WannaCryの欠陥点 Kaspersky(カスペルスキー)の見解

ランサムウェア「WannaCry」の機能に複数の欠陥点が発覚し、それらの概要をKaspersky(カスペルスキー)が平成29年6月1日にWebサイトにて公表しました。


引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/

ファイル削除における WannaCryの欠陥点

システムドライブに保管されたファイルの暗号化において


引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/

WannaCryに感染したコンピュータの保有するファイルが暗号化される際、元となるファイルの内容を読み込み暗号化し、ファイルの拡張子を「.WNCRYT」等に変更し保存します。

暗号化を終えると「.WNCRYT」は「.WNCRY」に変更され、当該ファイルが削除されます。

一方で「重要」フォルダに保管されたファイルにおいては、元のファイルをランダムなデータで上書きし削除するため、復元が不可能とされます。

「重要」フォルダ以外のフォルダに保管されたファイルを暗号化する際は、元となるファイルを一時的なフォルダに移動し、「%d.WNCRYT」(%dは任意の数値)と名付けられます。

このようなファイルは上書きされず、ディスクから削除されただけなので、ファイルの復元の可能性が高いと言えます。

 

システムドライブ以外に保管されたファイルにおいて


引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/

$RECYCLE」というフォルダがWannaCryによって作成され、隠し属性(ファイル及びフォルダを不可視化)とシステム属性(システム動作に大きく関わることを示す)を同フォルダに設定します。

Windowsでは、隠しフォルダやシステムフォルダが表示されないよう設定されているため、同フォルダはWindowsのエクスプローラ内に表示されず、暗号化されたファイルを同フォルダへの移動を試行します。

しかし、WannaCryによるコードに同期エラーが潜んでいることから、あその試行は基本的に成立せず、「$RECYCLE」に残ります。

暗号化されたファイルは完全に削除されず、復元が可能であるとのことです。

 

読み取り専用ファイル処理におけるWannaCryの欠陥点


引用元:https://blog.kaspersky.co.jp/wannacry-mistakes-that-can-help-you-restore-files-after-infection/15898/

また、WannaCryにおける読み取り専用ファイル(閲覧は可能だが追記等変更不可とするファイル)の処理にて欠陥点を発見し、WannaCryによる読み取り専用ファイルの暗号化は実施されないとのことです。

WannaCryはファイルの暗号化複製を作成し、同ファイルに隠し属性の付与のみ実施することから、同ファイルを検出し、属性を元に戻すことでファイルの復元が可能であるといえます。

 

関連リンク

WannaCryの被害事例に対しKasperskyによる見解

WannaCry感染に対する予防策 IPAが注意喚起

被害事例一覧

EternalBlueについて

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop