● ランサムウェア対策00~共有フォルダが無くてもワーム感染でLANに拡散する?

素朴な疑問です。

ランサムウェアは共有フォルダが無ければ感染しないのでしょうか?

もしそうなら、全クライアントパソコンには共有フォルダを一つも持たせないでおけば、感染パソコンとファイルサーバ(あるいはNASや常時外付けの記憶装置)のファイルだけが暗号化されるのでしょうか?

つまり、
感染パソコン→ファイルサーバ、とはなりますが、
ファイルサーバ→感染パソコン以外のクライアント
には感染しないのでしょうか?

それとも、SMBプロトコル?によって、感染していくのでしょうか?

被害ケースを聞くと、ネットワークドライブや共有フォルダのファイルが暗号化されてしまう、ということなのですが、それとは別に、ランサムウェアがワームのように自身を他のパソコンにコピーして拡散していくようなことになるのでしょうか?

そのあたりがよくわかりません。

自身で拡散していくにも、ファイルサーバから共有フォルダやネットワークドライブが何も見えないなら、その拡散は、
感染パソコン→ファイルサーバ
で完結して、
ファイルサーバ→感染パソコン以外の他のクライアント
という拡散は行われないのではないでしょうか?

もし、ランサムウェアがワームのように自己コピーで増殖して拡散していけないのなら、クライアントPCに無駄に共有フォルダを作らないこと、管理共有などを無効にしておくことなども、拡散防止になるんでしょうか???

誰か詳しい人に教えてもらいたいです。

PCメンテする人にとってみれば、パソコンの初期化が2台だけで済むのか、それとも数十台になってしまうのかはとても大きな問題です。

・・・と思ったら、トレンドマイクロさんのWebページにWannaCryのワーム活動の拡散手法が書いてありました。

445番ポートを閉じてあると、拡散しないそうです。
閉じてないと共有フォルダがあるなしに関わらず感染拡散するのかも?

でも、Win10は445番ポートでファイル共有をしているそうで・・・
(ならファイル共有するためには絶対開けてないといけない?=であれば脆弱性があれば共有フォルダを作ってなくても必ず感染する、ということになりそう?)

ところで、Win8.1以前なら、445でも従来のポートでもファイル共有できるそうなので、8.1や7を使って445を閉じたほうが安心ってこと??よくわかりません。
プリンタ共有はどうなるんでしょうか???

ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る
http://blog.trendmicro.co.jp/archives/14920

Windowsのポート445(ダイレクト・ホスティングSMBサービス)に注意(XP/2000)
http://www.atmarkit.co.jp/ait/articles/0010/07/news002.html

話を戻すと、共有設定してなくても、445が開いていたり脆弱性があればワーム活動されてしまうっぽいので全パソコンで非常時接続のバックアップ、あるいは非常時マウントの暗号化ドライブへのバックアックが必要なのかも・・・

あと、暗号化対象となる拡張子は決まっているそうなので、「EaseUS Todo Backup」のように、ファイルをイメージ化して保存してくれるバックアップソフトが使えるのでしょうか?・・・
拡張子をめちゃくちゃにしたりすれば暗号化されない、ってことなのかしら???
「EaseUS Todo Backup」は中国製なので常時インストールの推奨はしませんから、別のそういったバックアップソフトがあるなら試す価値はあるのかも・・・

でも試すと言ってもウィルス感染させてみないと試せないので私たち素人には無理ですね・・・

以下の関連する記事も参考にしてみてください。

ランサムウェア対策01~ 外付けHDDへのバックアップ(感染してもなんとか数時間前までのデータだけは守る方法-その1)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/hddbackup-for-avoid-rans

ランサムウェア対策02~ファイルサーバの共有フォルダをWebDAVフォルダ化して、別ネットワークのパソコンからそのデータをXcopyコマンドで吸い込む方法(ルーター2台使用。感染してもなんとか数時間前までのデータだけは守る方法-その2)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/webdavbackup-for-avoid-ransomware

OSの古典セキュリティ例(零細や個人事業などセキュリティ予算が無いとき)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/classic-security

古典OSセキュリティ:「サーバには触るな」と周知させて社長様や幹部の方の席の近くにファイルサーバを置く
https://euc-access-excel-db.com/tips/ct07_se/ct070801_filesvr_make/dont_touch_server

投稿タグ