ランサムウエアの第2のバージョンは、最初のバージョンによる攻撃を和らげました。

MalvareTechBlogのTwitterで有名な英国のプログラマーが以前、報告したように、違法なソフトウェアWannaCry（WannaCrypt、WCry、WannaDecrypt0r、WanaCrypt0r）の配布を一時停止することに成功しました。研究者は、それを無効にする必要があれば、マルウェアのコードにドメインのアドレスを貼り付ければいいことを発見しました。しかし、情報セキュリティの専門家はMalvareTechBlogの対応方法で対応できない異なるドメインを持ったWannaCryの２番目のバージョンを見つけました。

マルウェアは、2つのコンポーネント:SMBワームとランサムウエアで構成されています。ワームは、最初、LAN を経由して、その後は、インターネットを経由して、違法なプログラムを拡散します。WannaCryの最初のバージョンは、感染したコンピュータ上のファイル暗号化機能を無効にします。しかし、SMBワームは、まだ感染を広め続けています。

サイバー犯罪者は、マルウェアの最初のバージョンを中和した後、直ぐに、第二のバージョンをリリースしました。フランスの研究者マチュー スウィシュ氏は、マルウェアドメインifferfsodp9ifjaposdfjhgosurijfaewrwergwea.comのコードで指定登録している英国の同僚の一例を踏襲し、WannaCryが、最初のバージョンと同じイギリスの研究者のサーバを参照するようになりました。これはこのマルウェアにコンピュータが感染した場合、暗号化処理が動作しないことを意味します。

専門家はWannaCryを複製した新たなランサムウェアの出現の可能性があるため、注意を促しています。例えば、Bleepingコンピュータのローレンス・エイブラムス氏によると、インターフェースを模倣した少なくとも4つの違法なソフトウェアが今日、存在しています。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida