雑記 > ランサムウェア

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

PCとスマホでランサムウェア被害 感染経路2つの対策で身代金ウイルス防止

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「ransom」(身代金) + 「software」(ソフトウェア) の造語

ファイルやコンピュータを ”人質” にした上で解放条件として金銭の支払いを要求し、それに屈したユーザーから巻き上げた身代金で巨額の収益を生み出す真っ黒いビジネスが背景にあり、だいぶ前に流行った 偽セキュリティソフト をより凶悪にした感じです。

ランサムウェア身代金型ウイルスの感染症状
ファイルを元に戻して欲しいなら身代金払え!
感染したらファイルを復元/復号/復旧/復活できないよう破壊! 拡張子の変更で白紙な真っ白アイコン? クリプトウイルス Crypt Ransomware
コンピュータを使いたいなら罰金払え!
WindowsパソコンやAndroidスマホ/タブレットの警察画面ロック! 感染したら解除に罰金を要求するウイルス Police Lock Locker Ransomware
特にWindowsパソコンで流行するランサムウェア被害の主戦場! 文書、画像、音楽、アーカイブなど特定の拡張子を持ったファイルを暗号化して開けない状態にする。 事実上、破壊された大事なファイルさんたち、さよなら~ (;_;)ノ かつてはWindowsパソコンで賑わってたものの最近はAndroid OSで。コンピュータのディスプレイいっぱいにロック画面をババーンと表示して使用不能にする。 感染した地理的位置の警察や政府機関を名乗り解除を誘う手口が多い。

ランサムウェアの感染被害 は現実に存在する深刻な脅威で公的機関も注意喚起してるけど、対岸の火事のごとく 都市伝説デマ と思い込むユーザーさんも少なからずいるようです。 (゚o゚;)<特に Windows は地球上の全ユーザーが対象なので 対策 を!

ランサムウェアファミリー別の紹介

ファイル暗号化 タイプ - 様々なファイルを破壊され開けなくなる 《Windows》

Cerber Ransomware / CRBR Encryptor | Ransom:Win32/Cerber ウイルス
《暗号化ファイルの拡張子》 [10ケタ英数字].[4ケタ英数字] ← [10ケタ英数字].cerber3 ← [10ケタ英数字].cerber2 ← [10ケタ英数字].cerber
《脅迫ファイル》 _R_E_A_D___T_H_I_S___[英数字]_.hta _!!!_README_!!!_[英数字]_.hta _READ_THI$_FILE_[英数字]_.hta _READ_THI$_FILE_[英数字]_.jpeg _READ_THIS_FILE_[英数字]_.hta _READ_THIS_FILE_[英数字]_.jpeg _HELP_HELP_HELP_[英数字]_.hta _HELP_HELP_HELP_[英数字]_.png _HOW_TO_DECRYPT_[英数字]_.hta _HOW_TO_DECRYPT_[英数字]_.jpg _HELP_HELP_HELP_[英数字].jpg _README_[英数字]_.hta _README_[英数字]_.jpg README.hta # DECRYPT MY FILES #.html # DECRYPT MY FILES #.txt # DECRYPT MY FILES #.url
《言語》 日本語、英語、中国語、アラビア語、フランス語、スペイン語 など
Trend Micro Ransomware File Decryptor, Check Point Cerber Decryption Tool

Locky | Ransom:Win32/Locky ウイルス
《暗号化ファイルの拡張子》 [36ケタ英数字].loptr ← [36ケタ英数字].osiris ← [32ケタ英数字].zzzzz ← [32ケタ英数字].aesir ← [32ケタ英数字].thor ← [32ケタ英数字].shit ← [32ケタ英数字].odin ← [32ケタ英数字].zepto ← [32ケタ英数字].locky [32ケタ英数字]._locky
《脅迫ファイル》 DesktopOSIRIS.htm OSIRIS-[英数字].htm _[数字]-INSTRUCTION.html _[数字]_WHAT_is.html _[数字]_HOWDO_text.html _[数字]_HELP_instructions.html _HELP_instructions.html _RESTORE_instructions.html _HELP_instructions.txt _Locky_recover_instructions.txt
《言語》 日本語、英語、フランス語、イタリア語、中国語、ドイツ語 など

Spora Ransomware | Ransom:Win32/Spora ウイルス
《暗号化ファイルの拡張子》 変更なし
《脅迫ファイル》 HELP_[英数字].html JP[英数字]-[英数字]-[英数字]-[英数字].html
《言語》 英語、ロシア語

Windows Vista/7/8/10対応 無料ウイルス駆除ツール
Malwarebytes Anti-MalwareMicrosoft Safety Scanner

その他のファイル暗号化ランサムウェア
Bart | Ransom:Win32/Bartcrypt ウイルス
《拡張子》 .bart .bart.zip 《ファイル》 recover.txt (英語)
BitDefender Bart Decryptor, AVG Decryption Tool for Bart
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
BTCWare | Ransom:Win32/Betisrypt ウイルス
《拡張子》 [メールアドレス].aleta [メールアドレス].master [メールアドレス].onyon [メールアドレス].btcware
《ファイル》 !#_READ_ME_#!.hta !#_READ_ME_#!.inf #_RESTORE_FILES_#!.inf !#_DECRYPT_#!.inf (英語)
BTCWareDecryptor , Avast Decryption Tool for BTCWare
Cry128 / NEMESIS Ransomware | Ransom:Win32/CryptoLemPiz ウイルス
《拡張子》 .onion.to_ .onion._
《ファイル》 _DECRYPT_MY_FILES.txt (英語)
Emsisoft Decrypter for Cry128
jaff decryptor | Ransom:Win32/Jaffrans ウイルス
《拡張子》 .sVn ← .wlu ← .jaff
《ファイル》 !!!!!SAVE YOUR FILES!!!!.txt !!!!README_FOR_SAVE FILES.txt README TO SAVE YOUR FILES.html README TO SAVE YOUR FILES.txt ReadMe.html ReadMe.txt (英語)
Kaspersky RakhniDecryptor
CrypMIC | Ransom:Win32/Tovicrypt ウイルス
《拡張子》 変更なし 《ファイル》 README.html README.txt (英語)
CryptXXX | Ransom:Win32/Exxroute ウイルス
《拡張子》 [32ケタ英数字].[5ケタ英数字] ← .[5ケタ英数字] ← .crypz ← .cryp1 ← .crypt
《ファイル》 @README.TXT @README.HTML !README.TXT !README.HTML @[12ケタ英数字].txt @[12ケタ英数字].html ![12ケタ英数字].txt ![12ケタ英数字].html [12ケタ英数字].txt [12ケタ英数字].html !Recovery[12ケタ英数字].txt !Recovery[12ケタ英数字].html de_crypt_readme.txt de_crypt_readme.html (英語)
Crypt0L0cker | Ransom:Win32/Teerac ウイルス
《拡張子》 .encrypted
《ファイル》 INSTRUCTIONS.html INSTRUCTIONS.txt DECRYPT_INSTRUCTIONS.html DECRYPT_INSTRUCTIONS.txt (日本語、英語、ドイツ語、スペイン語、韓国語、中国語、タイ語 など)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoWall | Ransom:Win32/Crowti ウイルス
《拡張子》 [ランダム英数字].[ランダム英数字]
《ファイル》 HELP_FILE~.html HELP_FILE~.png INSTRUCTIONS~.html INSTRUCTIONS~.png HELP_YOUR_FILES.HTML HELP_YOUR_FILES.TXT HELP_YOUR_FILES.PNG (英語)
CTB-Locker | Ransom:Win32/Critroni ウイルス
《拡張子》 ~.[6~7ケタ英文字]
《ファイル》 !Decrypt-All-Files-[英文字].txt !Decrypt-All-Files-[英文字].bmp Decrypt All Files [英文字].txt Decrypt All Files [英文字].bmp (英語)
CrySiS / Gomasom | Ransom:Win32/Criakl Ransom:Win32/Genasom ウイルス
《拡張子》 .[メールアドレス].wallet [メールアドレス].zzzzz .[メールアドレス].dharma .[メールアドレス].CrySiS .[メールアドレス].xtbl [メールアドレス].crypt
Kaspersky RakhniDecryptor, ESET Crysis Decryptor, Avast Decryption Tool for CrySiS , Emsisoft Decrypter for Gomasom
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
KEYHolder | Ransom:Win32/Nymaim ウイルス
《拡張子》 変更なし 《ファイル》 how_decrypt.html how_decrypt.gif (英語)
Merry X-Mas! | Ransom:Win32/Exmas ウイルス
《拡張子》 .MERRY .MRCR1 .RMCM1
《ファイル》 MERRY_I_LOVE_YOU_BRUCE.HTA YOUR_FILES_ARE_DEAD.HTA (英語)
Emsisoft Decrypter for MRCR
MOLE RANSOMWARE | Ransom:Win32/CryptoMole ウイルス
《拡張子》 [32ケタ英数字].MOLE01 [32ケタ英数字].MOLE00 [32ケタ英数字].MOLE02 [32ケタ英数字].MOLE
《ファイル》 _HELP_INSTRUCTION.TXT (英語)
Mole02 Decryptor, CERT Polska Mole Decryptor
PClock / CryptoLocker | Ransom:Win32/WinPlock.B ウイルス
《拡張子》 変更なし 《ファイル》 Your files are locked !.txt wp.jpg (英語)
Emsisoft Decrypter for PClock
RADAMANT | Ransom:Win32/Radamcrypt ウイルス
《拡張子》 .RDM .RRK 《ファイル》 YOUR_FILES.url (英語 など)
Emsisoft Decrypter for Radamant
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
SAGE / CyrLocker | Ransom:Win32/Milicry ウイルス
《拡張子》 .sage .cry
《ファイル》 !HELP_SOS.hta !Recovery_[英数字].html (英語、ドイツ語、フランス語、韓国語、中国語、アラビア語、ペルシャ語 など)
TeslaCrypt | Ransom:Win32/Tescrypt ウイルス
《拡張子》 変更なし .mp3 .micro .ttt .xxx .vvv .ccc .abc .aaa .zzz .exx .ezz .ecc
Threat Finder | Ransom:Win32/Threatfin ウイルス
《拡張子》 変更なし 《ファイル》 HELP_DECRYPT.HTML (英語)
Tox | Ransom:Win32/Tocrypt ウイルス
《拡張子》 .toxcrypt 《ファイル》 tox.html (英語)
Troldesh / Shade | Ransom:Win32/Troldesh ウイルス
《拡張子》 .crypted000007 .no_more_ransom .da_vinci_code .magic_software_syndicate
.better_call_saul .breaking_bad .xtbl
《ファイル》 README[数字1-10].txt (ロシア語、英語)
McAfee Shade Ransomware Decryption Tool, Kaspersky ShadeDecryptor
UIWIX Ransomware | Ransom:Win32/Uiwix ウイルス
《拡張子》 .uiwix
《ファイル》 _DECODE_FILES.txt (英語)
VenusLocker | Ransom:MSIL/VenusLocker ウイルス
《拡張子》 .Venusf .Venusp 《ファイル》 ReadMe.txt (英語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
WannaCry / Wana Decrypt0r | Ransom:Win32/WannaCrypt ウイルス
《拡張子》 .WNCRY .WCRY
《ファイル》 @Please_Read_Me@.txt @WanaDecryptor@.bmp (英語)
eda2 | Ransom:MSIL/Memekap ウイルス
《拡張子》 .magic .encrypted .encrypt
《ファイル》 DECRYPT_ReadMe.TXT DECRYPT.TXT (英語)
CoinVault / BitCryptor | Ransom:MSIL/Vaultlock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky CoinValutDecryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
TorLocker | Ransom:Win32/Critloki ウイルス
KRSWLocker / カランサムウェア | Ransom:Win32/Rotklock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky ScraperDecryptor
ShinoLocker | Ransom:MSIL/ShinoLock ウイルス
《拡張子》 .shino 《ファイル》 なし
Ransom:Win32/Enckerbee.B ウイルス
《拡張子》 .xxx 《ファイル》 help_dcfile.txt
Takahiro Locker ウイルス
《拡張子》 .takahiro 《ファイル》 なし
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoLocker | Ransom:Win32/Crilock ウイルス
《拡張子》 変更なし 《ファイル》 なし

スマホ画面ロック タイプ - スマートフォン、タブレット、スマートテレビの画面がロックされる 《Android OS》

日本の法務省や警察がスマホやタブレットをロック!? アンドロイド向けランサムウェアMINISTRY OF JUSTICEウイルスの画面解除

パソコン画面ロック タイプ - パソコンの画面がロックされ使えなくなる 《Windows》

ブラウザロック タイプ - ブラウザのウィンドウ画面が擬似的にロックされ終了できなくなる 《Windows/Mac OS など》

身代金の支払い手段は決済サービスやビットコイン

画面をロックするタイプのランサムウェアは、使用不能に陥ったコンピュータを使わずして実店舗から調達が可能な 電子決済サービス(クーポン、プリペードカード) の番号を要求します。

数年前まで感染被害がよく見られた 偽セキュリティソフトクレジットカード決済だったのに対し、日本では流通してない決済サービスを要求していたので、日本はさほどロック型ランサムウェアの主要なターゲットにはなってなかったけど、巻きぞいで感染してしまう日本のWindowsユーザーさんの被害が2013年あたりからけっこう確認されてました。

暗号化したファイルの復旧に匿名な仮想通貨Bitcoin(ビットコイン)で身代金の支払いを要求するランサムウェアウイルス

さらに、2014年以降から2016年現在でも流行ってるファイルを暗号化するタイプのランサムウェアとなると、もはや特定の地域のユーザーだけ狙うものでなくなっていて、身代金の支払い手段は何かと話題になる仮想通貨 Bitcoin(ビットコイン) です。

ファイルの復元にCryptXXXランサムウェアの身代金支払い要求額 1.2BTC . ファイルの復元にlocky/odin/shit/thor/aesir/zzzzz/osirisランサムウェアの身代金支払い要求額 2.0BTC
暗号化ファイルの復号にビットコインを要求!

いずれも、お金の流れを警察や法執行機関がすぐに阻止することが困難で、ランサムウェアの攻撃を仕掛けて摘発を逃れたいサイバー犯罪者の匿名性も守られることになります。

ランサムウェアの感染経路はネットサーフィン中も!

Windowsパソコン をターゲットにしたランサムウェアの感染経路は大きく 2つ あります。

ランサムウェア身代金型ウイルスの感染経路は迷惑メールの添付ファイルをユーザーが開くルートと、ネットサーフィン中にハッキングされ侵害されたサイトを閲覧で攻撃コードを強制的に送り込まれるルートの2つがある
Windowsを狙うランサムウェアは メール(左側) か ネットサーフィン(右側)で…
(画像出典 Microsoft Malware Protection Center + 日本語の説明を加筆)

【1】 ウイルスが添付された迷惑メール

まず、迷惑メール(スパムメール)添付ファイルから自爆感染 するパターンで、具体的に次の 不正なファイル をユーザーの意思で ダブルクリック するヒューマンエラーが原因です。

注意すべき添付ファイルと拡張子 (Windows)
種類 拡張子 アイコン
圧縮 (zip 形式) フォルダ / RARファイル
圧縮ファイル内
JScript Scriptファイル .js .jse JavaScript - JScript Script ファイル / JScript Encoded Script ファイル
VBScript Scriptファイル .vbs VBScript Script ファイル
Windows Scriptファイル .wsf Windows Script ファイル
HTMLアプリケーション .hta HTML アプリケーション
実行ファイル .exe -
ショートカット .lnk -
マクロを悪用するワードファイル .doc .docm Word 文書
マクロを悪用するエクセルファイル .xls .xlsm Excel ワークシート

金銭の支払い請求書(invoice)、荷物の配達通知、ショッピングの注文確認、FAXやコピー複合機のデータ受信といったもっともらしい名目になっていて 無視できず確認してしまうユーザーさんが必ず一定数存在する ので、古典的として軽視されがちだけど十分通用する有効な攻撃手口です。

【2】 ウェブサイトを閲覧するネットサーフィン

そして、ネットサーフィン中にドライブバイ・ダウンロード攻撃を喰らって ランサムウェア が確認場面なく知らないうちに強制インストールされるパターンです。

Windowsパソコンでブラウザiexplore.exeで個人運営サイトを閲覧してたらコンピュータウイルスがスルッと起動し感染したた直後のプロセスの様子
ネットサーフィン中にウイルス(★)が強制的に起動した直後の様子

ただ、この攻撃については、次の 感染条件のうち1つでも該当した Windowsパソコン のみ地獄へ落ちる 脅威です。

  1. 毎月配信される Windows Update が実施されてない
  2. Adobe Flash Player を更新せず旧バージョンのまま放置してる
  3. Java(JRE) を更新せず旧バージョンのまま放置してる

条件に当てはまってる? 無料確認ツールでセキュリティ診断♪

この攻撃は巷で言われる ”怪しいサイト” ではなく ハッキングされてる一般サイトやブログをたまたま閲覧した時や、侵害された広告配信サーバーが裏で読み込まれた瞬間に発生する ので、ハッキリ言って侵入を許した直後に気づくのが難しいです。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ちなみに、まったく同じ感染手口なのが ネットバンキングの不正送金に繋がるウイルス で、銀行口座から預金が引き出されて「さあ大変!」と数年前からニュースを騒がしてるワケです。 (´Д`)<2015年中の被害額はナンと30億円

感染原因を取り除くランサムウェア対策で完璧!

身代金ビジネスを妨害されないよう真っ先に出し抜かれるセキュリティ製品にすべてを託すことなく、2つの感染経路に応じた効果的な ランサムウェア対策 を実施してください。 (*^.^)ノ<被害に巻き込まれる前に

【1】 『ウイルスが添付された迷惑メール』 向けの対策

この対策に具体性のない 『怪しいメールを開くな!』 で済ませるページを見かけるけど、ウイルスメールの実物を頻繁に目にしてないユーザーさんに見抜けというのは無謀なので、運命を分けるのは ファイルの拡張子にどれだけ注意を払ってるか です。

大事なファイルをバックアップ! 外付けハードディスク

あと、セキュリティ製品が脅威と判定せずスリ抜けるやっかいな状況が発生してるところに 人間の脳ミソ がダマサれると手に負えないので、制御不能なユーザーさんの行動を妨げずにランサムウェアを侵入を阻止する 無料ウイルス対策 を検討します。

  1. js/jse/wsf/vbs拡張子でウイルス感染 無料対策で被害防止
  2. doc/docm/xls/xlsm拡張子でウイルス感染 無料対策で被害防止
  3. ランサムウェア対策に効果的なファイアウォール設定

【2】 『ウェブサイトを閲覧するネットサーフィン』 向けの対策

感染条件に当てはまらない状態を維持する無料ウイルス対策 をユーザー自らの手で実施しておけば、正面突破する以外で ランサムウェア は進入できなり強制感染は100%確実に回避できます。 (^o^)v<Windows 7/8/10 ならバッチリ♪

大事なファイルをバックアップ! 外付けハードディスク

  1. Windows Update の今月分は適用されてます!
  2. Adobe Flash Player は最新版に更新しました!
  3. Java(JRE) は最新版に更新しました! 不要なので削除しました!

Windows XP ⇒ 2014年にマイクロソフトのサポートが終了し Windows Update できない!

ランサムウェアの対策 として真っ先に セキュリティソフト の購入を誘うだけの記事を見かけるけど、仮にこれを導入したところで肝心の ウイルス感染経路がふさがることがなく根本的な対策にならない のはここだけの話~。 (^^;

【X】 ランサムウェア第三の感染経路

上の2つに該当しない第三のランサムウェア感染経路と言える手口も確認されてます。

バックアップデータからの復旧

Windowsパソコン(Windows Vista 以降)には ボリュームシャドウコピー という自動バックアップ機能が実装されていて、システムのあるCドライブのファイルを一定間隔でバックアップし古いデータは(肥大化しないよう)破棄してくようになってます。これを視覚的に閲覧できるフリーソフト ShadowExplorer もあります。

多くのランサムウェアはこのデータの消去を試みるけど、UACユーザーアカウント制御が有効になっていてランサムウェアが管理者として実行されてない場合は破棄されず残存してる可能性があり、一般的なファイル復元ソフト(たとえば Recuvaなど)も試してみる価値あるかも。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェア とは] [ランサムウェア 駆除] [ランサムウェア 対処] [ランサムウェア 対策] [ランサウェア 復元] [ランサウェア 修復] [ランサウェア 拡張子] [ランサウェア 復旧] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [ランサムウェア ウィルスバスター] [ランサムウェア 予防] [ランサムウェア ノートン] [ランサムウェア マカフィー] [ランサムウェア メール] [ランサムウェア スマホ] [ランサムウェア トレンドマイクロ] [身代金型ウイルス 解除方法] [身代金型ウイルス 駆除方法] [身代金型ウイルス サイト] [身代金型ウィルス 対策] [身代金型ウイルス 駆除] [身代金型ウイルス 解除] [身代金型ウイルス 日本語] [身代金型ウイルス 対策] [ファイル暗号化 修復] [ファイル暗号化 ウイルス] [白アイコン ファイル] [白紙アイコン 変更] [真っ白 アイコン ウイルス] [Ransomware マルウェア] [Trojan:Win32/Ransom] [RSA4096 ウイルス] [RSA2048 ウイルス] [RZA4096 ウイルス] [NOT YOUR LANGUAGE USE 感染] [TROJ_RANSOM] [エクセル 拡張子 ウイルス] [ワード ウイルス 拡張子] [拡張子 変更 ウイルス] [画像 拡張子 変わる] …

雑記 > ランサムウェア


Copyright © Let's Emu!. All rights reserved.