雑記 > ランサムウェア > Lockyウイルス

PR 国内メーカー東芝の直販 - 4万円台からノートPC安い!

osirisファイル拡張子ウイルスLocky感染経路2つ 駆除&対策は?

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)は、身代金を要求して脅迫するウイルスです。

有名な映画作品 Rocky ならぬ Locky(読み方 ロッキー) は、Windowsパソコンに保存されてる特定の拡張子を持ったファイルを暗号化し、これを解除してファイルを元に戻す復元ツール 「Locky Decryptor™」 を購入するよう日本語や英語で脅迫します。

提示されるLockyの脅迫文

Locky/ロッキーウイルス感染! ファイルの復元方法を日本語で案内する壁紙BMPファイル OSIRIS.bmp HOWDO_text.bmp RESTORE_instructions.bmp HELP_instructions.bmp
復元できないようファイルを暗号化して身代金を支払うよう脅迫する壁紙

拡張子osiris/zzzz/aesir/shit/odin/zeptoファイル! ファイルの復元に身代金ビットコインを要求するHTMLファイル OSIRIS.htm WHAT_is.html HOWDO_text.html HOWDO_text RESTORE_instructions HELP_instructions
HTML&テキストファイル

!!! 重要な情報 !!!!
すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。
RSAの詳細については、ここで見つけることができます:
 http://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7
http://ja.wikipedia.org/wiki/Advanced_Encryption_Standard
あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。
 あなたの秘密鍵を受信するには、リンクのいすれかに従います:
このすべてのアドレスが使用できない場合は、次の手順を実行します。
!!! 個人識別ID: **************** !!!

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
 More information about the RSA and AES can be found here:
http ://en.wikipedia.org/wiki/RSA_(cryptosystem)
http ://en.wikipedia.org/wiki/Advanced_Encryption_Standard 
 Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
If all of this addresses are not available, follow these steps:
!!! Your personal identification ID: **************** !!!

破壊されたファイル

元の種類・形式が把握できないランダムな英数字+拡張子.zzzzzファイルと真っ白な白紙アイコンに変更
ハイフン含む英数字の羅列、拡張子の変更で白紙アイコン

暗号化される形式は、画像(.jpg .png .gif)、文書(.doc .docx .xls .xlsx .pdf .txt)、マルチメディア(.avi .wmv .wma)、アーカイブ(.zip .rar) など特定の拡張子で、元のファイルが判別できない ランダムな36ケタの英数字か32ケタの英数字 でファイル名が破壊され、その拡張子は 「~.loptr」「~.osiris」「~.zzzzz」「~.aesir」「~.thor」「~.odin」「~.zepto」「~.locky」 に変更されます。

ランサムウェア Locky の現物を手元のWindowsパソコン上で実際に感染させて、ファイルが暗号化された被害の症状や身代金の支払い画面、ウイルス感染経路から分かる Locky 対策についてブログ記事で紹介してます。

Lockyランサムウェアの攻撃対象環境

ランサムウェア Locky はWindows用プログラムなので何ら変哲もないファイル(拡張子 .exe .dll)にすぎず、たとえば Mac OS X、スマートフォン(Android/iPhone)、ガラケー、家庭用ゲーム機、人体 らへんは残念ながら動作対応環境に含まれてません。

LockyウイルスはMacやスマホ(Android、iPhone)では動かないWindows用実行ファイルで復元/復号/復旧を阻む
プロセス上でしれっと動作する Locky にユーザーは気付かない

ウイルス感染経路は メール か サイト閲覧

Locky ウイルスは他のWindowsパソコン狙いの ランサムウェアと同じ 2つ の感染経路 で拡散してることが確認されてます。

ランサムウェアの感染経路が2つある中で.locky/.zeptoウイルスは迷惑スパムメールの添付ファイルが圧倒!
ランサムウェア Locky の感染被害はメール由来が9割以上に達する
(出典 トレンドマイクロ 2016年第1四半期 セキュリティラウンドアップ

【1】 ウイルスメールの添付ファイル []

主に英語表記の 迷惑メール(スパムメール) を受信し、セキュリティ製品をスリ抜ける 添付ファイル をユーザー自らの意志で起動するパターンです。 (TдT)<自爆感染!

メールに添付されたJScript/JavaScriptファイル(拡張子.js/.jse JS_LOCKY JS_NEMUCOD JS.Downloader)、Windows Scriptファイル(拡張子 .wsf)、マクロを悪用するワード文章(拡張子.doc/*.docm W2KM_LOCKY W97M.Downloader)
ダブルクリック厳禁! Lockyランサムウェアを送り込む 危険ファイル の実物

2016年2月以降、金銭請求ネタなど目に留まらざるを得ない英語のメールが活発に投入され続けていて、人間の心理的なスキを突き 添付ファイル が気になって確認したくなる名目で誘惑してきます。 (;_;)<”怪しいメール” と見極められないユーザーさんいる~

Locky感染メールの添付ファイル
種類 拡張子
JScript Scriptファイル .js .jse
VBScript Scriptファイル .vbs
Windows Scriptファイル .wsf
ワード文書 .doc .docm
エクセルファイル .xls .xlsm
HTMLアプリケーション .hta
実行ファイル .exe

ファイルの種類(拡張子)に注意を払ってるかどうか が試される一方、セキュリティソフト の対応が後手に回ってるところに ヒューマンエラー で踏み抜くユーザーさんが必ず一定数出現するので、スクリプトウイルスマクロウイルス を無効にして ランサムウェア侵入前に感染防止できる無料ウイルス対策 をオススメします。 (;o;)<抽象的な 『怪しいメールを開くな!』 が必ずしも実現できない

【2】 ネットサーフィン中のドライブバイ・ダウンロード攻撃 []

ハッキング被害を受けてる一般サイトやブログを閲覧したり、侵害された正規の広告配信サーバーが裏で読み込まれる状況にたまたま出くわし、Locky ウイルスが何ら確認もなく問答無用で強制インストールされるパターンです。

危険で怪しいサイトじゃないところがウイルス配信サイト化! ハッキングされた日本語表記の正規の一般サイト
ウイルスをバラ撒く一般サイト! 育児の情報サイトで如何わしいコンテンツなく…

ただ、この攻撃手口が成立するには、下の条件の中で1つでも該当するWindowsパソコンを使用してる必要があります。

  1. Adobe Flash Player を更新することなく旧バージョンのまま放置してる
  2. Windows Update が実施されてない
  3. Java を更新することなく旧バージョンのまま放置してる

逆に言うと、条件に当てはまらないよう 無料セキュリティ診断 で確認したり、ウイルス感染経路をふさぐ対策 を済ませた Windows Vista/7/8/10 なら、Locky が強制インストールされる機会が100%訪れないことになります。

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新されてる
  2. Windows Update は毎月実施されてる
  3. Java はちゃんと最新版に更新されてる

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず!

注意したいのは、仮にもこのような対策ソフトが導入されてあっても、更新作業をすっぽかしウイルス感染経路が開いたまま放置されてる状況なら被害に巻き込まれるところでしょう。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

正規サイトや広告配信サーバーを起点にウイルスがバラ撒かれる事例が発生してるのに、『怪しい危険なサイトにアクセスしない♪』 といった現実の脅威と大きくズレてるウイルス対策は無意味です。

ウイルスの駆除削除

暗号化の作業が現在進行形で行われてる最中と判断したら、ファイルの破壊を一時的に止めさせるため Locky ウイルスが起動しない [セーフモード] または [セーフモードとネットワーク]Windowsパソコンを立ち上げてください。

ファイル&レジストリ

Windowsの 一時フォルダ に投下されてたウイルス本体です。

Windowsの一時フォルダ(TMPフォルダ)にランサムウェア.odin/.locky/.zeptoウイルスのDLLファイル
エクスプローラの日付で並び替えで新しい日付で作成されたファイルを確認

このフォルダはデフォルトでは 隠しフォルダ になってるはずで切り替えます。

最初の頃はシステムに存在する正規の 『C:\Windows\System32\svchost.exe』 と同じ名前を名乗って成りすましてたけど、最近は数パターンあってランダム文字列な DLLファイル(拡張子 ランダム文字列 または .dll) か 実行ファイル(拡張子 .exe) です。

C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\svchost.exe

C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\[ランタ゛ム文字列].[ランタ゛ム文字列] ⇒ 画像
 または
C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\[ランタ゛ム文字列].dll ⇒ 画像
 または
C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\[ランタ゛ム文字列].exe ⇒ 画像
 または
C:\Users\[ユーサ゛ー名]\AppData\[ランタ゛ム文字列].exe ⇒ 画像

脅迫文ファイル (無害)

_Locky_recover_instructions.txt _Locky_recover_instructions.bmp
_RESTORE_instructions.html _RESTORE_instructions.bmp
_[数字]_HELP_instructions.html _HELP_instructions.html _HELP_instructions.txt _HELP_instructions.bmp
_[数字]_HOWDO_text.html _HOWDO_text.html _HOWDO_text.bmp
_[数字]_WHAT_is.html _WHAT_is.html _WHAT_is.bmp
_[数字]-INSTRUCTION.html -INSTRUCTION.html -INSTRUCTION.bmp
OSIRIS-[英数字].htm OSIRIS.htm OSIRIS.bmp
loptr-[英数字].htm loptr.htm loptr.bmp

無料ウイルススキャンツール (フリーソフト、駆除対応)

  1. マイクロソフト セーフティスキャナー Microsoft Safety Scanner でクイックスキャン
    https://www.microsoft.com/security/scanner/使い方はコチラ
  2. マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free で脅威スキャン
    https://www.malwarebytes.com/antimalware/使い方はコチラ
  3. カスペルスキー ウイルスリムーバル ツール Kaspersky Virus Removal Tool でスキャン
    https://support.kaspersky.co.jp/8527使い方はコチラ

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

Locky ランサムウェア関連メモ

Locky ウイルス検出名の例

セキュリティ会社から検出名はいちおう付けられてるけど、攻撃キャンペーンが継続してる間はウイルス定義データで脅威と判定されない新鮮な亜種が逐一ドバドバ投入されます。 (´0`)<身代金ビジネスを妨害されないよう

トレンドマイクロ Ransom_LOCKY Ransom_HPLOCKY Ransom_LOCKYENC JS_LOCKY JS_LOCKYLOAD VBS_LOCKY W2KM_LOCKY X2KM_LOCKY など
シマンテック Ransom.Locky Trojan.Cryptolocker.AF Trojan.Cryptlock.AF!gm Trojan.Cryptlock.AF!g3 Trojan.Cryptlock.AF!g4 Trojan.Cryptlock.AF!g6 JS.Downloader VBS.Downloader.Trojan W97M.Downloader
マイクロソフト Ransom:Win32/Locky.A Ransom:Win32/Locky.A!plock Ransom:Win32/Locky.B Ransom:Win32/Locky!rfn Behavior:Win32/Locky.A Behavior:Win32/Locky.B Behavior:Win32/Locky.C Ransom:Win32/Locky.D Behavior:Win32/Locky.D Behavior:Win32/Locky.E Ransom:Win32/Locky.E Ransom:Win32/Locky!enc Behavior:Win32/Locky.F!rsm Behavior:Win32/Locky.G!rsm Behavior:Win32/Locky.gen!A Ransom:HTML/Locky.A
カスペルスキー Trojan-Ransom.Win32.Locky Trojan.Win32.Reconyc など
ESET Win32/Filecoder.Locky.A Win32/Filecoder.Locky.B Win32/Filecoder.Locky.C Win32/Filecoder.Locky.D Win32/Filecoder.Locky.E Win32/Filecoder.Locky.F Win32/Filecoder.Locky.G Win32/Filecoder.Locky.H Win32/Filecoder.Locky.I Win32/Filecoder.Locky.J Win32/Filecoder.NFX など
マカフィー RDN/Ransomware-Locky など

種類が違う偽Lockyランサムウェア AutoLocky

2016年4月に暗号化ファイルの拡張子を「~.locky」に変更し、脅迫文ファイル上で 『Locky Ransomware』 と名乗ってる不正なプログラムが確認されてるけど、本家 Locky の挙動を表面的に真似してるだけで種類が異なる別モノです。

セキュリティ会社が提供する無料復号ツール 「Emsisoft Decrypter for AutoLocky」「トレンドマイクロ ランサムウェア復号ツール」 は AutoLocky による暗号化ファイルに対応してるだけで、本家 Locky は攻撃キャンペーンが始まってから無料復号ツールがリリースされたことは一度もない状況です。

「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる”可能性”があります。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

アクセスキーワード統計情報
[ランサムウェア 駆除] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [Locky とは] [Locky アンインストール] [Locky 削除方法] [Lockey ファイル] [Lockey ウイルス] [Rocky ウイルス] [Locky トレンドマイクロ] [Locky カスペルスキー] [ロッカー ウイルス] [Locky Norton] [Locky ESET] [Locky Decrypter] [Locky ウイルス] [Locky 拡張子] [.aesir 拡張子] [aesir ウイルス] [zzzzz ファイル] [zzzzz 駆除] [thor ウイルス] [zepto 拡張子] [thor ランサムウェア] [.thor 拡張子] [オシリス ウイルス] [osiris ウイルス] [osiris ファイル] [RSA-2048 AES-128] [what_is.html ウイルス] [_what_is.html ウイルス] [what is ウイルス] [INSTRUCTION ウイルス] …

雑記 > ランサムウェア > Lockyウイルス


Copyright © Let's Emu!. All rights reserved.