情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
ランサムウェア「WannaCry」の機能に複数の欠陥点が発覚し、それらの概要をKaspersky(カスペルスキー)が平成29年6月1日にWebサイトにて公表しました。
引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/
引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/
WannaCryに感染したコンピュータの保有するファイルが暗号化される際、元となるファイルの内容を読み込み暗号化し、ファイルの拡張子を「.WNCRYT」等に変更し保存します。
暗号化を終えると「.WNCRYT」は「.WNCRY」に変更され、当該ファイルが削除されます。
一方で「重要」フォルダに保管されたファイルにおいては、元のファイルをランダムなデータで上書きし削除するため、復元が不可能とされます。
「重要」フォルダ以外のフォルダに保管されたファイルを暗号化する際は、元となるファイルを一時的なフォルダに移動し、「%d.WNCRYT」(%dは任意の数値)と名付けられます。
このようなファイルは上書きされず、ディスクから削除されただけなので、ファイルの復元の可能性が高いと言えます。
引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/
「$RECYCLE」というフォルダがWannaCryによって作成され、隠し属性(ファイル及びフォルダを不可視化)とシステム属性(システム動作に大きく関わることを示す)を同フォルダに設定します。
Windowsでは、隠しフォルダやシステムフォルダが表示されないよう設定されているため、同フォルダはWindowsのエクスプローラ内に表示されず、暗号化されたファイルを同フォルダへの移動を試行します。
しかし、WannaCryによるコードに同期エラーが潜んでいることから、あその試行は基本的に成立せず、「$RECYCLE」に残ります。
暗号化されたファイルは完全に削除されず、復元が可能であるとのことです。
引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/
また、WannaCryにおける読み取り専用ファイル(閲覧は可能だが追記等変更不可とするファイル)の処理にて欠陥点を発見し、WannaCryによる読み取り専用ファイルの暗号化は実施されないとのことです。
WannaCryはファイルの暗号化複製を作成し、同ファイルに隠し属性の付与のみ実施することから、同ファイルを検出し、属性を元に戻すことでファイルの復元が可能であるといえます。
WannaCryの被害事例に対しKasperskyによる見解
