雑記 > ランサムウェア > CryptoWallウイルス

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

【ファイル暗号化】 身代金要求ランサムウェアウイルス感染被害 CryptoWall

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)は、身代金を要求する脅迫ウイルスです。

を名乗るプログラムは、Windowsパソコンに保存されてる特定の拡張子を持つファイルを暗号化して人質にとり、暗号を解除してファイルを復元するツール CryptoWall Decryptor の購入を要求します。 (´_`)<英語で

2013年に確認されたランサムウェアの1つ CryptoLocker(クリプトロッカー) とは種類が異なる別モノだけど、目に見えて異変が分かるマルウェアとして採用されていて、亜種が随時投入され セキュリティソフト が後を追う”イタチごっこ”になってます。

ウイルスの挙動を確認するため、このようなランサムウェアをWindowsパソコン上で感染させてブログで紹介し、実際に振り込まれてる身代金の状況、感染経路や攻撃を回避する対策にも触れてます。

ファイルの暗号化と身代金の要求

〜 暗号化作業が完了すると出力されるテキストファイル 〜

ファイルの暗号化が完了し復元・復号にHELP DECRYPTファイルで身代金を要求するCryptoWallウイルス HELP_DECRYPT.TXT HELP_DECRYPT.HTML HELP_YOUR_FILES.PNG
ファイルを暗号化した趣旨と身代金の支払い方法を説明する内容

暗号化の対象は、文書ファイル(xls、xlsx、doc、docx、pdf、txt)、画像ファイル(jpg、psd)、音楽ファイル(wav、mp3)、動画ファイル(mp4、mpg、avi、wmv)などで、Windowsパソコンに接続されてる外付けハードディスクやUSBメモリも含まれます。

暗号の解除に必要な鍵データが CryptoWall を操る攻撃者のサーバー上に保管されてるため、残念ながら現時点では要求に屈して身代金の支払いに応じる以外にファイルの復号は困難な状況です。

暗号化されたファイルのフォルダ上に作成されるファイル (いずれも無害)

DECRYPT_INSTRUCTION HELP_DECRYPT HELP_FILEファイルの暗号化で復号化/修復/復元/復旧阻止するCryptoWall

《 CryptoWall 3.0 》

《 CryptoWall 4.0 》

感染経路はメールの添付ファイル か サイト閲覧による強制感染

CryptoWallウイルスは2つの感染経路が確認されていて、日本では特に【2】の攻撃パターンで殺られるWindowsユーザーさん多い感じ?

【1】 ウイルスメールの添付ファイル

実在する企業や機関を名乗って成りすます迷惑メール(スパムメール)を受信し、Windowsユーザーが手動で添付ファイルを起動して自爆感染するパターンです。

添付されてるのは圧縮ファイルで、解凍すると中身が Windows向け実行ファイル(拡張子 *.exe)、スクリーンセーバー(拡張子 *.scr)、JavaScriptファイル(拡張子 .js)だったり、マクロ機能を悪用する不正なワード/エクセルファイル(拡張子 *.doc *.xls)が添付されてる事例が確認されてます。

たとえば、↓はインターネットFAXのデータ受信通知を装ったメールに添付されてたマルウェアの現物で、Windowsユーザーにキッチリ踏み抜いてもらうためアイコン画像がPDF文書っぽく偽装されてます。

[スパムメール添付ウイルスファイル] ダウンローダ型トロイの木馬 TrojanDownloader:Win32/Upatre、ランサムウェア Ransom:Win32/Crowti
左は Win32/Upatre (VT 1/55) の亜種、右は Win32/Crowti (VT 2/53) の亜種

ウイルス検出率が酷いけど、セキュリティ会社はウイルス定義データを毎日更新して後を追って対応する”後出しジャンケン”せざるを得ない日常的な光景だったりします。 (ー。ー;

【2】 ネットサーフィン中のドライブバイ・ダウンロード攻撃

ハッキング被害を受けてる一般サイトやブログを閲覧したり、侵害された正規の広告配信サーバーが裏で読み込まれる状況にたまたま出くわし、CryptoWall ウイルスが何ら確認もなく問答無用で有無を言わさず強制インストールされるパターンです。

ただ、この攻撃手口が成立するには、下の4条件の中で1つでも当てはまるWindowsである必要があります。

  1. Adobe Flash Player を更新することなく旧バージョンのまま放置してる
  2. Windows Update が実施されてない
  3. Java を更新することなく旧バージョンのまま放置してる
  4. Adobe Reader を更新することなく旧バージョンのまま放置してる

逆に言うと、4条件に当てはまらないよう 無料セキュリティ診断ウイルス感染経路をふさぐ対策 を済ませた Windows Vista/7/8/10 なら、CryptoWall が強制インストールされる機会が100%訪れないことになります。

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新されてる
  2. Windows Update は毎月実施されてる
  3. Java はちゃんと最新版に更新されてる
  4. Adobe Reader はちゃんと最新版に更新されてる

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず!

注意したいのは、仮にもこのような対策ソフトが導入されてあっても、更新作業をすっぽかしウイルス感染経路が開いたまま放置されてる状況なら被害に巻き込まれるところでしょう。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

正規サイト経由や広告配信経由でウイルスがバラ撒かれる事例すら確認されてるのに、『怪しいサイトにアクセスしない♪』といった現実の脅威とズレてるウイルス対策は無意味です。

CroptoWall ランサムウェア メモ

「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる”可能性”があります。

無料ウイルススキャンツール (フリーソフト、駆除対応)

  1. マイクロソフト セーフティスキャナー Microsoft Safety Scanner でクイックスキャン
    https://www.microsoft.com/security/scanner/使い方はコチラ
  2. マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free で脅威スキャン
    https://www.malwarebytes.com/antimalware/使い方はコチラ

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

起動用レジストリと本体ファイル 《 CryptoWall 4.0 》

CryptoWall ウイルスの起動用パラメータがレジストリに設定されます。

ランダム文字列 ⇒ アルファベット小文字と数字の組み合わせ (長さ6〜10文字らへん)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 名前 → [ランダム文字列]
 値のデータ → [実行ファイルのフルパス]

C:\Users\[ユーザー名]\AppData\Roaming\[ランダム文字列]\[ランダム文字列].exe

起動用レジストリと本体ファイル 《 CryptoWall 3.0 》

CryptoWall ウイルスの起動用パラメータがレジストリに設定されます。

ランダム文字列 ⇒ アルファベット小文字と数字の組み合わせ (長さ7〜8文字らへん)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
 名前 → [ランダム文字列]
 値のデータ → [実行ファイルのフルパス]

C:\[ランダム文字列]\[ランダム文字列].exe
C:\Users\[ユーザー名]\AppData\Roaming\[ランダム文字列].exe
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[ランダム文字列].exe

セキュリティ会社の脅威情報

世界中のWindowsユーザーから振り込まれる身代金

〜 匿名接続Torネットワーク上に存在する身代金支払い用ページ 〜

Torネットワーク上に用意されてるCryptoWallランサムウェアの身代金Bitcoin支払いページ Decrypt service / Your files are encrypted.
500ドル相当のBitcoinを要求、5日以内に支払わないと2倍の1000ドルへ引き上げると脅迫

海外のセキュリティブログが2014年6月に投稿した記事によると、世界中から支払われる身代金を寄せ集めた1つのBitcoinウォレット(財布)に約41万BTCが貯まっているそうです。 (BTC … ビットコインの単位)

Bitcoin の相場は乱高下が大きいので時によるけど、日本円に換算すると200億円以上となります。リアル銀行にピストル持って強盗しにいく手間暇を考えれば、ランサムウェアが繁盛するのも無理はない? (;_;)ノ

米FBI関連機関も甚大な被害に警報

自ら身を引くとは考えにくい CryptoWall の活動が終幕を迎えるには法執行機関に期待するしかない状況だけど、2015年6月にアメリカの連邦捜査局FBIが管理するインターネット犯罪苦情センター(IC3)が、米国の個人や企業をターゲットに多くの犠牲者を生む脅威に警報を発しました。

2014年4月から2015年5月の間に992件の苦情を受け取り、その被害にかかる様々なコストを計算すると、損失額は1800万ドル(約22億円)を超えると指摘してます。

PR 東芝の直販ショップ − 安い4万円台からノートPCがっ! ウェブ限定・送料無料

アクセスキーワード統計情報
[ランサムウェア 駆除] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [CryptoWall 3.0 復号] [CryptoWall 修復] [CryptoWall 復元] [CryptoWall 読み方] [CryptoWall とは] [CryptoWall アンインストール] [CryptoWall 削除方法] [CryptoWall 駆除] [CryptoWall3.0 ウイルス] [CryptoWall3.0 被害] [CryptoWall3.0 ファイル 復元] [CryptoWall3.0 ウイルス] [CryptoWall Decrypter] [HELP DECRYPT ウイルス] [HELP DECRYPT 削除方法] [HELP DECRYPT 駆除] [HELP DECRYPT 感染] [HELP_YOUR_FILES.PNG ウイルス] [HELP YOUR FILES ウイルス] [HELP FILE ウイルス] [INSTRUCTIONS ウイルス] [CryptoWall 4.0 駆除] …

雑記 > ランサムウェア > CryptoWallウイルス


Copyright © 2016 Let's Emu!. All rights reserved.