SAMAS

攻撃型ランサムウェア

SAMASは、これまでの暗号型ランサムウェアよりも発展しており、攻撃型のウイルスソフトとなっています。
ネットワークの共有する特定のデータファイルを暗号化し、さらにバックアップを探し削除するという悪質な内容になっています。
また、LAN内でも拡散活動を行ない、被害を広めます。

・バックアップの破壊

最近のランサムウェアは、感染するパソコンのみならず、ネットワーク上で共有されるファイルも暗号化します。
SAMASでは、ネットワーク上に保存されているバックアップも削除します。
これはWindowsのシャドウコピーの機能を狙った物と考えられ、特に法人のパソコンを対象とします。

ランサムウェアの対応としては、身代金を支払わないこと、定期的にバックアップを取ることであり、この2つを無効にすることを狙っています。

・LAN内での拡散

侵入したパソコンのLAN情報を探し、利用可能な脆弱性を探し、ネットワークの認証情報を奪い遠隔で自身をコピーします。
不正プログラムでなく、Windowsの正規の管理ツールなどを使用します。
ただその後情報を外部サーバーに送信し盗むようなことは行なわず、SAMASではデータを暗号化し、身代金の要求のみ行ないます。

被害に遭わない方法

被害に遭わないためには、まずはスパムメールは開かない、不正なサイトにはアクセスしないということが重要です。
メーラーでスパムメールを弾いたり、不正サイトにはセキュリティソフトでブロックしてアクセスできないようにするなどの対策を行なうべきです。

・321ルール

SAMASではバックアップファイルも破壊するので、万が一に供えてネットワークでバックアップしていても、復旧ができなくなります。
そのために、バックアップには321ルールというのを取り入れるべきです。

・3カ所にバックアップを取る
・少なくとも2種類の方法で行なう
・1つはオフラインでバックアップする

このような3つのルールが321ルールです。
3カ所にバックアップを行ない、ハードディスクやDVDなどと違う媒体でそれぞれバックアップします。
そして1つはオフラインでバックアップして、使用しているパソコンにネットワークやケーブルで接続しない、独立した形でのバックアップを行なうべきなのです。

その中でバックアップソフトを使うなどしても良く、バックアップファイルの1つはインターネットなどに繋がっていない状態で行なうべきです。
またアンチウイルスソフトでも、SAMASをウイルスとして検出できますので、インターネットアクセスやメールダウンロード時に、リアルタイムでアンチウイルスソフトが監視するようにしておくと良いです。