Petya2.0(ランサムウェア)に対するウォッチガードの対応状況について

2017年6月27日にPetya2.0(NotPetyaとも呼ばれています)のランサムウェア感染が確認できました。
Petya2.0は急速に感染拡大しており、感染経路は主にフィッシングメール上に偽の注文確認書を添付し配布されております。
当ランサムウェアはWannaCryの亜種と同じEternalBlue(MS17-010)の脆弱性を悪用しPsExecとWMICを活用することで拡大しております。
PC上の個々のファイルだけでなくMBR(Master Boot Record)を暗号化することでWindowsPCのOSから完全にロックアウトされてしまいます。
従って従来のランサムウェアとは異なる動作をします。

現段階でのFireboxの対応状況です。

  • Gateway AntiVirus

検出可能
日本時間 6月28日 6:00 am 頃に配信可能となったシグネチャーにて検出可能となりました。
シグネチャーバージョンは14615以降となります。

  • APT Blocker

検出可能

  • IPS

検出可能
Signature ID: 1133635, 1133636, 1133637, 1133638にて対応可能

  • TDR

検出可能

システム管理者の方はMS17-010の脆弱性を解決するためにWindowsアップデートを早急に実施ください。
またWatchGuard FireboxではAPT/IPS/TDRにより防御することが可能となりますので未設定の場合は併せて設定を有効にして頂くよう推奨します。またGAVでも現在は検出が可能となっており最新のシグネチャーに更新頂くようお願いいたします。

<補足>
参考した原文は下記になります(英語)。
https://watchguardsupport.secure.force.com/publicKB?type=KBSecurityIssues&SFDCID=kA62A0000000KxQSAU&lang=en_US

また、2016年4月にCorey Nachreiner(CTO)がPetya Decyptorについて語っているビデオを公開しております。
https://www.secplicity.org/2016/04/11/petya-decryptor-daily-security-byte-ep-246/

カテゴリー:

タグ:
最新の脅威に対応するための Gateway AntiVirus エンジンの提供について