雑記 > ランサムウェア > Crypt0L0ckerウイルス

PR 国内メーカー東芝の直販 - 4万円台からノートPC安い!

ファイル暗号化ランサムウェアウイルス Crypt0L0cker 【日本語で身代金要求】

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)は、身代金を要求する脅迫ウイルスです。

Crypt0L0cker を名乗る不正なプログラムは、Windowsパソコンに保存されてる特定の拡張子を持ったファイルを暗号化して人質にとり、これを復元して解除するのを盾に身代金の支払い要求します。 (´_`)ノ

ちなみに、Crypt0L0cker はアルファベットの”オー”を数字の”ゼロ”で表記していて、こういう表現方法は「leet」(リート)といいます。

~ ファイルの暗号化作業が完了した直後に表示されるウィンドウ ~

ファイル暗号化完了で身代金をせびるウィンドウ画面 (偽CryptoLocker) WARNING we have encrypted your files with Crypt0L0cker virus / ADVERTENCIA nos cifrar sus archivos con Crypt0L0cker / WARNUNG wir verschlusseln ihre dateien mit Crypt0L0cker virus
日本語 『ご注意 お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました』

ご注意
お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました

お客様の重要なファイル(ネットワーク・ディスク、USBなどのファイルを含む):画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスによって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

警告: Crypt0L0ckerを削除しても、暗号化されたファイルへのアクセスを復活させることはできません。

ファイル復元のお支払いはこちらをクリックしてください

暗号化の対象は、文書ファイル(Office Word/Excel、PDF)、画像ファイル(JPEG)、音楽ファイル、動画ファイルといった形式で、実行ファイル(*.exe)やシステム関連ファイル(*.dll、*.sys)、Program Filesフォルダ内のファイルを対象から外すことで、Windowsパソコンの動作そのものは維持される設計になってます。

Crypt0L0cker により暗号化されたファイルの拡張子 *.encrypted

解除するための鍵データは Crypt0L0cker を操る攻撃者のサーバー上に保管されてるため、残念ながら現時点では身代金を支払う以外にファイルを元に戻すのは困難な状況です。

~ 匿名通信Torネットワーク上に用意されてる”暗号解読ソフト”の販売ページ ~

暗号化したファイルを復元するツールを販売するサイト 暗号解読ソフトを購入し、すべての暗号化されたお客様のファイルを取り戻しませんか
仮想通貨Bitcoinで約5万円相当を支払うよう要求し、一定の時間が経過した場合は2倍に引き上げると脅迫

このランサムウェアは、2014年からオーストラリアやヨーロッパのユーザーをターゲットに TorrentLocker(トレントロッカー) という種類で知られていたもので、2014年上半期に米FBIなど法執行機関の摘発によりネットワークが陥落して活動が終了した CryptoLocker とは種類がまったく異なる別モノです。

Crypt0L0cker は似たような名前を名乗って真似をする”CryptoLocker”になります。

そして、2015年4月中旬らへんから、より広範な地域に投入できるよう改良された多言語対応バージョン(英語、ドイツ語、スペイン語、ポーランド語以外に日本語、中国語、韓国語、タイ語)が投入され、日本も含め東アジアや東南アジアでも感染被害が確認されるようになってます。

Crypt0L0ckerウイルス 人質にしたファイルの復元に中国語、韓国語、タイ語で暗号解読ソフトを購入で身代金の要求
CryptoLocker-copycat TorrentLocker/Crypt0L0cker (Chinese, Korean and Thai...)

感染手口はネットサーフィン中の強制インストール

Crypt0L0ckerウイルスは、偽セキュリティソフトネットバンク不正送金ウイルスと同じ手口で、改ざん被害を受けてる一般サイトやブログを偶然訪問した時や、侵害された広告配信サーバーが運悪く読み込まれた時に強制インストールされるドライブバイ・ダウンロード攻撃の手口を確認してます。

この攻撃が成立する条件は、下の4系統の中で1つでも当てはまった場合に限定されます。 (^ー^)b

  1. Adobe Flash Player を旧バージョンのまま放置してる
  2. Windows Update が実施されてない
  3. Java を旧バージョンのまま放置してる
  4. Adobe Reader を旧バージョンのまま放置してる

言い換えると、4条件に当てはまらないよう無料セキュリティ診断無料ウイルス対策をユーザーが実施しておけば、こんな Crypt0L0cker ウイルスを目にする機会に100%恵まれないことになります。 (^o^)v

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新されてる
  2. Windows Update は毎月実施されてる
  3. Java はちゃんと最新版に更新されてる
  4. Adobe Reader はちゃんと最新版に更新されてる

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず!

仮にもこのような対策ソフトがWindowsパソコンに導入されてあっても、感染4条件をクリアしておらずウイルス感染経路が開いたまま放置されていれば被害に巻き込まれうるので注意が必要です。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

Crypt0L0ckerウイルス関連情報

ウイルスの挙動を確認するため、このようなランサムウェアをWindowsパソコン上で感染させてブログで紹介し、感染経路や攻撃を回避する対策にも触れてます。

「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる”可能性”があります。

現時点で、コレ以外だとバックアップからファイルを復旧するぐらいしか手段がありません。

レジストリ&ファイル

レジストリにCrypt0L0cker(偽CryptoLocker)の起動パス

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
項目名 → [ランダム文字列]
データ → C:\Windows\[ランダム文字列].exe

C:\Windows\[ランダム文字列].exe
~ /DECRYPT_INSTRUCTIONS.html
~ /DECRYPT_INSTRUCTIONS.txt
~ /INSTRUCTIONS.html
~ /INSTRUCTIONS.txt

※ ランダム文字列 … 感染マシンごとにバラバラ (アルファベット小文字+長さ8文字)

無料ウイルススキャンツール (フリーソフト、駆除対応)

「CryptoLocker」ウィンドウが邪魔なら、右上の×ボタンはウィンドウが再表示されるだけで終了できないので最小化してください。また、[セーフモード] や [セーフモードとネットワーク] に移行すると「CrypoLocker」ウィンドウは起動しません。

駆除自体は難しくはないものの、最低限Windowsパソコンを動作させる以外のファイルが破壊されてるはずで、ソフトウェアの入れ直しなどの手間暇を考えると、リカバリ(初期化)も検討してください。

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

セキュリティ会社の脅威情報

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード統計情報
[ランサムウェア 駆除方法] [ランサムウェア とは] [ランサムウェア 解除] [ランサムウェア 感染] [ランサムウェア 対策] [ランサムウェア ファイル復元] [Crypt0L0ckerウイルス] [Crypt0L0cker 駆除] [Crypt0L0cker 復旧] [Crypt0L0cker 対処] [Crypt0L0cker ウイルス] [Crypt0L0cker 復元] [Crypt0L0cker 削除] [CryptoLocker 駆除] [CryptoLocker 削除] [CryptoLocker 復元] [CryptoLocker 削除方法] [CryptoLocker 解除] [CryptoLocker とは] [CryptoLocker 暗号化] [CryptoLocker 読み方] [CryptoLocker アンインストール] [encrypted CryptoLocker] [クリプトロッカー 駆除] …

雑記 > ランサムウェア > Crypt0L0ckerウイルス


Copyright © 2016 Let's Emu!. All rights reserved.