« LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484) | トップページ | How to reset BIOS or CMOS Password »

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

 

このエントリーをはてなブックマークに追加

1. CERBER 概要

スポンサーリンク

ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

2. CERBER による暗号化と脅迫文

CERBER に感染後のデスクトップ画面

他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

cerber4

CERBER の脅迫文

脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

cerber0

3. CEBER で暗号化されたファイルの復号方法(1回のみ)

CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

※ 購入を推奨している訳ではありません。

Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

cerber1

ロボットアクセス回避のためのキャプチャ認証が入っていました。

セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

cerber2

メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
すべての取引は bitcoin ネットワーク内でのみ実行されます。
これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
5日経過後は、この製品の価格はB2.000になります。

スポンサーリンク

cerber3

上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

今なら、無料で1つのファイルを復号化できる特別な機会!
サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

cerber6

復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

cerber8

ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

cerber10

4. CERBER で暗号化されたファイルの復号方法

スポンサーリンク

初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

5. 関連URL

« LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484) | トップページ | How to reset BIOS or CMOS Password »

ウイルス、マルウェア(Malware)」カテゴリの記事

セキュリティ事件、サイバー攻撃」カテゴリの記事

セキュリティ(Security)」カテゴリの記事

ニュース」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/503138/64768229

この記事へのトラックバック一覧です: 音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法:

« LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484) | トップページ | How to reset BIOS or CMOS Password »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索