サンサムウェアへの感染が流行しているようです。
先日書いたブログ、ランサムウェア「Locky」に感染してしまった
へのアクセス数がとんでもないことになっています。

というわけで、先日のランサムウェアに感染したお客様の感染経路について調べてみました。

まず、ランサムウェアの感染が起こったのは2016/03/16。
100台近くあるパソコンのうちの1台が感染。
まずは感染したパソコンのマイドキュメントやデスクトップのファイの書き換え、改ざん、暗号化が始まった。
そして感染から30分後には、その書き換え、改ざん、暗号化はそのパソコンが使っているサーバーの共有フォルダにおよび、施設で使っている重要なファイルを書き換えて、ファイルを開けない状態にしていった。

この共有フォルダのファイルが開けない異変に気付いたスタッフが、すべてのパソコン、サーバーを切り離したのが、感染発生から1時間後ぐらい。
この適切な処理のおかげで、ファイルの書き換え、改ざん、暗号化は止まった。
ネットワークからすべてのサーバー、パソコンを切り離すという処理は、賢明な判断だった。

 

では、なぜこの1台のパソコンは感染してしまったのだろうか?
感染が発生した時間帯のファイルの変化について調べてみました。

2016-03-23_22h04_43

15:26
まず、大量のファイルの書き換え、改ざん、暗号化が始まった。

その直前のファイルを確認すると、同じ時刻に、マイドキュメントにdggbqy.exeという隠しファイルが作られている。
またその前のファイルを確認すると、Flashのファイルにアクセスしている。

つまりネットサーフィンをしていて感染したということが推測される。
Flashのバージョンが古くて、Flashの不正なコードを踏んだか?Flashの埋め込んであるサイト自体に不正なプログラムが埋め込んであり、それを踏んでしまって、プログラムが強制実行していまった可能性が高い。

OSはWindows10だが、ウイルス対策ソフトがインストールされていなかった。
ちなみにこのdggbqy.exeというプログラムは、ウィルスバスターではウィルスとして検知してくれたが、マカフィーはしてくれなかった。
これだと、ウィルス対策ソフトによっては、インストールされていたとしても防げなかった可能性もある。

最後にこのユーザーが感染前に閲覧していたページは下記のとおり。

2016-03-23_22h51_53

このような感染を防ぐには、

・関係ないサイトへの閲覧制限
・Adobe 製品(Flash、Adobe Reader など)のアップデートの徹底
・Java のアップデートの徹底
・Windows Update の徹底

を心がけたいものである。