雑記 > ランサムウェア

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

こんなPCがランサムウェア被害! 身代金ウイルスの感染経路と対策まとめ

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware) は身代金を要求して脅迫するコンピュータウイルスで、日本だと 「身代金型ウイルス」 「身代金要求型ウイルス」 なんてな脅威で紹介されます。

「Ransom」(身代金) + 「Software」(ソフトウェア) の造語

ファイルやコンピュータ”人質”にとった上で解放条件として金銭の支払いを迫ることで、要求に屈したユーザーからの身代金で巨額の収益を生み出す真っ黒ビジネスが背景にあって、数年前まで流行ってた 偽セキュリティソフト をより凶悪にした感じです。

身代金型ウイルス・ランサムウェア の感染症状
ファイルを元に戻して欲しいなら身代金払え!
感染したらファイルを復元/復号/復旧/復活できないよう破壊! 拡張子の変更で白紙な真っ白アイコン? クリプトウイルス Crypt Ransomware
コンピュータを使いたいなら罰金払え!
WindowsパソコンやAndroidスマホ/タブレットの警察画面ロック! 感染したら解除に罰金を要求するウイルス Police Lock Locker Ransomware
特にWindowsパソコンで流行するランサムウェア被害の主戦場! 文書、画像、音楽、アーカイブなど特定の拡張子を持ったファイルを暗号化して開けない状態にする。 事実上、破壊された大事なファイルさんたち、さよなら~ (;_;)ノ かつてはWindowsパソコンで賑わってたものの最近はAndroid OSで。コンピュータのディスプレイいっぱいにロック画面をババーンと表示して使用不能にする。 感染した地理的位置の警察や政府機関を名乗り解除を誘う手口が多い。

ランサムウェア の感染被害は現実に存在する脅威であり、日本の公的機関も注意喚起して対岸の火事とは言ってられない状況だけど、都市伝説デマ と思い込んでるユーザーさんも一部いる? (゚o゚;)<自分は関係ないと考えたくなってしまうけど Windows or Android なら全員が攻撃ターゲット!

ランサムウェアファミリー別の紹介

ファイル暗号化 タイプ - パソコンの様々なファイルを破壊され開けなくなる 《Windows》

Locky | Ransom:Win32/Locky ウイルス HOT!
《暗号化ファイルの拡張子》 [36ケタ英数字].osiris ← [32ケタ英数字].zzzzz ← [32ケタ英数字].aesir ← [32ケタ英数字].thor ← [32ケタ英数字].shit ← [32ケタ英数字].odin ← [32ケタ英数字].zepto ← [32ケタ英数字].locky [32ケタ英数字]._locky
《脅迫ファイル》 OSIRIS-[英数字].htm _[数字]-INSTRUCTION.html _[数字]_WHAT_is.html _[数字]_HOWDO_text.html _[数字]_HELP_instructions.html _HELP_instructions.html _RESTORE_instructions.html _HELP_instructions.txt _Locky_recover_instructions.txt
《言語》 日本語、英語、フランス語、イタリア語、中国語、ドイツ語 など

Windows Vista/7/8/10対応 無料ウイルス駆除ツール
Malwarebytes Anti-MalwareMicrosoft Safety Scanner

その他のファイル暗号化ランサムウェア
Bart | Ransom:Win32/Bartcrypt ウイルス
《拡張子》 ~.bart ~.bart.zip 《ファイル》 recover.txt (英語)
AVG Decryption Tool for Bart
Cerber Ransomware | Ransom:Win32/Cerber ウイルス
《拡張子》 [10ケタ英数字].[4ケタ英数字] ← [10ケタ英数字].cerber3 ← [10ケタ英数字].cerber2 ← [10ケタ英数字].cerber
《ファイル》 _README_[英数字]_.hta README.hta # DECRYPT MY FILES #.html # DECRYPT MY FILES #.txt # DECRYPT MY FILES #.url (日本語、英語、中国語、韓国語、アラビア語、フランス語、スペイン語 など)
Trend Micro Ransomware File Decryptor, Check Point Cerber Decryption Tool
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CrypMIC | Ransom:Win32/Tovicrypt ウイルス
《拡張子》 変更なし 《ファイル》 README.html README.txt (英語)
CryptXXX | Ransom:Win32/Exxroute ウイルス
《拡張子》 [32ケタ英数字].[5ケタ英数字] ← ~.[5ケタ英数字] ← ~.crypz ← ~.cryp1 ← ~.crypt
《ファイル》 @README.TXT @README.HTML !README.TXT !README.HTML @[12ケタ英数字].txt @[12ケタ英数字].html ![12ケタ英数字].txt ![12ケタ英数字].html [12ケタ英数字].txt [12ケタ英数字].html !Recovery[12ケタ英数字].txt !Recovery[12ケタ英数字].html de_crypt_readme.txt de_crypt_readme.html (英語)
Crypt0L0cker | Ransom:Win32/Teerac ウイルス
《拡張子》 ~.encrypted
《ファイル》 INSTRUCTIONS.html INSTRUCTIONS.txt DECRYPT_INSTRUCTIONS.html DECRYPT_INSTRUCTIONS.txt (日本語、英語、ドイツ語、スペイン語、韓国語、中国語、タイ語 など)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoWall | Ransom:Win32/Crowti ウイルス
《拡張子》 [ランダム英数字].[ランダム英数字]
《ファイル》 HELP_FILE~.html HELP_FILE~.png INSTRUCTIONS~.html INSTRUCTIONS~.png HELP_YOUR_FILES.HTML HELP_YOUR_FILES.TXT HELP_YOUR_FILES.PNG (英語)
CTB-Locker | Ransom:Win32/Critroni ウイルス
《拡張子》 ~.[6~7ケタ英文字]
《ファイル》 !Decrypt-All-Files-[英文字].txt !Decrypt-All-Files-[英文字].bmp Decrypt All Files [英文字].txt Decrypt All Files [英文字].bmp (英語)
Gomasom | Ransom:Win32/Criakl Ransom:Win32/Genasom ウイルス
《拡張子》 ~.[メールアドレス].CrySiS ~.[メールアドレス].xtbl ~![メールアドレス].crypt
Emsisoft Decrypter for Gomasom, Kaspersky RakhniDecryptor, ESET Crysis decryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
KEYHolder | Ransom:Win32/Nymaim ウイルス
《拡張子》 変更なし 《ファイル》 how_decrypt.html how_decrypt.gif (英語)
RADAMANT | Ransom:Win32/Radamcrypt ウイルス
《拡張子》 ~.RDM ~.RRK 《ファイル》 YOUR_FILES.url (英語 など)
Emsisoft Decrypter for Radamant
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
TeslaCrypt | Ransom:Win32/Tescrypt ウイルス
《拡張子》 変更なし ~.mp3 ~.micro ~.ttt ~.xxx ~.vvv ~.ccc ~.abc ~.aaa ~.zzz ~.exx ~.ezz ~.ecc
Threat Finder | Ransom:Win32/Threatfin ウイルス
《拡張子》 変更なし 《ファイル》 HELP_DECRYPT.HTML (英語)
Troldesh / Shade | Ransom:Win32/Troldesh ウイルス
《拡張子》 ~.da_vinci_code ~.magic_software_syndicate ~.better_call_saul ~.breaking_bad ~.xtbl ~.ytbl
《ファイル》 README[数字1-10].txt (ロシア語、英語)
McAfee Shade Ransomware Decryption Tool, Kaspersky ShadeDecryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
eda2 | Ransom:MSIL/Memekap ウイルス
《拡張子》 ~.magic ~.encrypted ~.encrypt
《ファイル》 DECRYPT_ReadMe.TXT DECRYPT.TXT (英語)
CoinVault / BitCryptor | Ransom:MSIL/Vaultlock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky CoinValutDecryptor
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
TorLocker | Ransom:Win32/Critloki ウイルス
KRSWLocker / カランサムウェア | Ransom:Win32/Rotklock ウイルス
《拡張子》 変更なし 《ファイル》 なし
Kaspersky ScraperDecryptor
ShinoLocker | Ransom:MSIL/ShinoLock ウイルス
《拡張子》 ~.shino 《ファイル》 なし
Ransom:Win32/Enckerbee.B ウイルス
《拡張子》 ~.xxx 《ファイル》 help_dcfile.txt
Takahiro Locker ウイルス
《拡張子》 ~.takahiro 《ファイル》 なし
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
CryptoLocker | Ransom:Win32/Crilock ウイルス
《拡張子》 変更なし 《ファイル》 なし

スマホ画面ロック タイプ - スマートフォン、タブレット、スマートテレビの画面がロックされる 《Android OS》

日本の法務省や警察がスマホやタブレットをロック!? アンドロイド向けランサムウェアMINISTRY OF JUSTICEウイルスの画面解除

パソコン画面ロック タイプ - パソコンの画面がロックされ使えなくなる 《Windows》

ブラウザロック タイプ - ブラウザのウィンドウ画面が擬似的にロックされ終了できなくなる 《Windows/Mac OS など》

身代金の支払い手段は決済サービスやビットコイン

画面をロックするタイプのランサムウェアは、使用不能に陥ったコンピュータを使わずして実店舗から調達が可能な 電子決済サービス(クーポン、プリペードカード) の番号を要求します。

数年前まで感染被害がよく見られた 偽セキュリティソフトクレジットカード決済だったのに対し、日本では流通してない決済サービスを要求していたので、日本はさほどロック型ランサムウェアの主要なターゲットにはなってなかったけど、巻きぞいで感染してしまう日本のWindowsユーザーさんの被害が2013年あたりからけっこう確認されてました。

暗号化したファイルの復旧に匿名な仮想通貨Bitcoin(ビットコイン)で身代金の支払いを要求するランサムウェアウイルス

さらに、2014年以降から2016年現在でも流行ってるファイルを暗号化するタイプのランサムウェアとなると、もはや特定の地域のユーザーだけ狙うものでなくなっていて、身代金の支払い手段は何かと話題になる仮想通貨 Bitcoin(ビットコイン) です。

ファイルの復元にCryptXXXランサムウェアの身代金支払い要求額 1.2BTC . ファイルの復元にlocky/odin/shit/thor/aesir/zzzzz/osirisランサムウェアの身代金支払い要求額 2.0BTC
暗号化ファイルの復号にビットコインを要求!

いずれも、お金の流れを警察や法執行機関がすぐに阻止することが困難で、ランサムウェアの攻撃を仕掛けて摘発を逃れたいサイバー犯罪者の匿名性も守られることになります。

ランサムウェアの感染経路はネットサーフィン中も!

Windowsパソコン をターゲットにしたランサムウェアの感染経路は大きく2つあります。

ランサムウェア身代金型ウイルスの感染経路は迷惑メールの添付ファイルをユーザーが開くルートと、ネットサーフィン中にハッキングされ侵害されたサイトを閲覧で攻撃コードを強制的に送り込まれるルートの2つがある
Windowsを狙うランサムウェアは メールの添付ファイル(左側) か ネットサーフィン(右側)で…
(画像出典 Microsoft Malware Protection Center + 日本語の説明を加筆)

【1】 ウイルスが添付された迷惑メール

まず、迷惑メール(スパムメール)添付ファイルから自爆感染 するパターンです。

メールソフトがサポートしてるメッセージのプレビューや添付ファイルのプレビュー、あるいは 圧縮ファイルの展開・解凍でウイルスが勝手に起動する ことはなく、具体的に次の 不正なファイル をユーザーの意思で ダブルクリック するヒューマンエラーが原因になります。

注意が必要な添付ファイルと拡張子 (Windows)
種類 拡張子 アイコン
圧縮 (zip 形式) フォルダ / RARファイル
圧縮ファイル内
JScript Scriptファイル .js .jse JavaScript - JScript Script ファイル / JScript Encoded Script ファイル
VBScript Scriptファイル .vbs VBScript Script ファイル
Windows Scriptファイル .wsf Windows Script ファイル
HTMLアプリケーション .hta HTML アプリケーション
実行ファイル .exe -
スクリーンセーバー .scr -
ショートカット .lnk -
マクロを悪用するワード/エクセルファイル .doc .docm
.xls
Word 文書Excel ワークシート

いずれも Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作対象外

金銭の支払い請求書(invoice/payment)、荷物の配達通知、ショッピングの注文確認、自分自身が差出人の文書や写真、FAXやコピー複合機のデータ受信、といったもっともらしい名目になってて、無視できず確認する行動をとってしまうユーザーさんが必ず一定数存在 するので、古典的として軽視・無視されがちだけど今でも十分通用する有効な攻撃手口です。

【2】 ウェブサイトを閲覧するネットサーフィン

そして、ネットサーフィン中にドライブバイ・ダウンロード攻撃を喰らって ランサムウェア が一切の確認場面なく知らないうちに強制インストールされるパターンです。

Windowsパソコンでブラウザiexplore.exeで個人運営サイトを閲覧してたらコンピュータウイルスがスルッと起動し感染したた直後のプロセスの様子
ネットサーフィン中にウイルス(★)が強制的に起動した直後の様子

ただ、この攻撃手口については、下の4条件のうち1つでも当てはまったWindowsパソコンのみ地獄へ落ちる脅威です。

  1. Adobe Flash Player を更新せず旧バージョンのまま放置してる
  2. 毎月実施される Windows Update が行われてない
  3. Java(JRE) を更新せず旧バージョンのまま放置してる
  4. Adobe Reader を更新せず旧バージョンのまま放置してる

感染条件に当てはまってない? バージョン確認ツールで無料セキュリティ診断♪

恐ろしいことに、この攻撃は巷で言われる”怪しいサイト”を見てる時ではなく ハッキング被害を受けてる一般サイトやブログをたまたま閲覧した時 だったり、侵害された正規の広告配信サーバーが裏で読み込まれた瞬間 に発生するので、ハッキリ言って侵入を許してしまった直後に気づくことは困難です。

そんな不運な状況を事前に見極めることは(未来を予知する特殊な能力でもない限り)不可能なので、運命の分かれ道は 感染4条件に当てはまるWindowsパソコンを使ってるかどうか で決まります。 (*´O`)b

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ちなみに、まったく同じ感染手口なのが ネットバンキングの不正送金に繋がるウイルス で、銀行口座から預金が引き出されて「さあ大変!」と数年前からニュースを騒がしてるワケです。 (´Д`)<2015年中の被害額はナンと30億円

感染の原因をつぶすランサムウェア対策で完璧!

【1】 『ウイルスが添付された迷惑メール』 向けの対策

この攻撃の対策として抽象的な 『怪しいメールを開かない!』 で済ませるページを見かけるけど、ウイルスメールの実物を頻繁に目にしてないユーザーさんに見抜けというのは無謀なお話なので、運命を分けるのは ファイルの拡張子にどれだけ注意を払ってるか です。

大事なファイルをバックアップ! 外付けハードディスク

あと、セキュリティ製品が脅威と判定せずスリ抜ける厄介な状況が発生してるところに 人間の脳ミソ がダマサれると手に終えないので、制御不能なユーザーさんの行動を止めずにランサムウェアを侵入させない ヒューマンエラー を見越した 保険的な対策 を検討します。

  1. js/jse/wsf/vbs拡張子でランサムウェア感染! 無料対策でウイルスメール被害防止
  2. docm/doc/xls拡張子でランサムウェア感染! 無料対策でウイルスメール被害防止
  3. ランサムウェア被害防止に有効 ファイアウォールでメールの添付ファイル対策

【2】 『ウェブサイトを閲覧するネットサーフィン』 向けの対策

感染4条件に当てはまらない状態を維持するウイルス対策(←無料) をユーザー自らの手で実施しておくと、正面突破する以外で ランサムウェア は進入できなり、強制感染する悲劇は100%確実に回避できます! (^o^)v<Windows Vista/7/8/10 ならバッチリ♪

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新しました!
  2. Windows Update は毎月実施されてます!
  3. Java(JRE) はちゃんと最新版に更新しました! 不要なので削除しました!
  4. Adobe Reader はちゃんと最新版に更新しました! 不要なので削除しました!

Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了し Windows Update できない!

ランサムウェア の対策として真っ先に セキュリティソフト の購入を誘うだけのページを見かけるけど、仮にこれを導入したところで肝心の ウイルス感染経路がふさがることがなく根本的な対策にならない のはここだけの話~。 (^^;

バックアップデータからの復旧

Windowsパソコン(Windows Vista 以降)には ボリュームシャドウコピー という自動バックアップ機能が実装されていて、システムのあるCドライブのファイルを一定間隔でバックアップし古いデータは(肥大化しないよう)破棄してくようになってます。これを視覚的に閲覧できるフリーソフト ShadowExplorer もあります。

多くのランサムウェアはこのデータの消去を試みるけど、UACユーザーアカウント制御が有効になっていてランサムウェアが管理者として実行されてない場合は破棄されず残存してる可能性があり、一般的なファイル復元ソフト(たとえば Recuvaなど)も試してみる価値あるかも。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード情報
[ランサムウェア とは] [ランサムウェア 駆除] [ランサムウェア 対処] [ランサムウェア 対策] [ランサウェア 復元] [ランサウェア 修復] [ランサウェア 拡張子] [ランサウェア 復旧] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [ランサムウェア ウィルスバスター] [ランサムウェア 予防] [ランサムウェア ノートン] [ランサムウェア マカフィー] [ランサムウェア メール] [ランサムウェア スマホ] [ランサムウェア トレンドマイクロ] [身代金型ウイルス 解除方法] [身代金型ウイルス 駆除方法] [身代金型ウイルス サイト] [身代金型ウィルス 対策] [身代金型ウイルス 駆除] [身代金型ウイルス 解除] [身代金型ウイルス 日本語] [身代金型ウイルス 対策] [ファイル暗号化 修復] [ファイル暗号化 ウイルス] [白アイコン ファイル] [白紙アイコン 変更] [真っ白 アイコン ウイルス] [Ransomware マルウェア] [Trojan:Win32/Ransom] [RSA4096 ウイルス] [RSA2048 ウイルス] [RZA4096 ウイルス] [NOT YOUR LANGUAGE USE 感染] [TROJ_RANSOM] [ICE ウイルス] [Cyber Crime Center ウイルス] [英国警察 ウイルス] [HTML_RANSOM] [United States Cyber Security ウイルス] [Police Central e-crime Unit ウイルス] [PCeU ウイルス] [エクセル 拡張子 ウイルス] [ワード ウイルス 拡張子] [拡張子 変更 ウイルス] [画像 拡張子 変わる] …

雑記 > ランサムウェア


Copyright © 2016 Let's Emu!. All rights reserved.