雑記 > ランサムウェア > ファイアウォール

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

ランサムウェア対策に有効 ファイアウォール設定で感染被害防止

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

2015年あたりから ファイルを復元できないよう暗号化するランサムウェア の感染を狙った 添付ファイル付き迷惑メール が日本を始め世界中のメールアドレス宛てに結構な数量でバラ撒かれてます。 (´_`)<ウイルスメールランサムウェアの感染経路 として被害者を確実に生み出せる効果的な攻撃手口

ファイル暗号化ランサムウェアの感染経路の1つ添付ファイル付き迷惑メール実例Voice Message from… ZIP圧縮がスクリプトウイルスでWindowsパソコンが.osiris/.zzzzz/.aesir/.thor/.shit/.odin/.zepto拡張子ファイル変更被害
ボイスメッセージ? ランサムウェア感染を企む ウイルスメールと添付ファイル

「怪しい実行ファイルに気をつけろ!」が通用しない

その手口は以前から見られる メールの添付ファイルを開くよう誘惑する流れ だけど、注目したいのはWindows向けの 実行ファイル拡張子 .exe) や スクリーンセーバー拡張子 .scr) ではない次のファイル形式がものスゴイ活発に投入されてる現実です。

ウイルスメールに添付されたZIP圧縮を解凍・展開すると90%がスクリプトファイルJS/JSE/WSF/VBS! 定番EXE/SCRファイルは4%で超少ない拡張子に!
メールに添付されてた圧縮アーカイブ の中身はスクリプトファイルが圧倒!
(出典 IBM 2016年上半期 Tokyo SOC 情報分析レポート

添付ファイルのZIP圧縮アーカイブ を展開すると…

迷惑メール添付ファイル.js/.jse拡張子ウイルス 開いたらランサムウェア被害 JScript Script 迷惑メール添付.wsf/.vbs/.vbe拡張子ウイルス? 開いたらランサムウェア被害 VBScript Windows Script 迷惑メール添付ファイル.hta拡張子ウイルス 開いたらランサムウェア被害 HTMLアプリケーション
何これ? ポチポチッ (゚_゚)o`

これは 英語表記のウイルス付き迷惑メール を配信するボットネット Necurs の動向が特に大きく影響していて、日本も含め世界中で ランサムウェア Locky(拡張子 .osiris/.zzzzz/.aesir/.thor/.shit/.odin/.zepto) やネットバンキング不正送金ウイルスの被害ユーザーさんを生み出す要因になってます。

Aesir/Thor/Shit/Odin/Locky/Zeptoランサムウェアの被害をもたらす迷惑メール? 添付ファイルはZIP圧縮でスクリプトウイルス.js/.wsf/.hta、マクロウイルス.docm
Necurs が配信する スクリプトファイルワード文書(マクロウイルス) の投入量
(出典 Necurs - the Heavyweight Malware Spammer | Trustwave、2016年9月)

こんな中でセキュリティ製品のスリ抜けが起こやすく脅威と判定しない 不正なファイル を、”怪しい”と見抜けないWindowsユーザーさんがうっかり ダブルクリック して開いてしまう ヒューマンエラー が残念ながら発生します。 (´;ω;`)<例外なく地球上の全Windowsパソコンがターゲットなのに…

ファイアウォールでメールの添付ファイルを無効に

不正なファイル を手元で実際に開いた直後にユーザーが気づかれることなく裏側で行われるプロセスの様子です。

スクリプトファイルをダブルクリックして開きランサムウェアがダウンロードされてきて起動しウイルス感染直後のプロセス
スクリプトファイル を開いてランサムウェアがシレッと起動した様子

Word文書ファイルを開きマクロを許可するとPowerShell.exeを介してランサムウェアがダウンロードされてきて起動しウイルス感染直後のプロセス
Word文書ファイル から PowerShell を介してランサムウェアがシレッと起動した様子

この時、外部ネットワークからメインのマルウェア本体データをダウンロードする目に見えない症状が発生してます。

Windowsの正規ファイル wscript.exe & mshta.exe を介してランサムウェアがダウンロードされてきた時の通信記録
サーバーからランサムウェアのダウンロードを試みてる通信記録

アウトバウンドがウイルス対策のキモ

そこで、ファイアウォールの アウトバウンド(送信側) で次のプログラムを通信ブロック対象に登録しておくと、ランサムウェアやネットバンキング不正送金ウイルスなどがWindowsパソコンに侵入するのを未然に防げるので、どんな種類のセキュリティソフトを導入してようがあるまいが感染攻撃は高確率で失敗します。 (・o・)b<特にはブロック推奨

ウイルス対策にブロックする実行ファイル
【Windowsスクリプト】
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
【HTMLアプリケーション】
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
【PowerShellスクリプト】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
【コマンドプロンプト】
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
【Windowsスクリプト】
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe

なお、使用してるWindowsパソコンに合わせて…

自分のパソコンが 32 ビット版か 64 ビット版かを確認したい - Microsoft サポート
https://support.microsoft.com/ja-jp/kb/958406

無料Windowsファイアウォールで対策する設定方法

総合セキュリティソフト ではなく ファイアウォールが実装されてないウイルス対策ソフト を利用してるなら、Windows Vista/7/8/10 に最初から用意されてる セキュリティが強化された Windows ファイアウォール でこのウイルス対策の無料対処が可能です。

Windowsファイアウォールは性能が悪いという情報も見かけるけど、使い勝手が悪い以外は正常に通信制御できるのでウイルス対策として問題なく活用できます。


Windows のコントロールパネルの [アクションセンター] または [セキュリティとメンテナス] へ移動
[セキュリティ(S)] → 「ネットワーク ファイアウォール」 で稼働状況を確認できる

【1】 Windows のスタートメニューにある検索ボックスや [ファイル名を指定して実行...] に「wf.msc」と入力しエンターキーをポチッとな

【2】 ウィンドウ画面左側のツリーで「送信の規則」を選び、右クリックメニューから [新しい規則(N)...] をポチッとな

【3】 ステップごとに次のような規則を設定していく

規則の種類 [プログラム(P)]
プログラム [参照(R)...]ボタンで ●●●.exe を選択
操作 [接続をブロックする(K)]
プロファイル チェックマーク3つのままで
名前 「●●●.exeのブロック」みたいな名前を

ウィンドウ画面右側の一覧リストに赤丸+斜線の無効マークが表示されて外部通信が遮断されます。

ファイアウォールでウイルス対策

ウイルスメールの添付ファイルとしてもたらされるスクリプトウイルス、アダルトサイトを装った詐欺サイトで配布されるワンクリックウェア、標的型攻撃で採用されるショートカットウイルスをファイアウォールの活用して対策するブログ記事です。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェアとは] [ランサムウェア 対策 ソフト] [ランサムウェア 感染したら] [ランサムウェア 画面] [ランサムウェア 感染経路] [ランサムウェア 被害] [スクリプトファイル ウイルス] [スクリプトファイル 拡張子] [wsf 拡張子 ファイル] [jse 拡張子 フィアル] [vbs 拡張子 ファイル] [js 拡張子 ファイル] [JScript Script ウイルス] [VBScript Script ウイルス] [hta 拡張子 フィアル] [ファイアウォール 設定] [ファイアウォール 無効] [Windows 10 ファイアウォール] [ファイアウォール 有効] [ファイアウォール フリー] [ファイアウォール 無料] [ウイルスメール 対策] [ウイルスメール ZIP] [ウイルスメール 添付ファイル] [個人PC ランサムウェア 対策] [Locky ウイルス 対策] …

雑記 > ランサムウェア > ファイアウォール


Copyright © 2016 Let's Emu!. All rights reserved.