感染サイトからD/L感染する新ランサムウエア「Bad Rabbit」
新種のランサムウエア「Bad Rabbit」は、感染したウェブサイトからのドライブバイダウンロード攻撃によって、Adobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせ、ランサムウェアの実行ファイルを生成します。
「Bad Rabbit」にはオープンソースのユーティリティツール「Mimikatz」が含まれ、総当たり攻撃によって資格情報の窃取を行うほか、同じくオープンソースのディスク暗号化ツール「DiskCryptor」を用いて2048ビットの公開鍵を用いて、ファイルの暗号化を行います。実績のあるオープンソースのツールをEXEC(外部起動)するという、”悪知恵の働く”ランサムウェアですが、それだけに感染するとファイルの復元が困難です。
感染するとデータを暗号化し、復号のために仮想通貨ビットコインで0.05BTCの支払いを要求します。ただし、このランサムウェアには欠陥があり、「install_flash_player.exe」の実行後に生成される「C:windowsinfpub.dat」と「C:Windowscscc.dat」の実行をあらかじめブロックしておくことで感染を防ぐことが出来ます。また、各社のセキュリティ対策ソフトでは、パターンファイルが最新版にアップデートされていれば、Bad Rabbitの検知が可能となっているとのことです。
(Visited 84 times, 1 visits today)
