Petya2.0(ランサムウェア)に対するウォッチガードの対応状況について
2017年6月27日にPetya2.0(NotPetyaとも呼ばれています)のランサムウェア感染が確認できました。
Petya2.0は急速に感染拡大しており、感染経路は主にフィッシングメール上に偽の注文確認書を添付し配布されております。
当ランサムウェアはWannaCryの亜種と同じEternalBlue(MS17-010)の脆弱性を悪用しPsExecとWMICを活用することで拡大しております。
PC上の個々のファイルだけでなくMBR(Master Boot Record)を暗号化することでWindowsPCのOSから完全にロックアウトされてしまいます。
従って従来のランサムウェアとは異なる動作をします。
現段階でのFireboxの対応状況です。
- Gateway AntiVirus
検出可能
日本時間 6月28日 6:00 am 頃に配信可能となったシグネチャーにて検出可能となりました。
シグネチャーバージョンは14615以降となります。
- APT Blocker
検出可能
- IPS
検出可能
Signature ID: 1133635, 1133636, 1133637, 1133638にて対応可能
- TDR
検出可能
システム管理者の方はMS17-010の脆弱性を解決するためにWindowsアップデートを早急に実施ください。
またWatchGuard FireboxではAPT/IPS/TDRにより防御することが可能となりますので未設定の場合は併せて設定を有効にして頂くよう推奨します。またGAVでも現在は検出が可能となっており最新のシグネチャーに更新頂くようお願いいたします。
<補足>
参考した原文は下記になります(英語)。
https://watchguardsupport.secure.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000KxQSAU&lang=en_US
また、2016年4月にCorey Nachreiner(CTO)がPetya Decyptorについて語っているビデオを公開しております。
https://www.secplicity.org/2016/04/11/petya-decryptor-daily-security-byte-ep-246/
カテゴリー
Most Popular Articles
- HTTP-proxyの設定はどのようにすればいいのでしょうか?[Fireware XTM v11.4]
- FTP-proxyの設定はどのようにすればいいのでしょうか?[Fireware XTM v11.4]
- APデバイスを工場出荷状態に戻す方法を教えてください
- ChromeブラウザでWebBlockerで設定した禁止カテゴリが見れてしまう場合、どうしたらよいですか?
- VPNでリモートアクセスをするユーザ数に制限はありますか?
- APデバイス本体のインジケーター(ステータスランプ)の意味を教えてください。
- TCP-UDP proxyの設定はどのようにすればいいのでしょうか? [WSM/Fireware XTM v11.x]
- HTTPSにてSSL接続した場合、UTM機能にて制御することは可能でしょうか?また可能な場合にどの機能が使えますでしょうか?
- NTPサーバの設定はどうすればいいでしょうか? [Fireware XTM v11.x]
- SMTP-Proxyをどのように設定できますか?[Fireware XTM v11.4]
カテゴリー:技術的な内容Q&A