雑記 > ランサムウェア

PR 《Yahoo!ショッピング特集》 1ポイント1円相当の Tポイント が毎日抽選で当たる無料のポイントくじも!

こんなPCがランサムウェア被害! 身代金ウイルスの感染経路と対策まとめ

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

ファイルやコンピュータを”人質”にとった上で解放条件として金銭の支払いを迫ることで巨額の収益を生み出す真っ黒なビジネスが背景にあって、数年前まで流行っていた 偽セキュリティソフト のビジネスモデルをより凶悪にしたタイプという感じです。

身代金型ウイルス・ランサムウェア の感染症状
ファイルを元に戻して欲しいなら身代金払え!
ファイルを復元・復号・復活できないよう破壊し拡張子も変更するクリプトCrypt Ransomware
コンピュータを使いたいなら罰金払え!
WindowsパソコンやAndroidスマホの警察画面ロックで解除する罰金を要求するPolice Lock Locker Ransomware
画像や文書など特定の拡張子を持つファイルに独自の暗号化 を施して開けなくする。事実上、破壊された大事なファイルさんたち、さよなら〜 (;_;)ノ~ コンピュータ画面いっぱいのウィンドウをババーンと表示してロックし使用不能にする。感染マシンの地理的位置に合わせた警察や政府機関を名乗るパターンが多い。

ランサムウェア の感染は現実に存在する脅威であり、日本の公的機関も注意喚起して対岸の火事とは言ってられない状況だけど、都市伝説デマ と思い込んでるユーザーさんも一部いるみたい?

ランサムウェアファミリー別の紹介

ファイル暗号化 タイプ − パソコンの様々なファイルを破壊され開けなくなる 《Windows》

CryptoWall | Ransom:Win32/Crowti ウイルス
《暗号化ファイルの拡張子》 バラバラのランダム英数字
《脅迫ファイル》 HELP_FILE〜.html HELP_FILE〜.png INSTRUCTIONS〜.html INSTRUCTIONS〜.png HELP_YOUR_FILES.HTML HELP_YOUR_FILES.TXT HELP_YOUR_FILES.PNG
《言語》 英語

CryptXXX | Ransom:Win32/Exxroute ウイルス
《暗号化ファイルの拡張子》 *.crypt
《脅迫ファイル》 [12ケタ英数字].txt [12ケタ英数字].html !Recovery〜.txt !Recovery〜.html de_crypt_readme.txt de_crypt_readme.html
《言語》 英語

Locky | Ransom:Win32/Locky ウイルス HOT!
《暗号化ファイルの拡張子》 *._locky *.locky
《脅迫ファイル》 _RESTORE_instructions.html _HELP_instructions.html _HELP_instructions.txt _Locky_recover_instructions.txt
《言語》 日本語、英語、フランス語、イタリア語、中国語、ドイツ語 など

TeslaCrypt | Ransom:Win32/Tescrypt ウイルス
《暗号化ファイルの拡張子》 変更なし *.mp3 *.micro *.ttt *.xxx *.vvv *.ccc *.abc *.aaa *.zzz *.exx *.ezz *.ecc
《脅迫ファイル》 -!RecOveR!-〜++.Htm -!RecOveR!-〜++.Txt {RecOveR}-〜.Htm {RecOveR}-〜.Txt +REcovER+〜+.html +REcovER+〜+.txt +-xxx-HELP-xxx-+〜-+.html +-xxx-HELP-xxx-+〜-+.txt +-HELP-RECOVER-+〜-+.html +-HELP-RECOVER-〜-+.txt _rEcOvEr_〜.html _rEcOvEr_〜.txt RECOVER〜.html RECOVER〜.txt _ReCoVeRy_〜.html _ReCoVeRy_〜.txt _RECoVERY_〜.html _RECoVERY_〜.txt Recovery〜.html Recovery〜.txt RECOVER〜.HTM RECOVER〜.TXT _H_e_l_p_RECOVER_INSTRUCTIONS〜.html _H_e_l_p_RECOVER_INSTRUCTIONS〜.txt HELP_RECOVER_instructions〜.html HELP_RECOVER_instructions〜.txt help_recover_instructions〜.html help_recover_instructions〜.txt how_recover〜.html how_recover〜.txt
《言語》 英語

Windows Vista/7/8/10対応 無料ウイルス駆除ツール
Malwarebytes Anti-MalwareMicrosoft Safety Scanner

その他のファイル暗号化ランサムウェア
CTB-Locker | Ransom:Win32/Critroni ウイルス
《拡張子》 ランダム6-7文字
《ファイル》 Decrypt All Files〜.txt Decrypt All Files〜.bmp (英語)
Threat Finder | Ransom:Win32/Threatfin ウイルス
《拡張子》 変更なし 《ファイル》 HELP_DECRYPT.HTML (英語)
Troldesh / Shade | Ransom:Win32/Troldesh ウイルス
《拡張子》 *.better_call_saul *.breaking_bad *.xtbl *.ytbl
《ファイル》 README[数字].txt (ロシア語、英語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
KEYHolder | Ransom:Win32/Nymaim ウイルス
《拡張子》 変更なし 《ファイル》 how_decrypt.html how_decrypt.gif (英語)
Gomasom ウイルス
《拡張子》 *![メールアドレス@gmail.com].crypt 《ファイル》 なし
Emsisoft Decrypter for Gomasom
RADAMANT | Ransom:Win32/Radamcrypt ウイルス
《拡張子》 *.RDM *.RRK 《ファイル》 YOUR_FILES.url (英語 など)
Emsisoft Decrypter for Radamant
eda2 | Ransom:MSIL/Memekap ウイルス
《拡張子》 *.magic *.encrypted *.encrypt
《ファイル》 DECRYPT_ReadMe.TXT DECRYPT.TXT (英語)
Cerber | Ransom:Win32/Cerber ウイルス
《拡張子》 *.cerber
《ファイル》 # DECRYPT MY FILES #.html # DECRYPT MY FILES #.txt (英語)
Crypt0L0cker | Ransom:Win32/Teerac ウイルス
《拡張子》 *.encrypted
《ファイル》 INSTRUCTIONS.html INSTRUCTIONS.txt DECRYPT_INSTRUCTIONS.html DECRYPT_INSTRUCTIONS.txt (日本語、英語、ドイツ語、スペイン語、韓国語、中国語、タイ語 など)
BitCryptor / CoinVault | Ransom:MSIL/Vaultlock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky CoinValutDecryptor
TorLocker | Ransom:Win32/Critloki ウイルス
KRSWLocker / カランサムウェア | Ransom:Win32/Rotklock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky ScraperDecryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoLocker | Ransom:Win32/Crilock ウイルス
《拡張子》 変更なし 《ファイル》 なし
BitCrypt | Ransom:Win32/Cribit ウイルス
《拡張子》 *.bitcrypt *.bitcrypt2 《ファイル》 BitCrypt.txt

スマホ画面ロック タイプ − スマートフォンやタブレットの画面がロックされ使えなくなる 《Android OS》

日本の法務省や警察がスマホやタブレットをロック!? アンドロイド向けランサムウェアMINISTRY OF JUSTICEウイルスの画面解除

パソコン画面ロック タイプ − パソコンの画面がロックされ使えなくなる 《Windows》

ブラウザロック タイプ − ブラウザのウィンドウ画面が擬似的にロックされ終了できなくなる 《Windows/Mac OS など》

身代金の支払い手段は決済サービスやビットコイン

画面をロックするタイプのランサムウェアは、利用不能に陥ったコンピュータを使わないで調達できる正規の電子決済サービス(クーポン、プリペードカード)の番号を要求します。

数年前まで感染被害がよく見られた 偽セキュリティソフトクレジットカード決済だったのに対し、これら決済サービスは日本国内で流通しておらず、日本のユーザーはさほどロック型ランサムウェアの攻撃ターゲットになってませんでした。

ただ、巻きぞいで感染してしまうWindowsユーザーさんも中にはいて、2013年あたりから日本国内で被害が確認されてます。 \(*o*)/

さらに、2014年以降に流行ってるファイルを暗号化するタイプのランサムウェアとなると、必ずしも特定の地域のユーザーだけ狙うものでなくなっており、何かと話題になる仮想通貨 Bitcoin(ビットコイン) が身代金の支払い手段です。

暗号化したファイルの復旧に匿名な仮想通貨Bitcoin(ビットコイン)で身代金の支払いを要求するランサムウェアウイルス

いずれも、警察など法執行機関はお金の流れを阻止できず、摘発を逃れたいサイバー犯罪者の匿名性も守られることになります。

ランサムウェアの感染経路はネットサーフィン中も!

Windowsパソコン をターゲットにしたランサムウェアの感染経路は大きく2つあります。 (ー_ー)b

ランサムウェア身代金型ウイルスの感染経路は迷惑メールの添付ファイルをユーザーが開くルートと、ネットサーフィン中にハッキングされ侵害されたサイトを閲覧で攻撃コードを強制的に送り込まれるルートの2つがある
ランサムウェアは メールの添付ファイル(左側) か ネットサーフィン(右側) の2ルートで…
[ 画像出典 Microsoft Malware Protection Center

迷惑メールの配信
不正な添付ファイル付き
ユーザーが添付ファイルを開く
エクスプロイトキット
侵害されたウェブサイト
不正な攻撃処理を送り込まれる

【1】 ウイルスが添付された迷惑メール

まず、迷惑メール(スパムメール)添付されてる不正なファイルを開いて自爆感染するパターンです。

メールソフトがサポートしてるメッセージのプレビューや添付ファイルのプレビューだけでウイルスが自動的に起動することはなく、ユーザーの意思で不正なファイルをダブルクリックするヒューマンエラーが原因になります。

注意が必要な添付ファイルと拡張子 (Windows)
種類 拡張子 アイコン
圧縮 (zip 形式) フォルダ / RARファイル
圧縮ファイル内
JavaScriptファイル .js .jse JScript Script ファイル / JScript Encoded Script ファイル
実行ファイル .exe -
スクリーンセーバー .scr -
マクロを悪用するワード/エクセルファイル .doc .docm
.xls
Word 文書Excel ワークシート

※いずれもMac、Androidスマホ、iOS(iPhone/iPad)、ガラケーは攻撃対象外

金銭の支払い請求書(invoice/payment)、荷物の配達通知、ショッピングの注文確認、自分宛ての文書や写真、組織内の連絡、FAXやコピー複合機のデータ受信、といったもっともらしい名目になってて、メールを無視できず確認してしまうユーザーさんが必ず一定数存在するので、古典的だけど今でも十分通用する手口です。

【2】 ウェブサイトを閲覧するネットサーフィン

そして、より大口の感染経路なのが、ネットサーフィン中にドライブバイ・ダウンロード攻撃を喰らって、ランサムウェアが知らないうちに問答無用で強制インストールされるパターンです。

ただ、この攻撃手口については、下の4条件のうち1つでも当てはまったWindowsパソコンのみ地獄へ落ちる脅威です。

  1. Adobe Flash Player を更新せず旧バージョンのまま放置してる
  2. 毎月実施される Windows Update が行われてない
  3. Java(JRE) を更新せず旧バージョンのまま放置してる
  4. Adobe Reader を更新せず旧バージョンのまま放置してる

感染条件に当てはまってないかバージョン確認ツールで無料セキュリティ診断♪

恐ろしいことに、この攻撃は ハッキング被害を受けてる一般サイトやブログをたまたま閲覧した時 だったり、侵害された正規の広告配信サーバーが裏で読み込まれた瞬間 に発生します。

そんな不運な状況を事前に見極めることは(未来を予知する特殊な能力でもない限り)不可能なので、運命の分かれ道は 感染4条件に当てはまるWindowsパソコンを使ってるかどうか で決まります。 (*´O`)b

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー どっちも
\(^o^)/
ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ちなみに、まったく同じ感染手口なのが ネットバンキングの不正送金に繋がるウイルス で、銀行口座から預金が引き出されて「さあ大変!」と数年前からニュースを騒がしてるワケです。 (´Д`)<2015年中の被害額はナンと30億円

強制感染の原因をつぶすランサムウェア対策で完璧!

逆に言うと、上のウイルス感染4条件に当てはまらない状態を維持する対策(←無料!)をユーザー自らの手で実施しておけば、こんなランサムウェアウイルスなんぞ恐れるに足りません! (^o^)v<Windows Vista/7/8/10が強制感染する悲劇は100%回避できる♪

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新しました!
  2. Windows Update は毎月実施されてます!
  3. Java(JRE) はちゃんと最新版に更新しました! 不要なので削除しました!
  4. Adobe Reader はちゃんと最新版に更新しました!

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず!

ちなみに、こういう対策ソフトたちは、上のウイルス対策をユーザーに代わって実施してくれないので注意が必要です。

ランサムウェア の対策として真っ先にセキュリティソフトの購入を誘うだけのページも見かけるけど、仮にこれを導入したところで肝心の ウイルス感染経路がふさがることがなく根本的な対策にならない のはここだけの話〜。 (^^;

バックアップデータからの復旧

Windowsパソコン(Windows Vista 以降)には ボリュームシャドウコピー という自動バックアップ機能が実装されており、システムのあるCドライブのファイルを一定の間隔でバックアップして古いデータは(肥大化しないよう)破棄されてくようになっていて、これを視覚的に閲覧できるフリーソフト ShadowExplorer もあります。

多くのランサムウェアはこのデータの消去を試みるけど、UACユーザーアカウント制御が有効になっていて、ランサムウェアが管理者として実行されてない場合は破棄されず残存してる可能性があります。

PR 東芝の直販ショップ − 安い4万円台からノートPCがっ! オンライン限定・送料無料

関連キーワード情報
[ランサムウェア とは] [ランサムウェア 駆除] [ランサムウェア 対処] [ランサムウェア 対策] [ランサウェア 復元] [ランサウェア 修復] [ランサウェア 拡張子] [ランサウェア 復旧] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [ランサムウェア ウィルスバスター] [ランサムウェア 予防] [ランサムウェア ノートン] [ランサムウェア マカフィー] [ランサムウェア メール] [ランサムウェア スマホ] [ランサムウェア トレンドマイクロ] [身代金型ウイルス 解除方法] [身代金型ウイルス 駆除方法] [身代金型ウイルス サイト] [身代金型ウィルス 対策] [身代金型ウイルス 駆除] [身代金型ウイルス 解除] [身代金型ウイルス 日本語] [身代金型ウイルス 対策] [ファイル暗号化 修復] [ファイル暗号化 ウイルス] [crypt ファイル 拡張子] [crypt ウィルス] [crypt 暗号化] [Ransomware マルウェア] [Trojan:Win32/Ransom] [RSA4096 ウイルス] [RSA2048 ウイルス] [RZA4096 ウイルス] [NOT YOUR LANGUAGE USE 感染] [TROJ_RANSOM] [ICE ウイルス] [Cyber Crime Center ウイルス] [英国警察 ウイルス] [HTML_RANSOM] [United States Cyber Security ウイルス] [Police Central e-crime Unit ウイルス] [PCeU ウイルス] [エクセル 拡張子 ウイルス] [ワード ウイルス 拡張子] [画像 拡張子] …

雑記 > ランサムウェア


Copyright © 2016 Let's Emu!. All rights reserved.