机上向学 -GAKIRA.NET-

ガジェット好きな筆者のPC・クラウド・アウトドア・防災に関する事を書いてみる、そんなブログです。

Macに感染する初のランサムウェアの登場と「その時」どうやって対処するのか?

つい先日ランサムウェア対策をテーマにしたKasperskyさん主催のセミナーへ出席してきたばかりのGAKIRAです。

ランサム=身代金という意味らしい。無理矢理暗号化して解除して欲しければ金払え!ってすげぇなお前、って感じですが確かに感染されると非常に厄介な代物です。

当方のユーザー様にもごく最近一件感染事例が発生しまして、いろいろと対策を練らないと思っていた矢先です。

http://Mac OS Xに初のデータ暗号化で身代金を要求するランサムウェアが登場 - GIGAZINE http://gigazine.net/news/20160307-first-os-x-ransomware/

ついにMac版「KeRanger」が登場と嬉しくもなんともない状況が発生。

幸いにも発見が早く、またBittrentのクライアント「Transmission」をインストールしていたユーザー限定(多分)であったためさほど被害は出ていない模様(多分)。

曰わく

KeRangerは有効なMacアプリ用開発者証明書が付与されているためAppleゲートキーパー保護をすり抜けられたとのこと。Palo Alto NetworksがAppleに報告した後、悪用されたデジタル証明書はAppleによって失効化され、XProtectが更新処理されています。

だそうで手口も巧妙化しています。

基本ウィルスやマルウェアに対する対処は後手に回ります。新型であればそもそも定義ファイルに存在しないので侵入されやすいのしょうがない、なので基本は感染要因を減らし、万が一感染したときの対策を練っておくのが大事ということになります。

GAKIRAの拙い知識で説明するよりもこちらを見て頂くのが良いでしょう。

blog.kaspersky.co.jp

ランサムウェアの面倒なところはPCに接続、あるいはマウントされた別のストレージも暗号化の対象にしてしまう可能性があると云うことです。

この場合、バックアップドライブの中身まで暗号化されてしまって結局復旧できないということが考えられます。

その対策としてはオフラインのストレージへのバックアップ(要するにバックアップするときだけ接続するハードディスクを用意して)を行うことなのですが、Macの場合Timemachineという非常に便利なソリューションがあるので基本的にはそれに頼っていることが多いかと思います。(それすらしてませんは「論外!」です)

定期的に接続してバックアップって難しいんですよね・・・・だいたい忘れる。

万が一感染してしまった、あるいは感染してしまったかもしれないという場合には、

Kasperskyからは古いランサムウェアが行った暗号化を解除するツールが提供されています。(Windowsに対応した物です)

Ransomware decryptor | Kaspersky Lab

また暗号化を解除する物ではありませんが、Macマルウェア検出アプリ「Malwarebytes Anti-Malware for Mac」が「KeRanger」にすでに対応したとのことですのでこの機会に用意しておくのも良いかもしれません。

www.malwarebytes.org

こちらの記事は参考になります。

Mac用マルウェア検出アプリ「Malwarebytes Anti-Malware for Mac」がMac向けランサムウェア「KeRanger」の検出に対応。

 

でこの記事を書いている最中に以下の記事が出ました。

http://Macを狙うランサムウェア、正体が判明 - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1603/10/news068.html

Linuxを標的にしたランサムの改良版(?)らしいです。元になった「Linux.Encoder」については解除キーの取得に成功しているらしいので「KeRanger」についても解析されるのは早いかもしれませんね。

それはさておき、ランサムウェアの拡散は、ウィルス対策だけでなくバックアップなどの総合的な対策の構築を試されている気がします。

先にも書いたとおり、ローカルのドライブにも感染して暗号化されてしまうため、旧来のバックアップ方法だけだとバックアップデータも含めて全滅という話にもなりかねません。

何らかの方法で複数のバックアップを用意しておく必要性を感じます。

 

GAKIRAの書いたバックアップ関係の過去記事はこちら

 

gakira.hatenablog.com

 

 

Acronis True Image Cloud - 1 Computer + 3 Devices

Acronis True Image Cloud - 1 Computer + 3 Devices