WannaCry ランサムウェアとは何ですか?

WannaCry は、多くのコンピュータ ネットワークに感染し、急速に拡散する可能性があるランサムウェアの一部です。

WannaCry は複数のコンポーネントで構成されており、いわゆるドップラーの形でターゲット コンピューターに侵入します。ドップラーは、ランサムウェアに埋め込まれている他のアプリケーション コンポーネントを抽出する自己完結型プログラムです。これらのコンポーネントには、データを暗号化および復号化するアプリケーション、暗号化キーを含むファイル、および TOR のコピーが含まれます。

プログラム コードは難読化されていないため、セキュリティ専門家にとっては比較的簡単に分析できます。ランサムウェアが起動されると、キル スイッチとして知られるハードコードされた URL へのアクセスを試みます。アクセスできない場合は、Microsoft Office ファイルや MP3 ファイルなどの特定の形式のファイルを検索して暗号化します。この暗号化により、コンピュータのユーザーはファイルにアクセスできなくなります。次に、ランサムウェアは身代金通知を表示し、ファイルを復号して回復するために特定の金額の通貨 (通常はビットコイン (BTC)) を要求します。

Windows に関して言えば、WannaCry が悪用する脆弱性には、Windows のサーバー メッセージ ブロック (SMB) プロトコルの実装が関係しています。 SMB プロトコルを使用すると、ネットワーク上のさまざまなノードが通信できるようになります。Microsoft の実装は、特別に作成されたパケットを通じてだまされて、任意のコードを実行する可能性があります。

WannaCry は、暗号ランサムウェアがどのようなものであり、どのようにして金銭を脅し取るために使用できるかを示す代表的な例と言えます。これは、潜在的に貴重なファイルを暗号化することによって行われ、ユーザーを自分のコンピュータから完全にロックアウトすることさえできます。暗号化を使用するランサムウェアは、クリプト ランサムウェアと呼ばれます。ユーザーを特にコンピューターからロックアウトするタイプは、ロッカー ランサムウェアと呼ばれます。