ランサムウェアのメールをフィルタする方法

ランサムウェアの被害が増加しているようです

企業のお客様も先日感染し サーバーの共有データまで被害が及ぶという結果があります。

(ハックアップから復元により最小限に抑えられたようです)

 

さてランサムウェアは人の心理をついた標的型です。

ヤマトや佐川や郵便など装って送られてくる

今回非常に効果のある方法を見つけましたので動画と含めてごらんください。

 

OUTLOOKなどでメールの振り分けルールがありますがこれを使います。

ランサムウェアのメールの共通点さえみつけられればこういう事もできます。

共通点
・添付ファイル
・メールのサイズは数KB程度
(個人的に確認できているのが 18KB)

メールの存在確認なんかでも 2KB以内のメールサイズは迷惑メールにするというルールは有名ですが
今回は 添付ファイル付きの~20KBのメールサイズをフィルタします。
(動画では10KBになってますが 来ているメールで適宜変更してください)

非常に効果があるので 誤フィルターだけ注意は必要ですがリスクはかなり下がるとおもいます。

ランサムウェアに注意 ウイルスメールの見分け方

現在ランサムウェアの作業をしております。

感染初期でネットワークケーブルを切断で被害が軽く抑えられたようですが

感染すると100%防御は不可能です。

ランサムウェアのメールについて簡単に見抜く方法を説明します。

基本中の基本から

  • 添付ファイルは絶対にすぐに開けない事
  • メールに宛先がない 送信者がない あっても知らない会社から添付ファイル付メール
  • 知名度ある会社からの添付ファイル

どれか一つでも外灯する場合はランサムウェアの可能性が高いです。

宛先や送信人も明記されている添付ファイルは 可能な限り相手に確認してから開ける。

 

ランサムウェア本体はどう感染するのか

日本語のメールできます。
実在する宅配便から 発送や不在などの案内として添付ファイル付きメール
(そもそも添付ファイル付きのメールはこない)
添付ファイルは ZIPファイルで 解凍すると PDFやJPEGファイルのように見せかけているが実際には 実行ファイルです。
(もし解凍したファイルがあれば ファイルを右クリックしてプロパティをみると分かりますが絶対にしないでください)

解凍した実行ファイルは開いてもなもおこらない。
当然バックグラウンドで 暗号化を開始する。
(実行当日はなにもせず翌日などに活動するケースもあるようです)

感染して暗号化されると 写真や文書ファイルなどを逐次暗号化する
対象フォルダには数個の告知案内ファイルができる
vbスクリプト txt URLショートカット Htmlファイル
暗号化されたファイルは ランダムな名前と拡張子はランサムウェアの種類によってかわる

 

万が一感染した場合
ネットワーク接続を切断
シャットダウン (危険ですが電源をすぐに切る)

ファイルの復号について
感染してないパソコンに直接ハードディスクを接続する
一部はTrendmicroに復号ツールがあるのでそれらを使い回復を試みる
対応してない場合は暗号化されてないファイルのみ救出する。

 

感染してからでは取返しがつかないので メールには十分注意してください。