RIPlaceは、セキュリティ研究者によって最近検出された新しいランサムウェアバイパス技術です。. この手法は、数行のコードに依存して、組み込みのランサムウェア保護機能を正常に回避します。, セキュリティソリューションとWindowsに存在 10.
RIPlace技術は、Nyotronのセキュリティ研究者数名によって発見されました。 – ダニエル・プリズマント, Guy Meoded, フレディ・ウザン, とハナンナタン. 研究者はこの問題についてセキュリティベンダーとマイクロソフトに連絡しました. でも, どうやら2つのベンダーだけが問題に対処し、影響を受ける製品を保護するために必要な措置を講じました.
他の企業は、RIPlaceは「問題なし」, 研究者たちはBleepingComputerとの会話で言った. 影響を受ける企業には、Microsoftなどの名前が含まれます, Symantec, ソソソ, カーボンブラック, トレンドマイクロ, マカフィー, カスペルスキー, サイランス, SentineOne, Malwarebytes, クラウドストライク, およびPANWトラップ. KasperskyとCarbonBlackは、RIPlaceバイパス技術に対して製品を保護した唯一の企業です。.
RIPlaceランサムウェアバイパス技術の説明
ランサムウェアバイパスがどのように機能するかを理解するには, ランサムウェアがデータを暗号化する方法を調べる必要があります. 暗号化を行うには, ランサムウェアは、対象のファイルを暗号化し、3つの主要な方法のいずれかを介して暗号化されたデータに置き換える必要があります:
1. 元のファイルを開いて読み取る
2. メモリ内のコンテンツを暗号化する
3. によって元のファイルを破棄します:
– 暗号化されたコンテンツを元のファイルに書き込む,-
– または暗号化されたファイルをディスクに保存する, DeleteFile操作を使用して元のファイルを削除している間,
– または暗号化されたファイルをディスクに保存する, 次に、名前の変更操作を使用して元のファイルに置き換えます.
効率的なランサムウェア保護のため, 3つの条件すべてを中和する必要があります. でも, 特定の方法でファイルを置き換える3番目の方法は、ランサムウェア保護の回避を可能にする可能性があるようです.
そうは言っても, 「「RIPlaceは、Windowsファイルシステムの手法です。, 悪意を持ってファイルを暗号化するために使用された場合, ほとんどの既存のランサムウェア対策方法を回避できます,」 研究者は説明した. RIPlaceが非常にトリッキーな理由は、ソフトウェアの特定の欠陥ではなく、Windowsオペレーティングシステムの設計上の欠陥を利用しているためです。. さらに, バイパスは簡単に実装できます.
研究者はまた、RIPlaceが2つの人気のあるエンドポイントセキュリティ製品であるSymantecEndpointProtectionとMicrosoftDefenderAntivirusをだます方法を示す2つのビデオを提供しました.
詳しくは RIPlaceについてご利用いただけます.