てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

TeslaCrypt(mp3)、Locky、CryptoWall対策にMalwarebytes Anti-Ransomware Beta試してみた【ランサムウェア対策】

ツイッターで教えていただきました。ありがとうございます!

 

このMalwarebytes Anti-Ransomware Betaはランサムウェア対策としては一、ニを争うお手軽さなので、PCなんてどうなってもいいっていう人以外はインストールしておいたほうがいいのではないでしょうか!?(乱暴)

もちろんフリーソフトなので、会社でインストールしたいならちゃんと管理者に申請して許可を得てからにしてくださいね。(新人さんが多い時期だと思うので)

 

まえおき

Malwarebytesという何度も紹介してるソフトを作ってる会社の、ランサムウェアに特化したセキュリティソフトのようですね。

脆弱性緩和のMalwarebytes Anti-Exploitや、Malwarebytes  Free Anti-Malwareと共存できるみたいです。

もちろん、既存のセキュリティソフトとも共存出来ると思いますが、何分Betaなので安定性はそんなに望めないかも。

情報提供していただいた方によると、X-Finder(ファイラ)、Orchis(ランチャ)OperaBetaやFireFox nightly(ブラウザのBeta版)などが誤検出されたようです。

※私が試した段階3/12現在では誤検出されませんでした。割りと対応早いのかな?

 

インストール

1.公式からダウンロード、インストール。

 

blog.malwarebytes.org

 

ちょっとわかりづらいので画面きゃぷちゃ。

多分BETAじゃなくなったり、Ver変わると画面遷移も変わると思いますのでご了承下さい。

 

公式ブログからリンクを開いて

f:id:testa021:20160312151344p:plain

 

さらにファイルへのリンクを開いて

f:id:testa021:20160312151435p:plain

ようやくダウンロードへ

f:id:testa021:20160312151504p:plain

 

2.インストール画面

僕はUnchekyというアドウェア見つけてくれるソフトを入れてるので、警告が出てきますが、信頼してインストールしてみます。

BETAじゃなくなったら出てこなくなるかな?

フリーソフトなので、余計なもの入れられないようにインストール画面は注意してくださいね。

f:id:testa021:20160312151717j:plain

 

3.起動後、使い方

スキャンとかは特に無いみたいですね。

インストールしとけば大丈夫だよみたいな感じですね。

f:id:testa021:20160312152836p:plain

 

誤検出とかしてしまった時や、競合しそうな場合例外に入れるのは一番右側のボタンかな?

f:id:testa021:20160312152857p:plain

 

何か見つかったり、隔離すると真ん中のボタンで見れるのかな?

f:id:testa021:20160312152925p:plain

 

 

 

英語ですが紹介動画

www.youtube.com

 

追記:TeslaCrypt防げるか試してみた→防げた

TeslaCrypt2.2.0(VVV)→防げる

TeslaCrypt2.2.0(VVV。マイナーチェンジ版)→防げる

TeslaCrypt3.0(.micro版)→防げる

TeslaCrypt3.0(.mp3版)→防げる

TeslaCrypt3.0(.mp3版、Malware Bytes Antimalware PREMIUMでも検出しないかなり新しい検体)→防げる

 

なにこれ超優秀じゃないですか?!

ランサムウェア対策に必須のソフトになりそうな予感ですね。

 

f:id:testa021:20160313022506p:plain

 

Lockyとかもそのうち試してみようかな。

 

感想

私が使ってるソフトでは特に何も誤検出されなかったので、不便などはなさそうです。

windows使ってる方はお守り代わりにインストールしておくといいのではないでしょうか!

 

ただし、Betaだし無料だしでこれだけでは心許ないので、セキュリティ意識の高い人は

1.DefensePlatform

このサイト見に来るぐらいのPCスキルある方はオススメです。

個人的な検証ではTeslaCryptが防げることを確認済みです。

APIを監視するホワイトリスト形式なので、不審な動作をするランサムウェアは警告が出てきて防げます。(場合によっては監視されるのを防ぐためか、ランサムウェア自身が何もせず勝手に終了します。)

ブラックリスト形式のセキュリティ対策ソフトと違って、最新のTeslaCryptでも防げます。

ブラックリスト形式は、検出されないように数十分単位で亜種を更新し続ける最新VERのランサムウェアには無力と言っても過言ではないかも・・・です。もちろん見つかって数時間~数日経ってるVERは検出しますが、出来立てホヤホヤのものは検出出来ないのです。

2.MBAEかEMETのような脆弱性緩和ソフト

簡単なのでどっちか必ず入れたほうがいいレベルです。

も入れておいたほうがいいと思います!

 

他のセキュリティ対策についてはこちらを御覧ください。

testan.hatenablog.com

 

DefensePlatformについては複数書いてますがこれとか

testan.hatenablog.com

 

あとがき しろうとの駄文なので適当に読み飛ばして下さい

日本だとTeslaCryptが有名ですが、Locky、CryptoWallといったランサムウェア達の方が被害数は多いようです。

※意外にもTeslaCryptは韓国が一番熱いようです。

また、オープンソースランサムウェアとリモートアクセスソフトを流出パスワード(またはブルートフォースアタック?)のコンボ攻撃の被害にあわれた方もいらっしゃいますね。

ちょっと検索しただけでランサムウェアを買わず簡単に作れてしまう時代なのですね。

なんにせよ、普通のマルウェアならOS再インストールで済みますが、オフラインバックアップ取れてないデータについてはUSBメモリやネットワークストレージまで暗号化されてしまうので相当な被害ですよね。。。

 

過去にも詳しく書きましたがもはや怪しいサイトに行かないとか、怪しいメールを開かない、ソフトを最新化する、ブラックリスト形式のセキュリティソフトで何とかするというのは普段からの対策としてもちろん必要ですが、不十分です。

乱暴な言い方をすると、こんなことをしてもランサムウェア対策としては機能しません。

 

普通の人が毎日数十分から長くて数時間プライベートのPC使うのにわざわざ最新かどうかチェックしてからブラウザを立ち上げますか?会社で仕事を始める前に最新かチェックしてますか?大体の人や組織はそんなことしないですよね。常に最新化を保つというのは努力目標であって、義務化するには現実的でないです。

それに膨大な労力を払って全てのソフトを最新にしていても、ゼロデイといって脆弱性がある場合もあります。

angler ekなどをはじめとするエクスプロイトキットはゼロデイも利用するので、攻撃が成功する状況であれば、ソフトを最新化するという日々の努力も虚しく簡単に感染してしまうでしょう。

 

普通の企業のサイトや個人のブログ等でも脆弱性があればクラッカーによってランサムウェアに感染するコードが埋め込まれていたり、脆弱性がないサイトでもクラッカーが配信した広告に埋め込まれたコードで感染してしまいます。

実際に 会社で仕事中に健全なキーワードで訪れたサイトで感染してる方もおおいです。

(こちらもツイッターで情報いただきました。ありがとうございました。)

クラッキングされたサイトから感染した例として、大きく話題になったのはイギリスの新聞社のブログですね。日本のブログも感染してるサイトはあるようです。(個人として実例は確認してませんが。)

ワードプレスをはじめとするCMSを使ってサイト運営している方は、古いバージョンで放置していないか確認して下さい(言うまでもなくサバから運営してる人はOSやPHP自体も)。

犯罪幇助とまでは言わないですが、あなたのサイトのファンをランサムウェアの被害に合わせている可能性がありますよ。

 

ブラックリスト形式のセキュリティソフトのパターンファイルのアップデート間隔は早くて数時間、クライアントの更新なら1日に2回とか3回程度がデフォルトですよね。

ランサムウェアはどんどん(それこそ数十分とかそういう単位で)新しい亜種を作って、既存のブラックリスト形式のセキュリティソフトに検出されないようにしているそうです。ヒュースティリックとか色々亜種を見つける技術はありますが、そういったものでも見つけられないようにしてるようです。

また、パターンファイルのアップデートというのはちゃんと検証してから(恐らく殆どのものは)出荷するものなので(昔アップデートファイルの検証をちゃんとせずにしてしまって、windowsが起動不能になってしまって賠償問題になったことがありましたね)、新種、亜種のウイルスが見つかってから数十分で対応というわけにはいきません。イタチごっこのサイクルの早さ、スピード感がウイルスの方が圧倒的に勝ってるのでこんなに感染被害が多いんですね。

 

今まで貢献してくれていたセキュリティソフト達を悪くいうつもりはありませんが、本当に対策するつもりならブラックリスト形式のセキュリティソフト達は案山子みたいなもんです。

DefensePlatformやYaraiのようなセキュリティソフト、それに脆弱性緩和ソフトのEMETやMBAEを入れておかずに既存セキュリティソフトだけ入れてwindowsを使っているのは、もはやランサムウェアに感染するのに立候補するようなものです。

 

しかしYaraiは有償で併用出来るセキュリティソフトはMicrosoftのみ、DefensePlatformは少しPC初心者には勧めづらいという点があります。

その点Malwarebytes Anti-Ransomware Betaはインストールするだけです。

こうやってお手軽に対策出来るソフトはありがたいです。