一般に、ランサムウェアは、感染したユーザーがアクセスできるすべてのものを暗号化できます。たとえば、他のマルウェアは、ランサムウェアを実行しているアカウントの権限を使用してどこにでも書き込むことができます。これは、他のユーザーがアクティブになることとは異なりますが、ユーザーがアクセスできるすべての共有に影響を与える可能性があります。
対応策:
いつものように、ウイルス保護とファイアウォールで防止します。
すべてのクライアントに更新を定期的にインストールするように強制します。
バックアップは、感染後にすべてのランサムウェアを処理する最も強力な方法です。結局、一部のユーザーは、ウイルス保護機能によってまだ認識されていないユーザーを抱えることになります。ユーザーに書き込みアクセス権がないバックアップを用意してください。それ以外の場合、ランサムウェアにはバックアップを上書きするための同等のアクセス権があるため、バックアップは役に立ちません。
オフラインバックアップはこれを達成するための最も安全な方法ですが、手動でさらに行う必要があり、定期的に行うことを忘れないため、あまり実用的でない場合があります。
通常、独立した資格情報を使用して、バックアップする場所にアクセスする独立したマシンを持っています。そこでは、数週間または数か月にわたる変更を保存できる増分バックアップがあります。ランサムウェアとユーザーの両方のエラーに対して優れています。
WannaCryは、SMBのWindows実装の脆弱性を使用しています。プロトコル自体は脆弱ではありません。MalwareLessに関するニュース記事から:
WannaCry攻撃は、Microsoft Windows OSでSMBv2リモートコード実行を使用して開始されます。EternalBlueエクスプロイトは、2017年4月14日にShadowbrokersダンプを通じて公開され、3月14日にマイクロソフトからパッチが適用されました。ただし、多くの企業や公共機関はまだシステムにパッチをインストールしていません。
言及されているパッチはMS17-010、Microsoft Windows SMB Serverのセキュリティ更新(4013389)です。
このセキュリティ更新プログラムは、Microsoft Windowsの脆弱性を解決します。最も深刻な脆弱性では、攻撃者が特別に細工したメッセージをMicrosoftサーバーメッセージブロック1.0(SMBv1)サーバーに送信した場合、リモートでコードが実行される可能性があります。
したがって、Linuxには影響しません。Windowsは、更新プログラムをインストールした後も安全です。ただし、パッチが適用されていないWindowsを備えたクライアントコンピューターがまだ存在する場合、共有上のデータは安全ではない可能性があります。