行います
およそ全てのビジネスがデジタル前提となり、システム/データとそれらへのアクセスが社内外で入り乱れるようになった中、企業には自社を守る「今に即した仕組み」が求められています。 特に昨今はランサムウェア、サプライチェーン攻撃などに加え、生成AIも新たな攻撃手段・対象となり、ChatGPTのアカウントがダークウェブで売買される、生成AIでマルウェアを生成するといった問題が既に起きています。攻撃自体が進化、拡大する中、対策を常に確認、アップデートし続けることが一層強く求められているのです。ITmedia Security Week 2024 春では「侵入前提で守る仕組み」の確認点を総ざらい。「今、不可欠な視点」を提供します。
2024年4月25日  — 6 分で読めます
Acronis
2024年4月25日  — 6 分で読めます
NIST サイバーセキュリティフレームワーク 2.0の主な変更点について
2014の公表以来、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF) は、組織のサイバーセキュリティへのアプローチにおいて重要な役割を果たしています。以前のフレームワークでは、特定、防御、検知、対応、復旧の5つの機能の下で標準、ガイドライン、ベストプラクティスが特定されていました。
2024年4月19日  — 4 分で読めます
Acronis
2024年4月19日  — 4 分で読めます
AV-TestがAcronis Cyber Protect CloudをWindowsセキュリティのトップ製品に認定
Acronis Cyber Protect Cloud with Advanced Security + EDRは、AV-TestによるWindowsコーポレートセキュリティ製品カテゴリの定期公開認証に参加し、1月~2月のラウンドの結果、トップ製品として認定されました。
2024年4月16日  — 6 分で読めます
Acronis
2024年4月16日  — 6 分で読めます
アクロニスとインターネットイニシアティブ:グローバルITにおける強力なパートナーシップ
株式会社インターネットイニシアティブ (IIJ) は、「IT資産保護」のための信頼できるセキュリティパートナーとしてアクロニスを選択しました。これは、同社の「IIJセキュアエンドポイントサービス」を拡張し、エンドポイントリカバリとウイルス対策保護を特徴とするIIJのサービスです。この提携は、主要なセキュリティベンダーとしてのアクロニスのグローバルなリーチと認知度を示すだけでなく、包括的なサイバープロテクションソリューションによるセキュリティ強化へのIIJの取り組みを強化するものです。このパートナーシップは、IIJのクライアントの最も差し迫った課題である、高度化と標的化を続けるIT環境への脅威への対処に焦点を当てています。