Petya ランサムウェアとは何ですか? それから守る方法は何ですか?
ペチャ とその適応 ペティアではありません Petya ランサムウェアは、2016 年から 2017 年にかけて標的型攻撃で大惨事を引き起こしました。Petya ランサムウェアは、マルウェアの新たな発展を示していたため、見出しを飾りました。
McAfee、Malwarebytes、Check Point などのサイバーセキュリティ企業は、アナリストが新しいウイルスを調査し、その作成者を推測する研究ラボを運営しています。各国政府にもサイバー防衛機関があり、同様の研究を行っています。これらのセキュリティ専門家は、Petya については、次の行為であるという同じ結論に達しました。 国家支援のテロ 。しかし、それらは正しくありませんでした。
コンテンツ [ 隠れる 】
- Petya の特徴は何ですか?
- Petya ランサムウェアはどこから来たのでしょうか?
- ペティアとはどういう意味ですか?
- Petya のバージョン
- Petya ランサムウェアはどのように機能しますか?
- Petya ランサムウェア攻撃に対処する方法
- Petya ランサムウェアから保護するための最良のツール
Petya の特徴は何ですか?
Petya の最も注目すべき特性は、その作成者が身代金の収集にあまり興味がないようだということです。 Petya に関するもう 1 つの興味深い事実は、その最も有名なバージョンが ハイジャックされたコピー 元の開発者の所有物ではありません。
ハイブリッド戦争のツールとみなされていたバージョンの Petya は、実際には Petya ではなく、Petya からコードを借用したロシア政府と関係のあるハッカー グループによって構築されたシステムでした。その海賊版ランサムウェアは次のように呼ばれています。 ペティアではありません 。
オリジナルの Petya はあまり知られていませんでした。しかし、2017 年に海賊版が世界中に出回ったことで、このランサムウェアの名前は世界的に有名になりました。
Petya ランサムウェアはどこから来たのでしょうか?
Petyaの作成者はこう呼ばれました ヤヌスのサイバー犯罪ソリューション 。このグループの拠点がどこにあるのかは誰も知りませんが、そのロゴにはソ連のハンマーと鎌のアイコンが含まれており、架空のロシアの犯罪シンジケートであることがわかります。このグループは、他の人が有料で使用できるランサムウェア テンプレートを提供することを目的としていました。これは サービスとしてのランサムウェア これは、DDoS ボットネットの作成者が資産を収益化するために提供する「ストレス テスト」サービスに似た概念です。
つまり、オリジナルの Petya では、ランサムウェアで企業を標的とした攻撃者がツールを使用していました。各ユーザーはアカウントを設定してアフィリエイトとして行動し、ツールキットを攻撃に使用して、収益の一部を Janus グループに支払いました。の ベータ段階 オリジナルの Petya は招待制でのみ応募可能でした。
ハッカーにとっての大きな問題は、オリジナルの Petya には管理者権限が必要だったということでした。企業のこれらのアカウントの所有者をだまして資格情報を引き渡すのはそれほど簡単ではありません。インストールのための管理者権限がなければ、Petya ソフトウェアは実行できませんでした。そこで、Janus は 2 番目のシステムを追加しました。 ミーシャ 。これにより、現在のユーザー アカウントのファイルが暗号化され、高レベルの権限は必要ありません。 RaaS プラットフォームは 2016 年 7 月に完全にオープンしました。
ペティアとはどういう意味ですか?
ジェームズ・ボンドの映画『ゴールデンアイ』がペティアの名前の由来となっています。この映画を作成したハッカーたちは、ロシアのハッカー集団が衛星搭載の兵器発射装置をハイジャックすることを中心としたプロットを描いたこの映画から名前と画像を採用した。
このグループはヤヌス・セクレタリーというツイッターアカウントを持っており、スコットランドの俳優アラン・カミングの写真を表示するアバターを持っていた。 ボリス・グリシェンコ 、グループ内のハッカー、 ヤヌス・シンジケート 。
この映画では、ソ連崩壊直後が舞台で、ヤヌス シンジケートがマルウェアを使用してソ連時代の衛星 2 基を制御します。これらは電磁パルス (EMP) システムであるゴールデンアイ兵器を搭載しています。これらの衛星の 1 つは次のように呼ばれました。 ペチャ 。 Petya システムにアクセスする RaaS Web サイトには、「Janus Cybercrime」というラベルが付いています。 Janus が 2 番目の感染システムを Petya サービスに追加したとき、他の GoldenEye 衛星の名前が使用されました。 ミーシャ 。
Petya のバージョン
Janus Cybercrime Solutions は、Petya の 4 つのリリースを作成しました。これらは:
- バージョン1.0 、身代金要求が赤い背景にあり、サービスのロゴが赤い背景にどくろであったため、Red Petya として知られています。これは RaaS のベータ段階でライブでした。
- バージョン2.0 は、そのカラー パレットに黒の背景に緑のテキストが含まれていたため、Green Petya と呼ばれます。こちらはミシャと組んだバージョン。
- バージョン2.5 、Green Petya と同じテーマですが、バグが修正されています。
- バージョン3.0 ゴールデンアイとして知られる同社は、コミュニケーションに黒の背景に黄色の文字を使用し、どくろのロゴに黄色の背景に黒の文字を使用しました。これにより、管理者権限を取得するためのユーザー アクセス制御 (UAC) バイパスが追加されました。
Goldeneye は Petya の最後の公式バージョンで、2016 年 12 月まで活動していました。それ以降のバージョンは、Petya コードを流用して改変した他のハッカー チームによって作成された海賊版でした。厳密に言えば、これらは Petya の新しいバージョンではなく、Petya の原則の一部を組み込んだ新しいウイルスです。これらは:
- ペトルラップ これは Green Petya に基づいていますが、その読み込みメカニズムを備えています。
- サンタナ 、ペティアではなくミーシャのコピーです。
- ペチャ+ .NET Framework で書かれているこのウイルスは、ファイルを暗号化しませんが、ロック画面を表示して支払いを要求します。
- ペティアではありません 、 としても知られている 永遠のペティア そして エキスペトル 、ゴールデンアイをベースにしており、ペティア家に最も注目を集めたコピーです。 Sandworm ハッカー グループは、ロシアの軍事諜報機関のためにこれを開発しました。 GRU 。
本物の Petya はもう流通していません。したがって、心配する必要はありません。ただし、NotPetya はさらに根深い問題です。
Petya ランサムウェアはどのように機能しますか?
Petya のみが実行されます ウィンドウズ 。上書きされます マスターブートレコード ( MBR ) 感染したコンピュータの暗号化 マスターファイルテーブル ( MFT )。また、 セーフモード 。このアクションの結果、ファイルとオペレーティング システムの両方がブロックされるため、身代金が支払われない限りコンピューターを使用し続ける方法はありません。この操作には管理者アクセスが必要です。それが不可能な場合、インストーラーは代わりに Mischa ランサムウェア システムを実行します。これによりファイルが暗号化され、コンピュータへのアクセスが可能になります。
Petya 攻撃は次のように始まります。 スパムメール 添付ファイルに重要な情報が含まれていると称するもの。ユーザーがその添付ファイルをダウンロードして開くと、ウイルスが引き起こされます。 Green Petya は、プロフィールへのリンクを備えた求人応募を装いました。プロファイルにはダウンロード可能な PDF が含まれており、ウイルスが含まれていました。 Goldeneye は当初、感染した添付ファイルを含むドイツ語の電子メールをドイツに向けていました。
ドロッパー (インストーラー) は、Petya 実行可能ファイルを %アプリデータ% コンピュータ上でランダムに検出されたプログラムの名前の下にあるディレクトリ。ゴールデンアイはペティアの攻撃前にミシャのルーティンを実行する。
管理者アクセスが許可されている場合、コンピュータはクラッシュし、偽の状態で再起動します。 CHKDSK 画面。実際、この操作の進行状況を監視している間、MFT の暗号化の進行状況も監視していることになります。 サルサ20 暗号。次に、コンピュータにはどくろのロゴが表示されます。この画面で使用されている色は、扱っている Petya のバージョンを示します。
Petya のバージョンが Goldeneye の場合、MFT にアクセスするために管理者の許可は必要ありません。 Red Petya は、ダウンロード先のユーザー アカウントに管理者権限がない場合でも問題はありません。 Green Petya が実装します ミーシャ MFT にアクセスして Petya ルーチンを実行できない場合。 Mischa は、非対称の組み合わせでアカウント内のファイルを暗号化します。 RSA 暗号化と AES 暗号。
厄介なことに、他のランサムウェアは文書、画像、ビデオ、オーディオを含む個人ファイルに焦点を当てているのに対し、Mischa は暗号化も行っています。 。EXE ファイル。暗号化されたファイルには元の名前が付いていますが、末尾にランダムな文字列という追加の拡張子が付いています。ファイルの名前を変更して別の拡張子を削除しても、内容は復号化されません。
どくろのロゴがアニメーション化され、最初の実行が完了すると、画面に身代金の要求が表示されます。での支払いを求められます ビットコイン 。 Green Petya氏によると、身代金は1.93ビットコインで、当時の価値は875ドルだった。現在、その金額は 71,975 ドルの価値があります。
この要求により、ユーザーは Tor ブラウザをダウンロードして特定のサイトにアクセスするように指示されます。このページにはビットコインの価格が記載されています。ユーザーは入力する必要があります 一意のID 、身代金要求画面に表示されます。支払いプロセスの結果、Petya の復号化キーと 復号化ユーティリティ ミーシャのために。
NotPetya が出回り始めると、Janus Cybercrime Solutions は Petya をシャットダウンし、以前のすべての攻撃を解読するためのマスター キーを公開しました。さらに、Malwarebytes Labs は 自動復号化ツール このキーに基づいて被害者を支援します。
Petya ランサムウェア攻撃に対処する方法
あらゆるマルウェアに対処する最善の方法は、 準備して 。電子メールのフィッシング スキャン、誘惑的な違法ビデオのダウンロード、感染した Web サイトが感染経路として最も頻繁に使用されます。特にエンドポイントのセキュリティを監視する必要があります。
システムが Petya ランサムウェアの影響を受けないようにするために、次の 4 つの点に従ってください。
- ウイルスへのアクセスについてユーザーを教育し、感染を回避する方法を説明します。
- 自動化されたパッチ マネージャーとソフトウェア アップデーターを使用する
- デバイスごとに個別のバックアップを保持する戦略を使用して、すべてのシステムをバックアップします。
- エンドポイントの検出および応答サービスをインストールする
システムに適切なツールを使用すると、Petya ランサムウェアやその他のマルウェアからの感染を防ぎ、防御を無効にするランサムウェア攻撃から適切に回復できるようになります。
Petya ランサムウェアから保護するための最良のツール
Petya ランサムウェア ファミリの物語は、その速さを示しています。 マルウェアは変化する可能性がある 。 Petya の 8 つのバージョンと改作はすべて、1 年強の間に登場しました。したがって、現時点で適切に機能する防御ツールを入手しても、将来の新しいマルウェアによる攻撃から保護されるとは限りません。
幸いなことに、一部の優れたシステムは、これまでに遭遇したことのないマルウェアによって引き起こされた場合でも、悪意のあるアクティビティを検出できます。エンドポイントを監視し、ファイルを改ざんから保護する 2 つのツールを試してみましょう。
1. CrowdStrike Falcon Insight (無料トライアル)
クラウドストライク ファルコン インサイト エンドポイント ソフトウェアとクラウド プラットフォームを組み合わせます。これはCrowdStrikeの組み合わせです ファルコン・プリベント クラウドベースのコーディネーターを備えた次世代ウイルス対策パッケージ シェムリアップ 。
この構成の利点は、デバイスが停止した場合でもエンドポイント保護が継続されることです。 切断された ネットワークとインターネットから。さらに、クラウド モジュールは最新の脅威インテリジェンスで即座に更新され、すべてのエンドポイント エージェントへの指示を調整します。
ファルコンインサイト エンドポイントを更新します 利用可能な場合、エンドポイント エージェントはアクティビティ インテリジェンスをアップロードします。 Insight システムは、Prevent が送信したログをスキャンして、侵害の痕跡を探します。 CrowdStrike システムを使用する大きな利点は、 研究チーム 常に新しいウイルスやランサムウェアを探し、それらと戦う方法を考え出します。 Falcon Prevent システムからアップロードされたデータは、これらの調査のソース データを提供します。
CrowdStrike Falcon Insight が管理できるのは 脅威への対応 。このモジュールには、ランサムウェアが検出された場合のマシンの隔離が含まれます。サービスも実行されます ブラックリスト 感染したサイトと既知のハッカーの IP アドレスの数。 Falcon Insight は、ネットワーク侵入に対する防御にも役立ちます。 Falcon Prevent の 15 日間の無料試用版を入手できます。
CrowdStrike Falcon Insight 15 日間の無料トライアルを開始する
二。 ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus データおよびファイルのプロテクターです。そのため、ファイルへの不正な変更を検出することに長けており、これはまさにほとんどのランサムウェア システムが実装しているアクティビティです。さらに、ManageEngine システムは次の場所にインストールされます。 Windowsサーバー 最も頻繁に攻撃されるオペレーティング システムである Windows を実行しているデバイスを監視します。
DataSecurity Plus システムはファイルを監視し、 不正な変更 。発見されるとすぐにシステムが警告を発します。システム管理者は、ManageEngine ソフトウェアをセットアップするときに、マルウェア アクティビティを識別するためにツールが何を行うべきかを決定できます。次のような自動応答を行うワークフローを設定することが可能です。 デバイスを隔離する またはファイルを復元します。
ManageEngine DataSecurity Plus は、次のようなデータ プライバシー標準に従って企業にサービスを提供することもできます。 PCI DSS 、 ヒパア 、 または GDPR 。このサービスは機密データの場所を特定し、すべてのデータ インスタンスを分類します。また、機密データに関するアクティビティも追跡します。 DataSecurity Plus は次の目的で利用できます。 30日間の無料トライアル 。