« CentOS / Red Hat Linux root パスワードをうっかり忘れたときに再設定する方法 | トップページ | BIOS パスワードをうっかり忘れたときに設定を解除する方法 - How to reset forgotten BIOS Passwrod ? »

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法 - CryptoLocker, Crypt0L0cker, CTB-Locker など

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法

更新日:2017-01-01 CryptXXX 復号可能に
2016-05-26 TeslaCrypt のマスターキーを公開、身代金を払わずに復号可能に。   


キーワード: ランサムウェア、CryptoLocker、Crypt0L0cker、CryptXXX, Petay, TeslaCrypt、VVV ウイルス、CTB-Locker、CoinVault、復旧、復号、復元ツール, Locky, Locky亜種, aesir, zzzzz, thor, osiris

このエントリーをはてなブックマークに追加  

スポンサーリンク

目次

1. 概要

2. ランサムウェアの種類

3. ランサムウェアを停止する方法

4. ランサムウェアを駆除する方法

5. ランサムウェアに暗号化されたファイルを復旧する方法

6. 関連リンク

1. 概要

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)に感染した場合の対処方法について紹介したいと思います。一部のランサムウェアのみの対応ですが、暗号化された大事なファイルを身代金を払わずにファイルを復元する方法についても紹介します。

2. ランサムウェアの種類

PC内のファイルを暗号化して人質に取るウイルスは、ランサムウェア(ransomware)と呼ばれています。ランサムウェアには、いくつかの種類が存在します。種類やバージョンによって対処方法が異なります。

① CryptoLocker

CryptLocker ウイルスに感染して暗号化されたファイルは、拡張子に .encrypted が付加されます。

      

② Crypt0L0cker

CryptoLocker と似ているがアルファベット「o」 が数字の「0 」になっている。 CryptoLocker が英語の脅迫文を出すのに対して、Crypt0L0cker は日本語の脅迫文を表示する。

警告
日本の法律に違反するファイルがお使いのパソコンから検出されたため、パソコンをロックしました。    
ロックの解除をには、左に表示されている日時までに罰金として三十万円をBitcoinで氏は割らなければならない。    
この日時までに誠意ある対応なき場合は、ロックが解除されることは永遠にないでしょう。    
俺は君に人を傷付けるのではなく人を助ける人間になってほしい    
僕は君の20年後を見ている

      

③ TeslaCrypt (CrypTesla)

TeslaCrypt ウイルスはバージョンによって暗号化されたファイルに付加される拡張子名が異なります。拡張子名には「.aaa, .abc, .ccc, .ecc, .exx, ezz, .micro, .mp3, .ttt, .vvv, .xxx, .xyz, .zzz.」などになります。 拡張子名として .ecc, .exx, .ezz, .vvv が付加されるバージョンに関しては、暗号化されたファイルを復旧(復号)するTeslaDecoder というツールがリリースされています。


2016年5月中旬になって開発者が TeslaCrypt プロジェクトを終了、復号用のマスターキーを公開しました。
      

TeslaCrypt に、公開されたマスターキー「440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE」を    
設定することで、身代金を払わずにファイルを復号できるようになりました。

TeslaDecoder は下記URL からダウンロードすることが出来ます。 http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip   
http://download.bleepingcomputer.com/BloodDolly/changelog.txt  

また、拡張子名が .vvv となるバージョンで暗号化されたファイルを復号する方法は、 下記を参照してください。

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法

http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

  • TelaCrypt2 (vvv ウイルス)の脅迫文

---!!!==============================================================!!!!=========- 

What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. ---!!!!=================================================!!!!========= Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx 2. http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx 3. https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: alcov44uvcwkrend.onion/7C66B96138xxxxxx 4. Follow the instructions on the site.IMPORTANT INFORMATION: Your personal pages:http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/7C66B96138xxxxxx Your personal identification number (if you open the site (or TOR-Browser's) directly): 7C66B96138xxxxxx ---!!!===================================================!!!!=========  

  • TeslaCrypt (拡張子ECC)の脅迫文

脅迫 All your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.    
If you see the main encryptor red window, examine it and follow the instructions.    
Otherwise, it seems that you or your antivirus deleted the encryptor program.    
Now you have the last chance to decrypt your files.    
Open http://tkj3higtqlvohsxx.aw49f4j3nxx.com or http://tk3higtqlvohsxx.dfj3d8w3nxx.com, https://tkj3higtqlvohsxx.s5.tor-gateways.de/ in your browser.    
They are public gates to the secret server.    
Copy and paste the following Bitcoin address in the input from on server. Avoid missprints.
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx&#
Follow the instructions on the server.

日本語訳(Google 翻訳)

すべてのドキュメント、写真、データベース、およびその他の重要なファイルは、このコンピュータ用に生成最も強力な暗号化RSA- 2048キーで暗号化されています。

秘密復号鍵は秘密のインターネットサーバーに格納されている、あなたが支払うと秘密鍵を取得するまで、誰もあなたのファイルを復号化することはできません。


あなたがメインの暗号化赤ウィンドウが表示された場合、それを確認し、指示に従ってください。    
それ以外の場合は、あなたやあなたのアンチウイルスは、暗号化プログラムを削除しているようです。
今、あなたはあなたのファイルを復号化するための最後のチャンスを持っています。    
お使いのブラウザでhttp://tkj3higtqlvohsxx.aw49f4j3nxx.comまたはhttp: //tk3higtqlvohsxx.dfj3d8w3nxx.com 、 https://tkj3higtqlvohsxx.s5.tor-gateways.de/を開きます。    
彼らは秘密のサーバーにパブリックゲートです。    
コピーし、サーバー上からの入力で、次のビットコインのアドレスを貼り付けます。 missprintsを避けます。    
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx
サーバー上の指示に従ってください。

      

④ CoinVault  

  暗号化されたファイルを復元(復号)するサイトが Kaspersky によって提供されています。    
noransom - https://noransom.kaspersky.com

法執行機関とセキュリティ企業が、CoinValut の指揮統制サーバー(C&Cサーバ)を確保し、そのサーバー内の情報からファイルを復号するツールを作成したそうです。

      

⑤ Cryptowall4 

  Cryptowall4 では、ファイル名も含めて暗号化する機能が追加されています。どのファイルが暗号化されたのか特定することも難しくなっています。

⑥ Linux.Encoder.1 (encrypted ウイルス) 

Linux を標的としたランサムウェア。特定ディレクトリやファイルタイプのファイルが暗号化されて身代金を請求される。多くのLinux Web サーバで被害が出ている。暗号化されたファイルは、拡張子が「encrypted」となります。

⑦ Locky ウイルス

暗号化したファイルの拡張子が Locky となるランサムウェアです。脅迫文が多言語対応になっていて、日本語Windows では日本語の脅迫文が生成表示されます。メール添付ファイルや改ざんされたWebサイト経由で感染します。Locky ウイルスの詳細については、下記URLで紹介しています。

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html 

 

3. ランサムウェアを停止する方法

ランサムウェアは自身が駆除されないように、アンチウイルスソフトやタスクマネージャ、コマンドプロンプトなどのプログラムを停止させる機能を持っています。この仕組みは、プログラム起動するとすぐに強制停止させるもので、プログラムは一瞬ですが実行することはできます。  

また、停止させるプログラムは、実行ファイル名で指定されていることが多く、プログラムのファイル名を変更することで強制停止されずに起動させることも可能な場合が多いです。

      

以下、実行ファイル名を変更したコマンドプロンプト cmd.exe を起動してtasklist、 taskkill を使ってランサムウェアを停止する方法です。

      

cryptolocker

      

(1) ランサムウェアの実行ファイル名の確認  

ディスクトップ上にあるランサムウェアのアイコン cryptolocker のプロンプトから、ランサムウェアのパスとファイル名を確認する。この例では以下のようになっていました。パスやファイル名は、感染PC毎に異なります。

C:\Documents and Settings\Admin\Application Data\bicjrya.exe

      

cryptolocker

(2) コマンドプロンプトのコピー

エクスプローラで cmd.exe (c:\windows\system32\cmd.exe) をコピーして、ファイル名を変更する。ここではディスクトップ上に cmd2.exe としてコピーする。

      

(3) コピーしたコマンドプロンプトの起動

(2) でコピーした cmd2.exe をダブルクリックして、コマンドプロンプトを起動する。Windows7 以降の場合は、ア右クリックで「管理者として実行」をクリックして起動する。

      

(4) tasklist で実行中プログラムの一覧取得  

(2) で起動したコマンドプロンプトで tasklist を実行し、実行中プログラム一覧を取得する。

  tasklist /FO LIST

(5) ランサムウェアのPID確認

(4) で取得した実行中プログラム一覧から、(1) で確認したランサムウェアの実行ファイル名と一致するイメージ名を探す。イメージ名の下にある PID の番号を確認する。  

イメージ名: bicjrya.exe
PID:
セッション名: Console
セッション#: 0
メモリ使用量: 11,848K

(6) taskkil でランサムウェアを停止する  

(5) で確認した PID を指定して taskkill を実行することで、ランサムウェアを停止させる。

taskkill /PID 1360 /F

(7) 終了

カウントダウンの表示が消えていれば、ランサムウェアが停止している状態になっています。消えない場合は、(6) を再度実行してみてください。

      

 

      

4. ランサムウェアを駆除する方法

(1) ランサムウェアの実行ファイルを削除

エクスプローラで 2. (1) で確認したランサムウェアを削除します

      

(2) ランダムウェアの自動起動設定を削除

レジストリエディタでも削除可能ですが、ここではマイクロソフトが提供している sysinternals suite に含まれる autoruns を使って、自動起動設定を削除します

https://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx

上記URLから autoruns をダウンロードして、autoruns.exe をダブルクリックすると   
autoruns が起動します。

 
autoruns の Filter に 2. (1) で確認したランサムウェアの実行ファイル名を入力します。入力が終わるとランサムウェアを実行するためのレジストリ設定が表示されます。

 
ここでは、「bicjrya.exe」を入力し、下記2つのレジストリが表示されました。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf    
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf

      

すべてのレジストリのチェックボックスをオンにして、上部のバッテンマークを押すと、設定を削除することが出来ます。

cryptolocker

      

また、警告文を表示するための設定も削除します。   
同じく autoruns に HELP_RESTORE_FILE を入力すると、関連する設定が表示されます。すべてチェックボックスをオンにしてバッテンマークで削除します。

cryptolocker

さらに、背景の壁紙に表示されている警告メッセージは、壁紙設定から元に戻すことが出来ます。

      

5. ランサムウェアに暗号化されたファイルを復旧する方法

(1) 暗号化されたファイルの復号/復元ツール、サイト(Decrypt, Recovery Tool, Decoder 

  • TeslaCrypt2 (vvv ウイルス)によって暗号化されたファイルを復元するツール      

TeslaCrack https://github.com/Googulator/TeslaCrack

TeslaCrack を使った vvvウイルスによって暗号化されたファイルの詳しい復号手順については、下記URLに記載しています。 

        

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

     
  • TeslaCrypt (vvvウイルスではない) によって暗号化されたファイルを       
    復元するツールを提供しているサイト
     

暗号化されたファイルの拡張子は「ecc」、TeslaCrypt の亜種である AlphaCrypt では拡張子が「ezz」となっています。  

拡張子が「zzz」となるTeslaCrypt の亜種(vvvウイルス)による被害が、広告配信や改ざんされたWebサイト経由で広がっているようです。パッチが出ていない 0dayの脆弱性を狙った攻撃でなければ、Flash Player, Adobe Reader, Java, IE, Windows Update などを最新版にアップデートすることで感染を防ぐことができます。 

Threat Spotlight: TeslaCrypt – Decrypt It Yourself http://blogs.cisco.com/security/talos/teslacrypt

decryptor

No More Ransom!   https://www.nomoreransom.org/

ID Ransomware   https://id-ransomware.malwarehunterteam.com/

             

      

      

(2) ボリュームシャドーコピーから復旧

Windows Vista/7 以降ではボリュームシャドーコピーというサービス(Volume Shadow Copy Service: VSS)が提供されている。このサービスを使うことで誤って削除してしまったファイルや、上書きしてしまったファイルなどを復元することができる。 

(3) バックアップから復旧

      

6. 関連リンク

« CentOS / Red Hat Linux root パスワードをうっかり忘れたときに再設定する方法 | トップページ | BIOS パスワードをうっかり忘れたときに設定を解除する方法 - How to reset forgotten BIOS Passwrod ? »

ウイルス、マルウェア(Malware)」カテゴリの記事

セキュリティ事件、サイバー攻撃」カテゴリの記事

ニュース」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/61524146

この記事へのトラックバック一覧です: PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法 - CryptoLocker, Crypt0L0cker, CTB-Locker など:

« CentOS / Red Hat Linux root パスワードをうっかり忘れたときに再設定する方法 | トップページ | BIOS パスワードをうっかり忘れたときに設定を解除する方法 - How to reset forgotten BIOS Passwrod ? »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索