« アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール | トップページ | SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ »

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

更新日: 2016-01-17

  

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

  

スポンサーリンク

キーワード: TeslaCrypt、VVV ウイルス、マルウェア、ランサムウェア、復元、復元ツール、復旧、復号、decrypt, ransomware, virus

このエントリーをはてなブックマークに追加

目次

1. TeslaCrypt 2.2.0 (vvvウイルス)とは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. ウイルスに再度感染しないための対策方法

5. 関連リンク

1. TeslaCrypt 2.2.0 (vvvウイルス)とは

TeslaCrypt 2.2.0 (vvv ウイルス)は、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。ランサムウェアという言葉は、身代金という意味の「ランサム」と「マルウェア」を組み合わせた造語です。TeslaCrypt2 によって暗号化されたファイルは、拡張子が「vvv」 となってしまうことから通称「vvv ウイルス」と呼ばれています。アンチウイルスベンダーによっては CryptTesla、TeslaCrypt などの名前がつけられています。

ランサムウェアである vvv ウイルスによって暗号化されたファイルを復元するために、身代金として BitCoin を要求します。身代金の相場は2BitCoin(約8万円)程度と高額ではないため、払ってしまう被害者が多くいるようです。感染経路としては、スパムメールに添付された実行ファイルやJavaScriptファイル、改ざんされたWebサイト経由で脆弱性を攻撃されてドライブバイダウンロードで感染などがあります。

2015年末にランサムウェアランサムウェア TeslaCrypt 2.2.0  (vvvウイルス)で暗号化されたファイルを復元するためのツール TeslaCrack が公開されました。TeslaCrack を使った暗号化ファイルの復元方法についても紹介します

2. 脅迫文

Howto_RESTORE_FILES.bmp

Howto_RESTORE_FILES

Howto_RESTORE_FILES.txt

What happened to your files?
All of your files were protected by a strong encryption with RSA-2048
More information about the encryption RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work
with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of YOUR FILES is only possible with the help of the private key and decrypt program, which is on our Secret Server!!! *
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really need your data, then we suggest you do not waste valuable time searching for other solutions becausen they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:


1.hxxp://rbtc23drs.7hdg13udd.com/7C66B96138
2.hxxp://tsbfdsv.extr6mchf.com/7C66B96138
3.hxxps://alcov44uvcwkrend.onion.to/7C66B96138

If for some reasons the addresses are not available, follow these steps:


1. Download and install tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the tor-browser address bar: alcov44uvcwkrend.onion/7C66B96138
4. Follow the instructions on the site.

IMPORTANT INFORMATION:

Your Personal PAGES:
hxxp://rbtc23drs.7hdg13udd.com/7C66B96138
hxxp://tsbfdsv.extr6mchf.com/7C66B96138
hxxps://alcov44uvcwkrend.onion.to/7C66B96138

Your Personal PAGES (using TOR-Browser): alcov44uvcwkrend.onion/7C66B96138
Your personal code (if you open the site (or TOR-Browser's) directly): 7C66B96138

3. 暗号化されたファイルの復旧方法

スポンサーリンク


TeslaCrypt(vvvウイルス)で暗号化されたファイルを復旧する方法を紹介します。ここでは素因数分解プログラムとして  msieve を使っています。msieve ではなく yafu などを使う方法もあります。

① python インストール

TeslaCrack は python プログラムです。まずは python をインストールしましょう。python をインストールした後は、環境変数 PATH も設定しておいてください。ここでは python 2.7 をインストールしたので、C:\python27 に PATH を通しました。


python https://www.python.org

② 必要な python モジュールインストール

コマンドプロンプト(cmd.exe)上で以下のコマンドを実行して、必要なpython モジュールをインストールします。easy_install、pip へのパスが設定されていない場合は、フルパスで実行してください。ここでは C:\python27\scripts\easy_install、C:\python27\scripts\pip と指定して実行しています。

python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python
C:\python27\scripts\easy_install pip
C:\python27\scripts\pip install pycryptodome
C:\python27\scripts\pip install ecdsa
C:\python27\scripts\pip install pybitcoin

③ teslacrack のインストール

以下のURLから。「Download ZIP」をクリックして teslacrack をダウンロードします。ダウンロードしたZIPファイルを適当な場所に解凍します。ここでは「C:\TeslaCrack-master」に解凍します。

解凍したディレクトリに vvv ウイルスにより暗号化されたファイル(拡張子が vvv のファイル)をいくつかコピーしておきます。ここでは test.rtf.vvv と test.zip.vvv の 2つをコピーしておきました。どのファイルでもよいですが、「日本語ファイル名」のファイルの場合、うまくいかないことがあるようなので「英数字のファイル名」にリネームするなどしたほうがよさそうです。

Teslacrack https://github.com/Googulator/TeslaCrack

④ teslacrack を実行

コマンドプロンプト(cmd.exe)で TeslaCrack を解凍したディレクトリに移動して「teslacrack.py」を実行します。実行結果の中にある「msieve:」 に続く16新数の文字列(赤文字部分)をコピーしておきます。後の処理で使うので、メモ帳などの保存しておいてください。

C:\TeslaCrack-master>teslacrack.py
Cannot decrypt ./test.rtf.vvv, unknown key
Cannot decrypt ./test.zip.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
using msieve:
45121115A5B0EBC7353571E5478DA51135AAF09231613DF8385096932496EFF7A770F
228B2D590F57E5B39E6EE34ACCAC297824ACC09F264D8565929578200A6
found in ./test.rtf.vvv
Alternatively, you can crack the following Bitcoin key(s) using msieve, and use
them with TeslaDecoder:
2808E7FEA305B5A9081A6E20260DEEA8371C02D5B6E963E46066E5990178DA6F99EB0536A90DB72A
E28B7B2E6A861CAAC6BBF98A0860D8D8861BEDC66AD6DF64 found in ./test.rtf.vvv

⑤ 素因数分解プログラム msieve のインストール

以下のURLから msieve をダウンロードして適当なフォルダに解凍してください。ここでは teslacrack と同じディレクトリ「C:\TeslaCrack-master」に解凍しました。

msieve http://sourceforge.net/projects/msieve/

また、msieve には pthreads-w32 の pthreadgc2.dll が必要になります。下記 URL から pthreadgc2.dll をダウンロードして、msieve と同じディレクトリに保存してください。ここではディレクトリ「C:\TeslaCrack-master」に保存しました。

Ptheads-w32 http://www.sourceware.org/pthreads-win32/

pthreadgc2.dll (x86): ftp://sourceware.org/pub/pthreads-win32/dll-latest/dll/x86/

pthreadgc2.dll (x64): ftp://sourceware.org/pub/pthreads-win32/dll-latest/dll/x64/

⑥ msieve を実行

以下のように msieve の引数に「③ でコピーした16進数の文字列」を 0x の後に貼り付けて実行します。実行して「MSVCP110.dllがないため、プログラムを開始できません。。。」などのエラーが出る場合は、「Microsoft Visual C++ 2010 再頒布可能パッケージ」をインストールする必要があります。

C:\TeslaCrack-master> msieve152.exe –v –e 0x45121115A5B0EBC7353571E5478DA51135AAF09231613DF8385096932496EFF7A
770F228B2D590F57E5B39E6EE34ACCAC297824ACC09F264D8565929578200A6

しばらくすると、以下のような結果が表示されます。今回は VM 上で実行したため 5時間ほどかかりましたが、性能の良いマシンであればもっと早く結果が出ると思います。

commencing Lanczos iteration
memory use: 10.3 MB
linear algebra at 56.4%, ETA 0h 0m85437 dimensions (56.4%, ETA 0h 0m)
linear algebra completed 80350 of 85437 dimensions (94.0%, ETA 0h 0m)
lanczos halted after 1350 iterations (dim = 85324)
recovered 17 nontrivial dependencies
p1 factor: 2
p2 factor: 19
p2 factor: 61
p5 factor: 33623
prp11 factor: 13088168851
prp11 factor: 16711112083
prp12 factor: 306932344207
prp17 factor: 67450370084036707
prp36 factor: 138372453600625433569486028934854639
prp62 factor: 74079852015684770023216906532206236164721122832411358007787337
elapsed time 04:55:59

上記 factor: に続く数値をコピーしておきます。赤く塗っている部分です。

スポンサーリンク


⑦ unfactor_ecdsa.py を実行

unfactor_ecdsa.py を実行します。実行結果にある「AES private key:」 に続く16新数の文字列(赤く塗った部分)をコピーしておきます。後の処理で利用するため、メモ帳などに保存しておいてください。

C:\TeslaCrack-master> unfactor_ecdsa.py test.rtf.vvv 2 19 61 33
623 13088168851 16711112083 306932344207 67450370084036707 138372453600625433569
486028934854639 74079852015684770023216906532206236164721122832411358007787337
Found AES private key: b'\xb8\x0c\x7e\x25\x47\x19\xce\x8b\x02\x6a\xa7\x0c\xd9\x8
d\xbd\x49\x55\x4c\x7f\xdd\x93\xb0\xd5\x51\xd8\x4f\x4e\x73\x6a\x2c\x8b\xba'
(B80C
7E254719CE8B026AA70CD98DBD49554C7FDD93B0D551D84F4E736A2C8BBA)

⑧ teslacrack.py の鍵の設定

teslacrack.py の known_keys = に以下のように④と⑦の赤く塗った文字列を追記して保存してください。

known_keys = {
    b'D4E0010A8EDA7AAAE8462FFE9562B29871B9DA186D98B5B15EC9F77803B60EAB12AD
DF78CBD4D9314A0
C31270CC8822DCC071D10193D1E612360B26582DAF124':
b'\xEA\x68\x5A\x3C\xDB\x78\x0D\xF2\x12\xEB\xAA\x50\x03\xAD\xC3\xE1\x04\x06
\x3E\xBC\x25\x93\x52\xC5\x09\x88\xB7\x56\x1A\xD1\x34\xA5',
    b'9F2874FB536C0A6EF7B296416A262A8A722A38C82EBD637DB3B11232AE0102153C18
837EFB4558E9E2DB
FC1BB4BE799AE624ED717A234AFC5E2F8E2668C76B6C':
b'\xCD\x0D\x0D\x54\xC4\xFD\xB7\x64\x7C\x4D\xB0\x95\x6A\x30\x46\xC3\x4E\x38
\x5B\x51\xD7\x35\xD1\x7C\x00\x9D\x47\x3E\x02\x84\x27\x95',
    b'115DF08B0956AEDF0293EBA00CCD6793344D6590D234FE0DF2E679B7159E8DB05F96
0455F17CDDCE094420182484E73D4041C39531B5B8E753E562910561DE52':
b'\x1A\xDC\x91\x33\x3E\x8F\x6B\x59\xBB\xCF\xB3\x34\x51\xD8\xA3\xA9\x4D\x14
\xB3\x84\x15\xFA\x33\xC0\xF7\xFB\x69\x59\x20\xD3\x61\x8F',
   b'45121115A5B0EBC7353571E5478DA51135AAF09231613DF8385096932496 EFF
7A770F228B2D590F57E5B39E6EE34ACCAC297824ACC09F264D8565929578200A6':
b'\xb8\x0c\x7e\x25\x47\x19\xce\x8b\x02\x6a\xa7\x0c\xd9\x8d\xbd\x49\x55
\x4c \x7f\xdd\x93\xb0\xd5\x51\xd8\x4f\x4e\x73\x6a\x2c\x8b\xba',

}

⑨ teslacrack.py を実行

⑧で鍵の設定をした teslacrack.py を実行すると、暗号化されたファイルが復元されます。この teslacrack.py を使って他の場所にある暗号化されたファイルを復元することが出来ます。

C:\TeslaCrack-master>teslacrack.py
Decrypting ./test.rtf.vvv
Decrypting ./test.zip.vvv

無事 vvv ウイルスで暗号化されたファイルを復元することが出来ました。

C:\TeslaCrack-master>dir test*
2016/01/12  06:09                 7 test.rtf
2015/12/08  07:25               430 test.rtf.vvv
2016/01/12  06:09                22 test.zip
2015/12/08  07:25               446 test.zip.vvv

⑩ 終わり

お疲れ様でした。これで終了です。

スポンサーリンク


4. ウイルスに再度感染しないための対策方法

① OS、ブラウザ、プラグインなどを最新版にアップデート、パッチ適用する

   悪意あるWebサイトや改ざんされたWebサイトを閲覧することによって、Internet Explorer や Adobe Flash、 Java などのプラグインの脆弱性を狙った攻撃を受けてしまい、TeslaCrypt などのランサムウェアに感染するケースが多くあります。これらの脆弱性をアップデートやパッチで修正することによって、ランサムウェアの感染を防ぐことが出来ます。

② アンチウイルスソフトのパターンを最新にして、リアルタイム検知をオンにする

アンチウイルスソフトのパターンで検知できるウイルスは限られていますが入れておいた方がよいと思います。

③ヒューリスティック検知やサンドボックスエンジンなどによるパターンファイルに依存しないアンチウイルス製品を導入する

 

アンチウイルスソフトウェアを入れていたのに、TeslaCrypt ランサムウェアに感染してしまった方もたくさんいると思います。これはアンチウイルスベンダーが作成するウイルスのパターンに、感染したTeslaCryptのパターンが登録されていなかったためです。ウイルスの亜種などが大量に作成されている現在では、パターンマッチングだけでは感染を防ぐことが難しくなってきています。パターンマッチだけではなく、ヒューリスティック検知やサンドボックスエンジンなどによる未知のウイルスが検知できる機能を持った製品を導入することを推奨します。

③ソフトウェア制限ポリシーで不正なプログラムの実行を禁止する

Windows が標準で持っている機能(Windows XP以降)である「ソフトウェア制限ポリシー(SRP:Software Restriction Policies)」を使うことで、怪しいプログラムの実行を禁止することが可能です。SRPの「パスの規則」設定で、ランサムウェアが良く作られるパスを登録しておくことで、感染を防ぐことが出来ます。ランサムウェアなどのウイルスがよく作成される場所としては, %TEMP% や %APPDATA% 直下、%APPDATA%以下のディレクトリなどがあります。ファイルの拡張子は「exe」以外にも「.com」、「.scr」などになっている場合もあります。

%TEMP%\*.exe,  %APPDATA%\*.exe, %APPDATA%\*\*.exe など

5. 関連リンク


« アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール | トップページ | SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ »

ウイルス、マルウェア(Malware)」カテゴリの記事

セキュリティ事件、サイバー攻撃」カテゴリの記事

ニュース」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/63044628

この記事へのトラックバック一覧です: ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策:

« アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール | トップページ | SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索