web-dev-qa-db-ja.com

Wanna Cryはネットワークドライブ上のファイルを暗号化しますか?

[〜#〜] locky [〜#〜] など、過去にランサムウェアの脅威に対処したことがあります。これは、ローカルマシンで見つかったユーザードキュメントだけでなく、ユーザーがデータを変更するための十分な権限を持つネットワークドライブ。

Wanna Cryの亜種のいずれかでデータを列挙して暗号化します:

  1. マップされたネットワークドライブ?
  2. マップされたドライブを介して現在接続されているネットワーク共有ではない

質問をググってみましたが、直接の回答は見つかりませんでした。

注:Wanna Cryの脅威がどのように感染するかについては質問していませんEternalBlue SMBエクスプロイトを介した他のノード。

はい、WannaCryは Talos Intelligence によると、ネットワークドライブとリムーバブルメディアをターゲットにします。

Tasksche.exe [WannaCryコンポーネント]ファイルは、ネットワーク共有や、「C:/」、「D:/」などの文字にマップされたリムーバブルストレージデバイスを含むディスクドライブをチェックします。次にマルウェアは、付録に記載されているファイル拡張子。2048ビットのRSA暗号化を使用してこれらを暗号化します。

Endgame Inc によるテクニカル分析によると、マルウェアはまた、Active Directory共有の場合に深刻な影響を与える可能性があるファイルに対して、Everyoneに完全なアクセス許可を付与するため、これは特に心配です。

5
DKNUCKLES

短い答えは「可能」です。

これが可能な状況を理解することが重要です。

1:共有ネットワークドライブが脆弱なサーバーに存在し、サーバー自体が感染している場合

2:感染が実行されているユーザーコンテキストがネットワークリソースへの接続を確立している場合、感染時に認証され、変更を許可されます。たとえば、「システム」のコンテキストで実行されている暗号化マルウェアは、脆弱性を悪用しない限り、書き込み権限を持つ別のユーザーがまだアクティブに認証されていなければ、認証を必要とするネットワーク共有を変更できません。

3:ファイル共有が十分に実装されていない場合。例として、私が広く使用されているのを見てきた、非常に細かく、危険な方法は、ファイル共有への接続と認証の両方を行うコンピューターのスタートアップフォルダーにスクリプトをスローすることです。原則として、Windows(および他のほとんどの場所)では、自動化されたタスクは認証されたセッションのコンテキスト内でのみ発生し、ハードコードされた資格情報を含むスクリプトによって開始されるべきではありません。

暗号化マルウェアまたは実際にはすべてのマルウェアについて検討する際に考慮すべき良い経験則:特定のマシンまたはセッションがリソースのクイック検索のためにファイルにインデックスを作成している場合、少なくとも、その上で動作する脅威による開示または破壊のリスクがあります。マシンまたはセッション。

1
MildotPhil