問題
- ランサムウェアからシステムを保護するためのベストプラクティスを使用したい。
- ESET 製品のランサムウェア対策に関する一般的なベストプラクティス
- 一般的なランサムウェア対策
- 暗号化されたファイルの復元
詳細
クリックして拡大
ランサムウェアは、デバイスをロックしたり、コンテンツを暗号化したりして、リソースへのアクセスを回復する代わりに所有者から金銭を脅し取るマルウェアです。この種のマルウェアは、支払い期限を設定したタイマーを内蔵していることもあり、このタイマーを守らないと、データやハードウェアのロックを解除するための料金が膨らみ、最終的に情報やデバイスに永久にアクセスできなくなります。
ランサムウェアは、個人ファイルやデータファイルを暗号化する感染症である。通常、ワークステーションが感染すると、ランサムウェアはマップされた共有ドライブを暗号化しようとします。このため、ネットワークを通じて感染が広がっているように見えても、実際には広がっていないことがあります。
ファイルが暗号化されていても、システムが感染していない場合もあります。これは、ファイルサーバー上の共有ドライブが暗号化されていても、サーバー自体にマルウェア感染が含まれていない場合に発生します(ターミナルサーバーの場合を除く)。
その他の既知のランサムウェアの例は以下のとおりです:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A(TeslaCrypt) または、見慣れない送信元からの電子メールや、そのような電子メールからの ZIP ファイルを開いた後にWin32/Filecoder.Locky.A に感染した場合。
- "CryptoLocker"、"Cryptowall"、"Dirty decrypt"、"CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
ソリューション
ESET製品の現在のバージョンは、ランサムウェアからコンピュータを保護するために複数のレイヤーの技術を使用しています。
これらのテクノロジーの例としては、Advanced Memory Scanner、ESET LiveGrid® Reputation System、Exploit Blockerなどがあります。
さらに、最新のESET製品は、ランサムウェアとコマンド&コントロール(C&C)サーバ間の通信をブロックする、強化されたボットネット保護モジュールを提供します。
ESET 製品の一般的なランサムウェア対策のベストプラクティス
Advanced Memory Scanner と Exploit Blocker を有効にしておく
これら 2 つの機能は、ESET 製品のバージョン 5 以降ではデフォルトで有効になっています。これらの新しく設計された ESET アルゴリズムは、難読化や暗号化を使用してマルウェア対策製品による検出を回避するように設計されたマルウェアに対する防御を強化します。
アドバンスト・メモリー・スキャナは、マルウェアがメモリ内でデロイクした後の不審な動作を検出し、エクスプロイト・ブロッカーは、標的型攻撃や、ゼロデイ脆弱性としても知られる、以前には見られなかった脆弱性に対する保護を強化します。
最大限の保護を得るためには、ESET製品を最新バージョンにアップグレードすることをお勧めします:
ホームユーザー: 現在お使いのESET製品は最新版ですか?(ホームユーザー)
ビジネスユーザ: ESETビジネス製品の最新バージョンはありますか?
ESET LiveGridを有効にしておく
ESETクラウドマルウェア対策システムは、 ESET LiveGridに基づいています。未知の潜在的な悪意のあるアプリケーションを監視し、サンプルを自動サンドボックス化と動作解析の対象とします。
お使いのESET製品で、#@#publication_url id='927' target='_blank' content='ESET LiveGrid® レピュテーションおよびESET LiveGrid® フィードバックシステムが有効になっており、機能していることを確認してください。
ESETを常にアップデートする
既存のランサムウェアの新種は頻繁にリリースされるため、定期的にウイルスデータベースの更新を受けることが重要です(有効なライセンスとインターネット接続があれば、ESET製品は1時間ごとに更新をチェックします)。
- ホーム ユーザー:ESET製品をアップデートする-最新の製品モジュールをチェックする
- ビジネス ユーザービジネスユーザー: 個々のクライアントワークステーションでESETエンドポイント製品をアップデートする-最新の製品モジュールを確認する
仮想マシンユーザー
ランサムウェア対策として、仮想環境ではESET Endpoint Securityを使用することをお勧めします。
Ransomware Shield が有効になっていることを確認してください。
Self-Defense テクノロジーの一部である Ransomware Shield は、HIPS 機能の一部として機能するもう 1 つの保護レイヤーです。詳細については、ESET 用語集の Ransomware ShieldとESET 製品での設定方法を参照してください。
ESET ビジネス製品でランサムウェアから保護するための追加設定を手動で行うか、ESET PROTECT/ESET PROTECT Cloud Policy を使用して行います。
ESET ビジネス製品の HIPS ルールの設定' target='_blank'ESET ビジネス製品の HIPS ルールの設定
ESET エンドポイントセキュリティのファイアウォールルールを設定する』 target='_blank'#@# Configure Firewall rules for ESET Endpoint Security
通知
一般的なランサムウェア対策のベストプラクティス - 暗号化ベースのマルウェア(ランサムウェア)からのリスクを最小限に抑える
-
定期的にシステムのバックアップを取ることを計画し、少なくとも1つのバックアップをオフラインストレージに保存して、最新の作業を攻撃から守りましょう。
-
アプリケーション・データへのアクセス制限や、グループ・ポリシー・オブジェクト(GPO)としてあらかじめ組み込まれているものなど、さまざまな種類の制限があります。
AppData および LocalAppData フォルダから実行されるファイルを無効にする。
Tempサブディレクトリ(デフォルトではAppDataツリーの一部)からの実行をブロックします。
さまざまな解凍ユーティリティ(WinZip や 7-Zip など)の作業ディレクトリから実行される実行可能ファイルをブロックする。
さらに、ESET Endpoint Security/Antivirus、ESET Mail Security、ESET File Security では、HIPS ルールを作成して、特定のアプリケーションのみコンピュータ上で実行することを許可し、それ以外はデフォルトでブロックすることができます:[KB8018] ESET PROTECT(8.x~10.x)を使用してHIPSルールを作成し、クライアントワークステーションに適用する.
ユーザーアカウント制御(UAC)を無効にしない
FAX、請求書、領収書を名乗る添付ファイルは、不審な名前がついていたり、受信するとは思っていなかったりする場合は、開かないこと。
-
ESET Secure Authentication をお勧めします。
脅威防御
ESET LiveGuard Advanced をお勧めします。
グループポリシーでMicrosoft Officeのマクロを無効にする
Office 2013/2016 (以下のリンクは 2013 用ですが、2016 でも同じ設定です):OfficeのVBAマクロのセキュリティ設定を計画する
システムを最新の状態に保つ
利用可能な最善の保護を確保するために、オペレーティングシステムとアプリケーションを常に最新の状態に保ってください。Windows Updateツールで提供される優先度の高い最新の更新プログラムをインストールし、定期的に確認するか、自動更新機能を有効にします。新しいセキュリティ更新プログラムは、システムの脆弱性を修正し、マルウェア攻撃のリスクを低減します。
マイクロソフトは、Windows XPだけでなく、現行のWindowsオペレーティング・システムに対しても、重大な脆弱性を緩和するパッチをリリースしました。これらの更新プログラムを適用する手順については、Microsoft Security Bulletin MS17-010 - Criticalを参照してください。
開いたままにすると悪用される可能性のあるポート/サービス
未知のIPアドレスによるブルートフォース攻撃を防ぐため、SMB、SQL、RDPをロックすることを強くお勧めします。
SMB
ファイル共有ポート135-139と445を閉じる。SMBポートはインターネットに公開しないでください。
SQL
SQLへの接続を許可する信頼できるIPアドレスをホワイトリストに登録する。
RDP
外部接続のRDPを閉じて、外部からのRDPブルートフォース攻撃を阻止する。内部ネットワークへの接続には二要素認証付きVPNを使用する。
一定回数の試行失敗後にアカウントを自動的にロックアウトするように設定する。アカウントがロックアウトされた後の自動ロック解除のための待機期間を含める。
強固なパスワードの強制
管理者、admin、rootなど、一般的な未使用のデフォルト・アカウントを無効にする。
特定のユーザーとグループをホワイトリストに登録し、RDPを使用したログインを許可する。
特定のIPアドレスをホワイトリストに登録し、RDP接続を許可する
リモート・デスクトップ・プロトコルの攻撃に対するベスト・プラクティス
暗号化ベースのマルウェアは、Windowsに統合されているリモート・デスクトップ・プロトコル(RDP)ツールを使用して標的のマシンにアクセスすることがよくあります。RDPを使用すると、他人がリモートでシステムに接続できるため、攻撃者はRDPを悪用して保護を解除し、マルウェアを展開することができます。
リモート・デスクトップ・プロトコルを無効にするか、変更することをお勧めします。RDPを使用する必要がない場合は、デフォルトのポート(3389)を変更するか、RDPを無効にして、ランサムウェアやその他のRDPエクスプロイトからマシンを保護することができます。RDPを無効にする方法については、以下のMicrosoft Knowledge Baseの該当記事を参照してください:
RDPの詳細については、以下のWeLiveSecurityの記事を参照してください:リモートデスクトップ(RDP)ハッキング101:ここからあなたのデスクトップを見ることができます!
ESET製品の設定をパスワードで保護する
ビジネスユーザであれば、パスワードを使用してESET製品を攻撃者による改ざんから保護することをお勧めします。これにより、認証されていない設定の変更、保護機能の無効化、ESET 製品のアンインストールを防ぐことができます。RDP を使用する場合は、RDP ログイン認証に使用するパスワードとは異なるパスワードを使用することをお勧めします。
ESET 製品をパスワードで保護する方法については、KB7915 を参照してください。
暗号化されたファイルは復元できますか?
最近のランサムウェアは、非対称方式と複数の種類の暗号化を使用してデータを暗号化します。つまり、ファイルは公開鍵で暗号化され、関連する秘密鍵がなければ復号化できません。現在のランサムウェアでは、秘密鍵が感染したワークステーションや環境に存在することはありません。つまり、感染前に作成された適切なバックアップからデータを復元する必要がある。
バックアップがない場合は、シャドウ・コピーからファイルの復元を試みることができます。シャドウエクスプローラを使用することができます。シャドウエクスプローラは、次のWebページからダウンロードできます: http://www.shadowexplorer.com/downloads.html
ただし、ランサムウェアに感染するとシャドウコピーが削除され、ファイルの復元ができなくなることが少なくありません。
ランサムウェアに感染した場合、どのような手順を踏む必要がありますか?
コンピュータをネットワークから切断します。
暗号化された共有フォルダ/ドライブの「復号化方法」など、支払い方法が記載された TXT または HTML ファイルを見つけます。これは当社のマルウェア研究者がさらに分析するために使用する可能性があります。
感染したコンピュータで ESET SysRescue を実行します。脅威が特定され、駆除されたら、バックアップからのみ復元してください(上記の「システムのバックアップをとっておく」のセクションを参照してください)。
