雑記 > ランサムウェア > 攻撃対象環境

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

ランサムウェア狙う環境? Mac iPhone Androidスマホやタブレット感染被害?

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

コンピュータ環境ごとのランサムウェア攻撃状況をテキトーにまとめると次のようになっていて、手っ取り早く言うと Windowsパソコン と Android端末 はランサムウェア対策 を実施しておくべきです。 φ(_ _ )

Microsoft Windows XP/Vista/7/8/10 向けランサムウェア

ランサムウェア の主戦場であり、地球上の家庭、企業、学校、医療機関、公的機関などで使われるすべてのWindowsパソコンが例外なく攻撃対象候補となってます。

ランサムウェアとは、ユーザーの同意なくユーザーのコンピューターに違法にインストールされる マルウェア (悪意のあるソフトウェア) の一種です。ランサムウェアは、犯罪者がユーザーのコンピューターを遠隔地からロックできるようにします。 次に、あなたのコンピューターはロックされています、支払いを行うまでアクセスできません、という警告を含んだポップアップ ウィンドウが表示されます。
アンチウイルスソフト、ゲームソフト… 売れ筋ランキング!

ウイルス感染手口は大きく 迷惑メールに添付された不正なファイルの自爆感染スクリプトウイルスマクロウイルス) と ネットサーフィン中のドライブバイ・ダウンロード攻撃による強制インストール の2つあるので ランサムウェア対策にやっておくべき感染防止方法 どぞ♪

ランサムウェア作成ツールやオープンソースまで…

ランサムウェアの種類も3ケタの数に達し、RaaS(Ransomware as a Service)なんて呼ばれるランサムウェアの貸出サービスがあったり、クリックだけでランサムウェアを開発できる作成ツールがダークウェブで公開されてたり、プログラムの設計図であるソースコードを公開するオープンソースなランサムウェアなんてのもあるとか。 (@_@;

ランサムウェア脅迫画面の例

CERBER RANSOMWARE 説明書 必要なファイルが、見つかりませんか? ファイルの内容が、読み取れませんか? ファイル名およびファイルの内容が ”Cerber Ransomware” によって暗号化されているので、それは正常です。つまり、ファイルが壊れているわけではありません! ファイルが変更されているだけです。 この変更は、元に戻せます。 ここからは、復号化しない限り、ファイルを使えなくなります。ファイルを安全に復号化できる唯一の方法は、特別な復号化ソフトウェア ”Cerber Decryptor” を購入することです。サードパーティのソフトウェアでファイルを復元しようと試みると、ファイルが壊れます!
Windows向けランサムウェア Cerber の脅迫画面

【Lockyランサムウェアの脅迫文】
!!! 重要な情報 !!!!
すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。
RSAの詳細については、ここで見つけることができます:
http://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7
http://ja.wikipedia.org/wiki/Advanced_Encryption_Standard
あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。
あなたの秘密鍵を受信するには、リンクのいすれかに従います:
このすべてのアドレスが使用できない場合は、次の手順を実行します。
1. ダウンロードして、Torのブラウザをインストールします: https;//www.torproject.org/download/download-easy.html
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。
3. アドレスバーにタイプ: [英数字].onion/[英数字]
4. サイトの指示に従ってください。
!!! 個人識別ID: [英数字] !!!

【Cerberランサムウェアの脅迫文】
CERBER RANSOMWARE - Instructions
説明書
必要なファイルが、見つかりませんか?
ファイルの内容が、読み取れませんか?
ファイル名およびファイルの内容が "Cerber Ransomware" によって暗号化されているので、それは正常です。
つまり、ファイルが壊れているわけではありません! ファイルが変更されているだけです。 この変更は、元に戻せます。 ここからは、復号化しない限り、ファイルを使えなくなります。
ファイルを安全に復号化できる唯一の方法は、特別な復号化ソフトウェア "Cerber Decryptor" を購入することです。
サードパーティのソフトウェアでファイルを復元しようと試みると、ファイルが壊れます!
復号化ソフトウェアは、パーソナルページで購入できます:
このページを開けない場合は、  ここをクリック  すると、あなたのパーソナルページの新しいアドレスが作成されます。
このページで、すべてのファイルを復元するために復号化ソフトウェアを購入する方法の説明を受け取ってください。
また、このページで、"Cerber Decryptor" がどれだけ役立つかを確認していただくために、無料で 1 つのファイルの復元を試すこともできます。
追加情報:
暗号化されたファイルがあるフォルダには、ファイルの復元に関する指示があります (”*.hta”)。
暗号化されたファイルがあるフォルダにある指示 (”*.hta”) はウイルスではありません。この指示 (”*.hta”) は、ファイルの復号化に役立ちます。
最悪の状況が発生していて、あなたのファイルの今後は、あなたの決断と素早いアクションにかかっていることをお忘れなく。

Apple Mac OS X 向けランサムウェア

正常に動作しない未完成なランサムウェアがオンラインスキャンサイト VirusTotal 上で発見されたり、ブラジルのセキュリティ研究者が実証目的で作成してみたお話があるだけで、一般のMacユーザーに影響するランサムウェアは確認されてませんでした。

OS X の「開いてもよろしいですか?」という警告について (ファイルの隔離/既知のマルウェアの検知)
アンチウイルスソフト、ゲームソフト… 売れ筋ランキング!

2016年にMac向けランサムウェアを初確認

ところが、2016年3月にMac向け無料BitTorrentクライアント Transmission の公式サイトがハッキングされ、あろうことか正規の配布ファイル(バージョン2.90)がランサムウェアにスゲ替えられて約20時間に渡って配布されるサイバー攻撃事件が起こりました。

ただ、Mac の世界でランサムウェアが流行ってるとはまだ言い難く、史上初の ”動くMac向けランサムウェア” となった KeRanger のウイルス検出名はオンラインスキャンサイト VirusTotal で確認できます。

www.virustotal.com/ja/file/d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1/analysis/1457125812/
www.virustotal.com/ja/file/d7d765b1ddd235a57a2d13bd065f293a7469594c7e13ea7700e55501206a09b5/analysis/1457129841/

【Android OS】 スマホ/タブレット/テレビ 向けランサムウェア

Android OS 搭載機器を狙ったランサムウェアは Windows に次いで流行していて、警察や政府機関を名乗って端末をロックするタイプと、数は少ないそうだけどストレージ上のファイルを暗号化するタイプが投入されてます。

PCを狙うランサムウェアは、画面ロック型が減少し、暗号化型の攻撃が急増していますが、Androidランサムウェアの大半は画面ロック型が占めています。Androidデバイスは、画面ロック解除のために外部ハードウェアを使う必要があり、PCの暗号化型と同様の効果があるためです。
http://www.kaspersky.co.jp/about/news/virus/2016/vir29062016 (カスペルスキー)

Google inc. の配信ストア Google Play で不正なAndroidアプリが見つかるお話もあり、もっともらしい便利アプリを装ってランサムウェアが配信されていた事実が2017年に報告されてます。

メモリ最適化クリーナー Wiperius
www.virustotal.com/ja/file/b3df6aa17e513685c8873bf021bd00ee5e8a74be5028bbd29b73062f2318baac/analysis/1474819054/

バッテリーを長持ちさせる Energy Rescue
www.virustotal.com/ja/file/761c805132d2080ce6d68d117bb25a297570dbf9a6cb510fcd68bf99de8e3a39/analysis/1480524535/
www.virustotal.com/ja/file/58eb6c368e129b17559bdeacb3aed4d9a5d3596f774cf5ed3fdcf51775232ba0/analysis/1485274102/

海外の野良サイトでランサムウェア配布

ただ、主要なAndroidランサムウェアの感染経路は もっともらしい名目(映像再生プレーヤー、便利なアプリ)を装って野良サイトで野良アプリを配布する攻撃 が特に海外で確認されるのが一般的のようです。

Ransomware Malware PornDroid | HEUR:Trojan-Ransom.AndroidOS.Svpeng Android/Koler.AN Android.Locker.340.origin
米連邦捜査局FBIを騙るAndroidランサムウェア

Ransomware Malware HD Porn Player | Android.Locker.314.origin Android/Locker.IG HEUR:Trojan-Ransom.AndroidOS.Svpeng
英国の国家犯罪対策庁NCA&メトロポリタンポリスを騙るランサムウェア

【Androidランサムウェアのロック画面脅迫文】
The FBI
Department of Justice
Federal Bureau of Investigation FBI Headquarters
Washington DC Department, USA
As a result of full scanning of your device, some suspicious files have been found and your attendance of the forbidden pornographic sites has been fixed. For this reason your device has been locked.

NCA National Cyber Crime Unit
METROPOLITAN Police
ATTENTION! YOUR MOBILE DEVICE HAS BEEN BLOCKED FOR SAFETY REASONS
OBS! BROWSEREN ER BLEVET BLOKERET AF SIKKERHEDSMASSIGE ARSAGER ANFORT NEDENFOR
WARNUNG! ZUGANG VON IHREM MOBILES GERAT VORLAUFIG AUS DEN UNTEN AUFGELISTETEN GRUNDEN GESPERRT
UPOZORENJE! VAS WEB-PREGLEDNIK JE BLOKIRAN ZBOG SIGURNOSNIH MJERA IZ SLJEDECIH RAZLOGA
ATTENZIONE! IL SUO DISPOSITIVO MOBILE E STATO BLOCCATO PER MOTIVI DI SICUREZZA PER LE SEGUENTI RAGIONI
ATTENTION! YOUR MOBILE DEVICE HAS BEEN BLOCKED UP FOR SAFETY REASONS
!ATENCION! SU NAVEGADOR HA SIDO BLOQUEADO POR RAZONES DE SEGURIDAD VISTOS LOS MOTIVOS ABAJO DETALLADOS
If you let 24 hours pass without payment, your mobile device with all photos, music, movies, games, documents will be deleted and you will become the subject of criminal prosecution without the right to pay the fine and the possibility of unlocking your mobile device expires!!!

Notice of Imposition of Fine
Bailiffs Service
Date of Issue: [日付]
Reference Number: [数字]-[数字]/[英字]
Fine Details
Amount: $25
Due date: [日付]
LAW OFFENDER PROFILE
Country:
Region:
City:
Your Location:
Device:
IP:
OS:
SDK:
ALL COLLECTED DATA WILL BE MADE PUBLIC
AND THE CASE GOES TO TRIAL!
PAY A PENALTY OF $25
TO SETTLE THE CASE OUT OF COURT

日本狙いのランサムウェア攻撃は2016年上陸

日本での感染被害は ”言語の壁” もあって確認されたなかったものの、Androidスマホ、タブレット、スマートテレビをロックするランサムウェア 「MINISTRY OF JUSTICE.CRIMINAL POLICY」 が日本を明確に狙って2016年3月に初上陸しました。

攻撃手口は海外の一般サイトに出稿されてる広告配信サーバーを介してAndroid 4.xブラウザの脆弱性を突く攻撃処理を読み込ませる手法で、Androidアプリの導入を確認する場面なくランサムウェアの強制インストールを実現します。 (スマホのランサムウェア対策

【iOS】 スマホ/タブレット 向けランサムウェア

iPhone や iPad に搭載されてる iOS はアプリの導入ルートが Apple Inc. 管理下の配信ストア App Store に限定されてるので、改造行為(ジェイルブレイク)を行ってる端末でない限り マルウェア の心配は少なく、ランサムウェアといえる不正なアプリはまだ確認されてません。 (そもそもウイルスを検出・駆除するiOS向けの対策アプリが存在しない)

あと、Windowsパソコン、Mac OS X、スマホなどインターネットに接続できる環境を狙い、Safariブラウザをダイアログ表示でループして擬似的にロックする ”ランサムウェアもどき” を表示するページが海外で確認されてます。

携帯電話・ガラケー 向けランサムウェア

従来型の携帯電話/フィーチャーフォン、いわゆる日本のガラケーは独自OSを搭載してるためコンピュータウイルスが確認されてません。

Linuxサーバー 向け ランサムウェア

Linuxデスクトップではなく、ウェブサイトを運用するサーバー上のファイルを暗号化するランサムウェアがいくつか報告されてます。

Attention! What happened? Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
PHP製ランサムウェア CTB-Locker に汚染された正規サイトの身代金画面

悪意のある第三者がサーバー内に不正アクセスするのがキッカケのようで、利用してるCMS(WordPress、Joomla!など)の脆弱性を悪用される、ログイン用パスワードがいい加減だったりすることが原因です。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェア とは] [ランサムウェア 対処] [ランサムウェア 対策] [ランサウェア 拡張子] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [ランサムウェア メール] [ランサムウェア スマホ] [身代金型ウイルス サイト] [身代金型ウィルス 対策] [身代金ウイルス 現状] [身代金型ウイルス 解除] [身代金型ウイルス 日本語] [身代金型ウイルス 対策] [ファイル暗号化 ウイルス] [Ransomware マルウェア] [ランサムウェア iPhone] [ランサムウェア iPad] [ランサムウェア ガラケー] [ランサムウェア Mac][ランサムウェア タブレット] [ランサムウェア スマホ ロック] [ランサムウェア テレビ ロック] [ディープウェブ ランサムウェア] [エクセル ワード 拡張子 変更 ウイルス] [アイコン 白紙 ウイルス] [PDF 拡張子 ウイルス] …

雑記 > ランサムウェア > 攻撃対象環境


Copyright © 2016 Let's Emu!. All rights reserved.