脅威情報：WCRY (WannaCry) ランサムウェアの拡散について

2017年3月に修正されたSMBの脆弱性「CVE-2017-0144(MS17-010)」が利用され、 「WCRY(WannaCry)」ランサムウェアへ感染させられる事例が日本を含む世界各国で 確認されています。
ここでは、関連する検出名や検出パターンなどについてご案内いたします。
※情報の更新があり次第、随時本ニュースでの情報更新を実施させていただきます。

■検出名
・Ransom_WCRY ファミリー

• Ransom_WCRY.I
• Ransom_WCRY.SM
• Ransom_WCRY.J
• Ransom_WCRY.D
• Ransom_WCRY.H

・Ransom_WANA ファミリー
　　Ransom_WANA.A

■検出状況
本件に関連する不正プログラムは、以下のパターンで検出されます。

• スマートスキャンエージェントパターン - 13.401.00 より順次
• 従来型スキャンパターン - 13.401.80 より順次

Deep Discovery Inspector、Deep Discovery AnalyzerおよびDeep Discovery Email Inspector では以下パターンで検出されます。

• DDI/DDAN/DDEI用ウイルスパターン - 13.401.92 より順次

Trend Micro Deep Security および脆弱性対策オプションでは、以下のIPSルールで検知されます。

• 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
• 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
• 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
• 1008227 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)

Trend Micro Deep Discovery Inspector では以下ルールで対応しています。

• DDI Rule 2383: CVE-2017-0144 - Remote Code Execution - SMB (Request)

トレンドマイクロが提供する各ソリューションの詳細については、以下のサポートページ（英語情報）をご参考ください。

• ・Updates on the latest WCRY (WannaCry) Ransomware Attack and Trend Micro Protection

■本不正プログラムの動作について
- ウイルス情報

• Ransom_WCRY.I
• Ransom_WANA.A

- 日本語ブログ

• 大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響

- 英語ブログ

• Massive WannaCry/Wcry Ransomware Attack Hits Various Countries

■対応方法
検出があった場合は、以下の製品Q&Aをご確認いただき、弊社製品による処理結果をご確認の上、それぞれの処理結果に応じた操作をお願いします。

[製品Q&A] 製品の処理結果の確認および対処方法

今後とも弊社製品をご愛顧くださいますよう、よろしくお願いいたします。

■ 更新履歴：
2017/05/15 11:25 ：
Deep Security、脆弱性対策オプションおよびTrend Micro Deep Discovery Inspector でのルール対応状況について、情報追記
2017/05/15 14:20 ：
Deep Discovery Inspector、Deep Discovery AnalyzerおよびDeep Discovery Email Inspector のパターン対応について、情報追記