雑記 > ランサムウェア > ファイアウォール

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

ランサムウェア対策に効果的なファイアウォール設定 メール添付ファイル感染被害防止

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

2015年あたりから ファイルを復元できないよう暗号化するランサムウェア の感染を狙った 添付ファイル付き迷惑メール(スパムメール) が日本を始め世界中のメールアドレス宛てにバラ撒かれてます。 (´0`)<ウイルスメールランサムウェアの感染経路 として被害者を確実に生み出す効果的な攻撃手口

ファイル暗号化ランサムウェアの感染経路の1つ添付ファイル付き迷惑メール実例Voice Message from… ZIP圧縮がスクリプトウイルスでWindowsパソコンが.osiris/.zzzzz/.aesir/.thor/.shit/.odin/.zepto拡張子ファイル変更被害
ボイスメッセージ? ランサムウェア感染を企む 添付ファイル付きスパムメール

「怪しい実行ファイルに気をつけろ!」が通用しない

その手口は古典的な メールの添付ファイルを開くよう誘惑する流れ だけど、注目したいのは Windows向け実行ファイル拡張子 .exe) や スクリーンセーバー拡張子 .scr) ではない次のファイル形式が活発に投入されてる現実です。

ウイルスメールに添付されたZIP圧縮を解凍・展開すると90%がスクリプトファイルJS/JSE/WSF/VBS! 定番EXE/SCRファイルは4%で超少ない拡張子に!
メールに添付されてた圧縮アーカイブ の中身はスクリプトファイルが圧倒!
(出典 IBM 2016年上半期 Tokyo SOC 情報分析レポート

具体的に、添付ファイルの圧縮アーカイブ(拡張子 zip .rar) を展開すると登場するスクリプトファイルがコチラ!

迷惑メール添付ファイル.js/.jse拡張子ウイルス 開いたらランサムウェア被害 JScript Script 迷惑メール添付.wsf/.vbs/.vbe拡張子ウイルス? 開いたらランサムウェア被害 VBScript Windows Script 迷惑メール添付ファイル.hta拡張子ウイルス 開いたらランサムウェア被害 HTMLアプリケーション
何これ? ポチポチッ (゚_゚)o`

これはウイルス付き迷惑メールを配信するボットネット Necurs の動向が大きく影響していて、日本も含め世界中で ランサムウェア Locky(拡張子 .osiris)Cerber Ransomware、ネットバンキングウイルスの被害者さんを生み出す要因になってます。

Aesir/Thor/Shit/Odin/Locky/Zeptoランサムウェアの被害をもたらす迷惑メール? 添付ファイルはZIP圧縮でスクリプトウイルス.js/.wsf/.hta、マクロウイルス.docm
Necurs が配信する スクリプトファイルワード文書(マクロウイルス) の投入量
(出典 Necurs - the Heavyweight Malware Spammer | Trustwave、2016年9月)

こんな中、セキュリティ製品のスリ抜けも起こる不正なファイルを ”怪しい” と見抜けないWindowsユーザーさんがうっかり ダブルクリック で開いてしまう ヒューマンエラー が残念ながら発生します。 (´;ω;`)<地球上の全Windowsパソコンが例外なくターゲット…

ファイアウォールの設定でウイルスメールに対抗

実際に手元で 不正なファイル を開いた直後にユーザーの目に見えない裏側で行われてる様子を観察すると、ある 効果的なウイルス対策 が見いだせたので紹介します。 (*´0`)b

スクリプトファイルをダブルクリックして開きランサムウェアがダウンロードされてきて起動しウイルス感染直後のプロセス
スクリプトファイル を開いてランサムウェアがシレッと起動した様子

Word文書ファイルを開きマクロを許可するとPowerShell.exeを介してランサムウェアがダウンロードされてきて起動しウイルス感染直後のプロセス
Word文書ファイル から PowerShell を介してランサムウェアがシレッと起動した様子

この時、外部ネットワークに接続してメインのマルウェア本体をダウンロードしてくる動きを確認できるのです。

Windowsの正規ファイル wscript.exe & mshta.exe を介してランサムウェアがダウンロードされてきた時の通信記録
サーバーからランサムウェアのダウンロードを試みてる通信記録

アウトバウンドがウイルス対策のキモ

そこで、ファイアウォールアウトバウンド(送信) で次のプログラムを通信ブロック対象に登録しておくと、ランサムウェアやネットバンキングウイルスなどがWindowsパソコンに侵入するのを未然に防げます。 (・o・)b<特にはブロック推奨で高確率で感染攻撃は失敗~

ウイルス対策にブロックする実行ファイル
【Windowsスクリプト】
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
【HTMLアプリケーション】
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
【PowerShellスクリプト】
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
【コマンドプロンプト】
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
【Windowsスクリプト】
C:\Windows\System32\cscript.exe
C:\Windows\SysWOW64\cscript.exe

なお、使用してるWindowsパソコンに合わせて…

自分のパソコンが 32 ビット版か 64 ビット版かを確認したい - Microsoft サポート
https://support.microsoft.com/ja-jp/help/958406

無料Windowsファイアウォールで対策する設定方法

総合セキュリティソフト ではなく ファイアウォールが実装されてないウイルス対策ソフト を利用してるなら、Windows Vista/7/8/10 に最初から用意されてる セキュリティが強化された Windows ファイアウォール でこのウイルス対策を無料でできます。

Windowsファイアウォールは性能が悪いというお話も見かけるけど、使い勝手が悪い以外は問題なく正常に通信制御できるのでウイルス対策として十分活用できます。


Windows のコントロールパネルの [アクションセンター] または [セキュリティとメンテナス] へ移動
[セキュリティ(S)] → 「ネットワーク ファイアウォール」 で稼働状況を確認できる

【1】 Windows のスタートメニューにある検索ボックスや [ファイル名を指定して実行...] に「wf.msc」と入力しエンターキーをポチッとな

【2】 ウィンドウ画面左側のツリーで「送信の規則」を選び、右クリックメニューから [新しい規則(N)...] をポチッとな

【3】 ステップごとに次のような規則を設定していく

規則の種類 [プログラム(P)]
プログラム [参照(R)...]ボタンで ●●●.exe を選択
操作 [接続をブロックする(K)]
プロファイル チェックマーク3つのままで
名前 「●●●.exeのブロック」みたいな名前を自由に

ウィンドウ画面右側の一覧リストに赤丸+斜線の無効マークが表示されて外部通信が遮断されます。

ファイアウォールでウイルス対策

ウイルスメールの添付ファイルとしてもたらされるスクリプトウイルス、アダルトサイトを装った詐欺サイトで配布されるワンクリックウェア、標的型攻撃で採用されるショートカットウイルスをファイアウォールの活用して対策するブログ記事です。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェアとは] [ランサムウェア 対策 ソフト] [ランサムウェア 感染したら] [ランサムウェア 画面] [ランサムウェア 感染経路] [ランサムウェア 被害] [スクリプトファイル ウイルス] [スクリプトファイル 拡張子] [wsf 拡張子 ファイル] [jse 拡張子 フィアル] [vbs 拡張子 ファイル] [js 拡張子 ファイル] [JScript Script ウイルス] [VBScript Script ウイルス] [hta 拡張子 フィアル] [ファイアウォール 設定] [ファイアウォール 無効] [Windows 10 ファイアウォール] [ファイアウォール 有効] [ファイアウォール フリー] [ファイアウォール 無料] [ウイルスメール 対策] [ウイルスメール ZIP] [ウイルスメール 添付ファイル] [個人PC ランサムウェア 対策] [Locky ウイルス 対策] …

雑記 > ランサムウェア > ファイアウォール


Copyright © 2016 Let's Emu!. All rights reserved.