新種のランサムウェア「Bad Rabbit」によるファイルの暗号化や感染を予防するワクチン（防御策）を発見

Cybereasonのリサーチャー、アミット・サーパーが新種のランサムウェア「Bad Rabbit」によるファイルの暗号化や感染を予防するワクチン（防御策）を発見しました。

「Bad Rabbit」は、2017年10月24日（火）からヨーロッパ全体に広がった企業ネットワークを標的にしたランサムウェアで、今年の6月に世界中のコンピュータに感染した「NotPetya」と同様の方法で攻撃を実行します。

「Bad Rabbit」がもたらす影響の全体像はまだはっきりしていませんが、これまでのところ、攻撃はウクライナ、ロシア、トルコ、ドイツの空港、通信社、鉄道などに影響を与えていると報道されています。

「Bad Rabbit」感染による暗号化の画面は以下のとおりです。

ランサムウェア「Bad Rabbit」による感染を防ぐ方法

以下、「Bad Rabbit」による感染を防ぐ方法につきまして、アミット・サーパーと、彼の同僚マイク・ラコバシによる提案をご紹介させていただきます。

1) c:\windows:　の下にAdmin権限でcmd.exeを起動し、

infpub.dat
cscc.dat

という2つのファイルを作成します。

2) 次のコマンドを入力します。

echo “” > c:\windows\cscc.dat&&echo “” > c:\windows\infpub.dat

3) 右クリックで各ファイルプロパティから全てのパーミッションを削除します。

4) セキュリティタブを選択します。

5) Advanced(詳細)をクリックして、下のウインドウを開きます。

6) Change permissionをクリックして、下のウインドウを開きます。

7) “Include inheritable permissions from this object’s parents”(子オブジェクトに適用するアクセス許可エントリを親から継承し、それらを明示的に定義されているものに含める) ボックスをクリックします。
すると下記のウインドウがポップアップします。 “Remove”（削除）を選択します。

8) 先ほど作成した2つのファイルに対して、上記の作業実行すれば、作業は完了です。

9) Windows 10の場合は、 inheritance（継承）ボックスをクリックする代わりに、disable inheritance（継承を無効化）ボタンをクリックしてください。

10) “Remove all inherited permissions from this object”（このオブジェクトにおける全ての継承されたパーミッションを削除する）を選択します。　

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/