雑記 > ランサムウェア

PR 《Yahoo!ショッピング特集》 1ポイント1円相当の Tポイント が毎日抽選で当たる無料のポイントくじも!

こんなPCがランサムウェア被害! 身代金ウイルスの感染経路と対策まとめ

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

ファイルやコンピュータ”人質”にとった上で解放条件として金銭の支払いを迫ることで、要求に屈したユーザーからの身代金で巨額の収益を生み出す真っ黒ビジネスが背景にあって、数年前まで流行ってた 偽セキュリティソフト のビジネスモデルをより凶悪にした感じです。

身代金型ウイルス・ランサムウェア の感染症状
ファイルを元に戻して欲しいなら身代金払え!
ファイルを復元・復号・復活できないよう破壊! 拡張子の変更で白紙な真っ白アイコン? クリプトウイルス Crypt Ransomware
コンピュータを使いたいなら罰金払え!
WindowsパソコンやAndroidスマホ/タブレットの警察画面ロック! 解除に罰金を要求するウイルス Police Lock Locker Ransomware
文書、画像、アーカイブなど特定の拡張子を持ったファイルを暗号化して開けない状態にする。 事実上、破壊されてしまった大事なファイルさんたち、さよなら~ (;_;)ノ~ コンピュータのディスプレイいっぱいのロック画面をババーンと表示して使用不能にする。 感染した地理的位置に合わせた警察や政府機関を名乗って解除させるパターンが多い。

ランサムウェア の感染は現実に存在する深刻な脅威であり、日本の公的機関も注意喚起して対岸の火事とは言ってられない状況だけど、都市伝説デマ と思い込んでるユーザーさんも一部いるみたい?

ランサムウェアファミリー別の紹介

ファイル暗号化 タイプ - パソコンの様々なファイルを破壊され開けなくなる 《Windows》

CryptXXX | Ransom:Win32/Exxroute ウイルス HOT!
《暗号化ファイルの拡張子》 [32ケタ英数字].[5ケタ英数字] ← ~.[5ケタ英数字] ← ~.crypz ← ~.cryp1 ← ~.crypt
《脅迫ファイル》 @README.TXT @README.HTML !README.TXT !README.HTML @[12ケタ英数字].txt @[12ケタ英数字].html ![12ケタ英数字].txt ![12ケタ英数字].html [12ケタ英数字].txt [12ケタ英数字].html !Recovery[12ケタ英数字].txt !Recovery[12ケタ英数字].html de_crypt_readme.txt de_crypt_readme.html
《言語》 英語

Locky | Ransom:Win32/Locky ウイルス HOT!
《暗号化ファイルの拡張子》 [32ケタ英数字].zepto ← [32ケタ英数字].locky [32ケタ英数字]._locky
《脅迫ファイル》 _[数字]_HELP_instructions.html _HELP_instructions.html _RESTORE_instructions.html _HELP_instructions.txt _Locky_recover_instructions.txt
《言語》 日本語、英語、フランス語、イタリア語、中国語、ドイツ語 など

TeslaCrypt | Ransom:Win32/Tescrypt ウイルス
《暗号化ファイルの拡張子》 変更なし ~.mp3 ~.micro ~.ttt ~.xxx ~.vvv ~.ccc ~.abc ~.aaa ~.zzz ~.exx ~.ezz ~.ecc
《脅迫ファイル》 -!RecOveR!-~++.Htm -!RecOveR!-~++.Txt {RecOveR}-~.Htm {RecOveR}-~.Txt +REcovER+~+.html +REcovER+~+.txt +-xxx-HELP-xxx-+~-+.html +-xxx-HELP-xxx-+~-+.txt +-HELP-RECOVER-+~-+.html +-HELP-RECOVER-~-+.txt _rEcOvEr_~.html _rEcOvEr_~.txt RECOVER~.html RECOVER~.txt _ReCoVeRy_~.html _ReCoVeRy_~.txt _RECoVERY_~.html _RECoVERY_~.txt Recovery~.html Recovery~.txt RECOVER~.HTM RECOVER~.TXT _H_e_l_p_RECOVER_INSTRUCTIONS~.html _H_e_l_p_RECOVER_INSTRUCTIONS~.txt HELP_RECOVER_instructions~.html HELP_RECOVER_instructions~.txt help_recover_instructions~.html help_recover_instructions~.txt how_recover~.html how_recover~.txt

Windows Vista/7/8/10対応 無料ウイルス駆除ツール
Malwarebytes Anti-MalwareMicrosoft Safety Scanner

その他のファイル暗号化ランサムウェア
Bart | Ransom:Win32/Bartcrypt ウイルス
《拡張子》 ~.bart.zip 《ファイル》 recover.txt (英語)
AVG Decryption Tool for Bart
Cerber | Ransom:Win32/Cerber ウイルス
《拡張子》 [ランダム英数字].cerber
《ファイル》 # DECRYPT MY FILES #.html # DECRYPT MY FILES #.txt # DECRYPT MY FILES #.url (英語)
Trend Micro Ransomware File Decryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CrypMIC | Ransom:Win32/Tovicrypt ウイルス
《拡張子》 変更なし 《ファイル》 README.html README.txt (英語)
CTB-Locker | Ransom:Win32/Critroni ウイルス
《拡張子》 ランダム6-7文字
《ファイル》 Decrypt All Files~.txt Decrypt All Files~.bmp (英語)
Gomasom | Ransom:Win32/Genasom Ransom:Win32/Criakl ウイルス
《拡張子》 ~.[メールアドレス].xtbl ~.[メールアドレス].CrySiS ~![メールアドレス].crypt
Emsisoft Decrypter for Gomasom
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
KEYHolder | Ransom:Win32/Nymaim ウイルス
《拡張子》 変更なし 《ファイル》 how_decrypt.html how_decrypt.gif (英語)
RADAMANT | Ransom:Win32/Radamcrypt ウイルス
《拡張子》 ~.RDM ~.RRK 《ファイル》 YOUR_FILES.url (英語 など)
Emsisoft Decrypter for Radamant
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
Threat Finder | Ransom:Win32/Threatfin ウイルス
《拡張子》 変更なし 《ファイル》 HELP_DECRYPT.HTML (英語)
Troldesh / Shade | Ransom:Win32/Troldesh ウイルス
《拡張子》 ~.magic_software_syndicate ~.da_vinci_code ~.better_call_saul ~.breaking_bad ~.xtbl ~.ytbl
《ファイル》 README[数字].txt (ロシア語、英語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
Crypt0L0cker | Ransom:Win32/Teerac ウイルス
《拡張子》 ~.encrypted
《ファイル》 INSTRUCTIONS.html INSTRUCTIONS.txt DECRYPT_INSTRUCTIONS.html DECRYPT_INSTRUCTIONS.txt (日本語、英語、ドイツ語、スペイン語、韓国語、中国語、タイ語 など)
CryptoWall | Ransom:Win32/Crowti ウイルス
《拡張子》 [ランダム英数字].[ランダム英数字]
《ファイル》 HELP_FILE~.html HELP_FILE~.png INSTRUCTIONS~.html INSTRUCTIONS~.png HELP_YOUR_FILES.HTML HELP_YOUR_FILES.TXT HELP_YOUR_FILES.PNG (英語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
eda2 | Ransom:MSIL/Memekap ウイルス
《拡張子》 ~.magic ~.encrypted ~.encrypt
《ファイル》 DECRYPT_ReadMe.TXT DECRYPT.TXT (英語)
CoinVault / BitCryptor | Ransom:MSIL/Vaultlock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky CoinValutDecryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
TorLocker | Ransom:Win32/Critloki ウイルス
KRSWLocker / カランサムウェア | Ransom:Win32/Rotklock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky ScraperDecryptor
Takahiro Locker ウイルス
《拡張子》 ~.takahiro 《ファイル》 なし
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoLocker | Ransom:Win32/Crilock ウイルス
《拡張子》 変更なし 《ファイル》 なし

スマホ画面ロック タイプ - スマートフォンやタブレットの画面がロックされ使えなくなる 《Android OS》

日本の法務省や警察がスマホやタブレットをロック!? アンドロイド向けランサムウェアMINISTRY OF JUSTICEウイルスの画面解除

パソコン画面ロック タイプ - パソコンの画面がロックされ使えなくなる 《Windows》

ブラウザロック タイプ - ブラウザのウィンドウ画面が擬似的にロックされ終了できなくなる 《Windows/Mac OS など》

身代金の支払い手段は決済サービスやビットコイン

画面をロックするタイプのランサムウェアは、使用不能に陥ったコンピュータを使わずして実店舗から調達が可能な 電子決済サービス(クーポン、プリペードカード) の番号を要求します。

数年前まで感染被害がよく見られた 偽セキュリティソフトクレジットカード決済だったのに対し、日本では流通してない決済サービスを要求していたので、日本はさほどロック型ランサムウェアの主要なターゲットにはなってなかったけど、巻きぞいで感染してしまう日本のWindowsユーザーさんの被害が2013年あたりからけっこう確認されてました。

暗号化したファイルの復旧に匿名な仮想通貨Bitcoin(ビットコイン)で身代金の支払いを要求するランサムウェアウイルス

さらに、2014年以降から2016年現在でも流行ってるファイルを暗号化するタイプのランサムウェアとなると、もはや特定の地域のユーザーだけ狙うものでなくなっていて、身代金の支払い手段は何かと話題になる仮想通貨 Bitcoin(ビットコイン) です。

ファイルの復元にCryptXXXランサムウェアの身代金支払い要求額 1.2BTC . ファイルの復元にlocky/zeptoランサムウェアの身代金支払い要求額 2.0BTC
暗号化ファイルの復号にビットコインを要求!

いずれも、お金の流れを警察や法執行機関がすぐに阻止することが困難で、ランサムウェアの攻撃を仕掛けて摘発を逃れたいサイバー犯罪者の匿名性も守られることになります。

ランサムウェアの感染経路はネットサーフィン中も!

Windowsパソコン をターゲットにしたランサムウェアの感染経路は大きく2つあります。 (ー_ー)b

ランサムウェア身代金型ウイルスの感染経路は迷惑メールの添付ファイルをユーザーが開くルートと、ネットサーフィン中にハッキングされ侵害されたサイトを閲覧で攻撃コードを強制的に送り込まれるルートの2つがある
Windowsを狙うランサムウェアは メールの添付ファイル(左側) か ネットサーフィン(右側)で…
(画像出典 Microsoft Malware Protection Center + 日本語の説明を加筆)

【1】 ウイルスが添付された迷惑メール

まず、迷惑メール(スパムメール)添付されてる不正なファイルを開いて自爆感染するパターンです。

メールソフトがサポートしてるメッセージのプレビューや添付ファイルのプレビュー、あるいは圧縮ファイルの展開・解凍でウイルスが自動的に起動することはなく、ユーザーの意思で次の 不正なファイルダブルクリック するヒューマンエラーが原因になります。

注意が必要な添付ファイルと拡張子 (Windows)
種類 拡張子 アイコン
圧縮 (zip 形式) フォルダ / RARファイル
圧縮ファイル内
JavaScriptファイル .js .jse JScript Script ファイル / JScript Encoded Script ファイル
VBScriptファイル .vbs VBScript Script ファイル
Windows Scriptファイル .wsf Windows Script ファイル
実行ファイル .exe -
スクリーンセーバー .scr -
マクロを悪用するワード/エクセルファイル .doc .docm
.xls
Word 文書Excel ワークシート

※ Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作対象外

金銭の支払い請求書(invoice/payment)、荷物の配達通知、ショッピングの注文確認、自分に宛てた文書や写真、組織内の連絡、FAXやコピー複合機のデータ受信、といったもっともらしい名目になってて、メールを無視できず確認する行動をとってしまうユーザーさんが必ず一定数存在するので、古典的だけど今でも十分通用する有効な手口です。

【2】 ウェブサイトを閲覧するネットサーフィン

そして、より大口の感染経路なのが、ネットサーフィン中にドライブバイ・ダウンロード攻撃を喰らって ランサムウェア が一切の確認場面なく知らないうちに強制インストールされるパターンです。

Windowsパソコンでブラウザiexplore.exeで個人運営サイトを閲覧してたらコンピュータウイルスがスルッと起動し感染したた直後のプロセスの様子
ネットサーフィン中にウイルス(★)が強制的に起動した直後の様子

ただ、この攻撃手口については、下の4条件のうち1つでも当てはまったWindowsパソコンのみ地獄へ落ちる脅威です。

  1. Adobe Flash Player を更新せず旧バージョンのまま放置してる
  2. 毎月実施される Windows Update が行われてない
  3. Java(JRE) を更新せず旧バージョンのまま放置してる
  4. Adobe Reader を更新せず旧バージョンのまま放置してる

感染条件に当てはまってないかバージョン確認ツールで無料セキュリティ診断♪

恐ろしいことに、この攻撃は巷で言われる”怪しいサイト”を見てる時ではなく ハッキング被害を受けてる一般サイトやブログをたまたま閲覧した時 だったり、侵害された正規の広告配信サーバーが裏で読み込まれた瞬間 に発生するので、ハッキリ言って侵入を許してしまった直後に気づくことは困難です。

そんな不運な状況を事前に見極めることは(未来を予知する特殊な能力でもない限り)不可能なので、運命の分かれ道は 感染4条件に当てはまるWindowsパソコンを使ってるかどうか で決まります。 (*´O`)b

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ちなみに、まったく同じ感染手口なのが ネットバンキングの不正送金に繋がるウイルス で、銀行口座から預金が引き出されて「さあ大変!」と数年前からニュースを騒がしてるワケです。 (´Д`)<2015年中の被害額はナンと30億円

感染の原因をつぶすランサムウェア対策で完璧!

【1】 『ウイルスが添付された迷惑メール』 に対応する対策

この攻撃の対策としてダレでも思いつく 『怪しいメールを開かない!』 で済ませるページを見かけるけど、ウイルスメールの実物を頻繁に目にしてないユーザーさんには見抜くのはなかなか難しいお話なので、重要なのは ファイルの拡張子に注意を払ってるかどうか です。

また、セキュリティ製品をスリ抜けてしまう厄介な状況が発生してるところに 人間の脳ミソ がダマサれてしまえば手に終えないので、制御不能なユーザーさんのうっかり行動を止めることなく攻撃失敗に終わらせる保険的な対策もあります。

【2】 『ウェブサイトを閲覧するネットサーフィン』 に対応する対策

ウイルス感染4条件に当てはまらない状態を維持する対策(←無料!) をユーザー自らの手で実施しておけば、ランサムウェアウイルス の強制感染なんぞ恐れるに足りません! (^o^)v<Windows Vista/7/8/10 が強制感染する悲劇は100%回避できる♪

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新しました!
  2. Windows Update は毎月実施されてます!
  3. Java(JRE) はちゃんと最新版に更新しました! 不要なので削除しました!
  4. Adobe Reader はちゃんと最新版に更新しました!

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず!

ランサムウェア の対策として真っ先にセキュリティソフトの購入を誘うだけのページを見かけるけど、仮にこれを導入したところで肝心の ウイルス感染経路がふさがることがなく根本的な対策にならない のはここだけの話~。 (^^;

バックアップデータからの復旧

Windowsパソコン(Windows Vista 以降)には ボリュームシャドウコピー という自動バックアップ機能が実装されており、システムのあるCドライブのファイルを一定の間隔でバックアップして古いデータは(肥大化しないよう)破棄されてくようになっていて、これを視覚的に閲覧できるフリーソフト ShadowExplorer もあります。

多くのランサムウェアはこのデータの消去を試みるけど、UACユーザーアカウント制御が有効になっていて、ランサムウェアが管理者として実行されてない場合は破棄されず残存してる可能性があります。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェア とは] [ランサムウェア 駆除] [ランサムウェア 対処] [ランサムウェア 対策] [ランサウェア 復元] [ランサウェア 修復] [ランサウェア 拡張子] [ランサウェア 復旧] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [ランサムウェア ウィルスバスター] [ランサムウェア 予防] [ランサムウェア ノートン] [ランサムウェア マカフィー] [ランサムウェア メール] [ランサムウェア スマホ] [ランサムウェア トレンドマイクロ] [身代金型ウイルス 解除方法] [身代金型ウイルス 駆除方法] [身代金型ウイルス サイト] [身代金型ウィルス 対策] [身代金型ウイルス 駆除] [身代金型ウイルス 解除] [身代金型ウイルス 日本語] [身代金型ウイルス 対策] [ファイル暗号化 修復] [ファイル暗号化 ウイルス] [白アイコン ファイル] [白紙アイコン 変更] [真っ白 アイコン ウイルス] [Ransomware マルウェア] [Trojan:Win32/Ransom] [RSA4096 ウイルス] [RSA2048 ウイルス] [RZA4096 ウイルス] [NOT YOUR LANGUAGE USE 感染] [TROJ_RANSOM] [ICE ウイルス] [Cyber Crime Center ウイルス] [英国警察 ウイルス] [HTML_RANSOM] [United States Cyber Security ウイルス] [Police Central e-crime Unit ウイルス] [PCeU ウイルス] [エクセル 拡張子 ウイルス] [ワード ウイルス 拡張子] [拡張子 変更 ウイルス] [画像 拡張子 変わる] …

雑記 > ランサムウェア


Copyright © 2016 Let's Emu!. All rights reserved.