初回投稿 2015年6月24日
最終更新 2020年4月29日


Troldesh/Shadeランサムウェアでファイル開けないウイルス感染被害

イメージ 6

種類が分からないけど、「ランサムウェア(身代金要求ウイルス) に感染した!」 というお話が2015年6月に Yahoo!知恵袋に投稿されています。 CryptoWall ランサムウェア ではない

PC内の画像と音楽がすべてXTBL ファイルに変換されてしまいました。最近ソフトなどダウンロードした記憶もないのですが、ウイルスなどに感染してしまったのでしょうか?少し心辺りがあるとすれば、ネットをしていたらPCが急に重くなったので、タスクマネージャーからプロセスの終了を一つしました。system Idel Processというやつの次に使われていたやつです。・・・名前は忘れてしまいました。そして再起動したところ、デスクトップの画像が変な英文字になって、一部のアイコンも英文字になってしまっていました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14146497464

検索してみると、同一のランサムウェアを喰らったであろう被害者さんの投稿が2015年5月付けで 2ch にありました。

イメージ 1

これでDドライブやれれたわ ファイルが暗号化されてXTBLやYTBLって拡張子にされる ソースコードやベタテキストなんかのテキストファイルや圧縮ファイルがことごとく暗号化されてた
https://fox.5ch.net/test/read.cgi/poverty/1430733966/

このランサムウェア感染で変更された拡張子 「XTBL」 でググってみると?

とにかく、ロシア語 で書かれた海外サイトがかなり大量にヒットし、さらにロシアのセキュリティ会社(カスペルスキー、Dr. Web)の公式フォーラムには、感染被害者さんの悲鳴と思しき投稿で溢れ返っていました。

ファイル暗号化ランサムウェアの種類 Troldesh/Shade ウイルス

セキュリティ会社が名付けたウイルス検出名は?

  • Troldesh

  • Shade

この Troldesh / Shade ランサムウェアは、Windows XP/Vista/7/8/10 パソコンを感染ターゲットにしたマルウェアで、ランサムウェア自らはユニークな名前を名乗っておりません。

【Shade/Troldesh ウイルス検出名例】
ESET Win32/Filecoder.ED Win32/Filecoder.Shade.A Win32/Filecoder.Shade.B Win32/Filecoder.Shade.C Win32/Filecoder.Shade.D Win32/Filecoder.Shade.E Win32/Filecoder.Shade.F
Kaspersky Trojan-Ransom.Win32.Shade
Microsoft Ransom:Win32/Troldesh.A Ransom:Win32/Troldesh.B Behavior:Win32/Troldesh.gen!A Ransom:Win32/Troldesh!rfn Ransom:Win32/Troldesh.C Ransom:Win32/Troldesh.D Ransom:Win32/Troldesh.E!bit Behavior:Win32/Troldesh.C!rsm Behavior:Win32/Troldesh.B!rsm Trojan:Win32/Shade!rfn
Symantec Trojan.Ransomcrypt.T Ransom.Troldesh Ransom.Troldesh!gm
Trend Micro RANSOM_SHADE RANSOM_TROLDESH RANSOM_CRYPSHED TROJ_CRYPSHED Ransom.Win32.SHADE Ransom.Win32.CRYPSHED

マイクロソフトの2015年8月時点のセキュリティ情報では、ランサムウェアの検出上位国はロシア(80%)、ウクライナ(9%)だそうです。

Emerging ransomware: Troldesh - Microsoft
https://blogs.technet.microsoft.com/mmpc/2015/08/09/

カスペルスキーの2015年9月時点のセキュリティ情報では、ランサムウェアの検出上位国はロシア(70%)、ドイツ(8%)、ウクライナ(6%)としています。

The Shade Encryptor: a Double Threat - Kaspersky
https://securelist.com/the-shade-encryptor-a-double-threat/

ロシアに隣接するウクライナは旧ソ連圏の国であり、世界全体で見てもロシアの地域でかなり流行するランサムウェアと考えて間違いないでしょう。


スマホはランサムウェア感染大丈夫?

Windows パソコン以外の環境は Troldesh / Shade ランサムウェアはいっさい動作しません。 <無関係で大丈夫

macOS
Android スマホ
iOS (iPhone / iPad)
ガラケー

ウイルス対策は? ランサムウェア感染経路はメールとサイト閲覧

Troldesh / Shade ランサムウェアの感染経路はドコ?

2つの大きな感染ルートが投入されており、その攻撃手口にガッツリ沿ったウイルス対策をあらかじめ実施しておくことが Troldesh / Shade ランサムウェアの感染被害を確実に回避するポイントです。


【1】 ウイルス添付の迷惑メール

迷惑メール(スパムメール)に添付されている不正なファイル をダブルクリックして開いて、ランサムウェア Troldesh / Shade の自爆感染となるパターンです。


ロシアで流行るランサムウェアであるにも関わらず、この Troldesh / Shade ランサムウェアの感染を意図して、日本国内のユーザーを狙い 日本語表記の迷惑メール(スパムメール) が2016年4月に確認されています。




セキュリティ会社は後を追う形なので、対応が後手に回る場合すらあるセキュリティソフトにすべてを託してはいけません。

ウイルスメール起点の Troldesh / Shadeランサムウェア感染攻撃を失敗へと導く対策がコチラ♪

  1. スクリプトファイル js .vbs の感染を防ぐ無料ウイルス対策
    http://fireflyframer.blog.jp/19064102.html

  2. マクロウイルス xls doc docm の感染を防ぐ無料ウイルス対策
    http://fireflyframer.blog.jp/19063931.html

  3. ウイルス感染を防ぐ Windows ファイアウォールの設定
    http://fireflyframer.blog.jp/19064221.html


【2】 ネットサーフィン中の強制インストール

単純に ネットサーフィンでサイトを見る という何ら変哲もない行為をしていただけで、確認場面なく Troldesh / Shade ランサムウェアが強制インストールされる悲惨な感染パターンです。

  • 企業や個人が管理する一般サイトが改ざんされてランサムウェアを配信する

  • ランサムウェア感染を行う不正な攻撃処理が広告配信システムに流れてくる

この手口は、セキュリティ用語で ”ドライブバイ・ダウンロード攻撃” と呼ばれています。

ただ、このパターンのランサムウェア感染被害は、ウイルス感染条件2つのうちいずれか1つに該当していることが必須なので、お金をかけない ウイルス対策でランサムウェア感染防止 が簡単にできますよー。

  1. 定例更新の Windows Update は実施できていますか?
    (Windows OS、Internet Explorer 11、Microsoft Edge などの更新)
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player は最新版に更新できていますか?
    https://get.adobe.com/jp/flashplayer/about/

それこそ、セュリティソフトの導入でウイルス対策効果が完璧 と思い込んみ、ランサムウェアの感染経路がガバガバの放置状態なら、Troldesh / Shade ランサムウェアに殺られてしまうでしょう。

Troldesh / Shade ランサムウェア感染症状

手元の Windows 環境で、実際に Troldesh / Shade ランサムウェアの動作確認をしてみました。 

【ファイル】
C:\ProgramData\Windows\csrss.exe
└ フォルダーの属性  「隠しファイル」

イメージ 2
レジストリに起動用パラメータ

【Windows レジストリ】
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → Client Server Runtime Subsystem
データ → C:\ProgramData\Windows\csrss.exe

csrss.exe ファイル!?

実はこれは、Windows のシステムフォルダーに最初から存在する正規の実行ファイル 「C:\Windows\System32\csrss.exe」 と同一のファイル名を名乗っていて、嫌らしい ”成りすまし” です。


開けない! 暗号化されたファイル

Troldesh / Shade ランサムウェアによって暗号化で破壊されたファイルは、元の種類・形式がサッパリ分からないメチャクチャな文字列に切り替わります。

ファイルの異変に気づくのは容易だろうけど、残念ながらファイルが破壊済みなので 「後の祭り」 でしょう。

イメージ 4
暗号化で破壊されたファイル名や拡張子

  • ファイル名
    → ランダムな英数字で破壊 (異様に長く文字数45文字ほど)

  • ファイルの拡張子
    → .crypted000007 .crypted000078 .no_more_ransom .better_call_saul .breaking_bad .da_vinci_code .xtbl など

イメージ 5
暗号化対象のファイルの拡張子 350種ほど

※ 暗号化ファイル名を 『 [@aol.com/@india.com などメールアドレス].xtbl 』 に変更するランサムウェアが確認されているけれど、ランサムウェアの種類、感染経路がリモートデスクトップ(RDP) の別モノです。


■ Troldesh / Shade ランサムウェア脅迫文ファイル

脅迫文のメッセージとして、同じ中身でテキストファイルが10個も作成されます。

その脅迫文の中身は、まず1番目の言語として ロシア語、次に2番目の言語として 英語 で併記されてある特徴があり、ロシアでの感染が大前提となっているランサムウェアです。

【ランサムウェア脅迫文ファイル】
README[数字1~10].txt
(README1.txt README2.txt README3.txt README4.txt README5.txt README6.txt README7.txt README8.txt README9.txt README10.txt Firefly)

イメージ 3
ロシア語が文字化けするのでブラウザで確認

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
[数字]
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции. 
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
[数字]
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
http://fireflyframer.blog.jp/19063910.html
Baшu фaйлы былu зашuфрoвaны.
Чтoбы paсшифpoвать ux, Baм нeобходuмо оmпpaвить kод:
[数字]
на элеkтpoнный адpеc Novikov.Vavila@gmail.com .
Дaлее вы пoлучиme всe неoбходuмые инсmpyкции.
Пonыmku pасшuфpовaть caмocтояmeльнo не пpuвeдут нu к чeмy, крoме бeзвoзврaтной пoтeри uнфopмaции.
Eсли вы вcё жe хoтuте noпытaтьcя, то nрeдвapumельно cдeлайте peзepвные коnиu фaйлoв, uначe в слyчае
uх изменeнuя раcшифровka cmанeт невoзможнoй ни nри каkuх уcлoвuяx.
Еслu вы не nолyчuли omвemа пo вышеукaзaнному aдpecy в mечение 48 чaсoв (u тoльkо в этом случae!),
вocпoльзуйтесь фоpмой обpатной cвязu. Эmo можнo сдeлаmь двyмя cnосoбaмu:
1) Ckaчайmе u уcтанoвuте Tor Browser пo сcылке: https://www.torproject.org/download/download-easy.html.en
В aдpeснoй сmpоке Tor Browser-a ввeдuтe адрес:
u нажмumе Enter. 3arpузumся cmрaнuца с фopмой обpamной связи.
2) В любoм бpаузeрe nеpейдuтe по однoмy uз aдpеcов:
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
[数字]
to e-mail address Novikov.Vavila@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://fireflyframer.blog.jp/19063910.html

このテキストには、具体的な身代金の金額について、まったく触れられていません。

メールか入力フォームで問い合わせるよう誘導しており、セキュリティ会社の情報によると、攻撃者側と金額についてやり取りを行った上で値切り交渉もできるそう。


Windows デスクトップの壁紙変更

真っ黒の背景、赤い文字でロシア語と英語の文章が記載されています。

ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.
ATTENTION!
All the important files on your disks were encrypted.
The details can be found in README.txt files which you can find on any of your disks.



<2016年7月 追記...>

EC3 欧州サイバー犯罪センター、オランダ国家警察、米 Intel Security(マカフィー)、ロシア Kaspersky の4団体の協業で nomoreransom.org というセキュリティ啓発団体を立ち上げて、その成果物として Troldesh / Shade 向けの ランサムウェア復号ツール が無料で公開されました。

Intel Security Teams With Industry, Law Enforcement to Thwart 'Shade' Ransomware - McAfee
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-teams-industry-law-enforcement-thwart-shade-ransomware/

ShadeDecryptor もう身代金は払わない – カスペルスキー
https://blog.kaspersky.co.jp/shade-decryptor/12072/

ただ、これ以降もランサムウェア攻撃者側が対抗により、復号できない新しい Troldesh / Shade ランサムウェアの亜種が投入されている模様です。




<2020年4月 追記...>

いったい何があった…?

Troldesh / Shade ランサムウェアの開発者を名乗るグループ 「shade-team」 は、2020年4月25日に GitHub 内にページを作成して、感染被害者に謝罪するとともに開けないファイルを元に戻せる復号鍵を公開した、とのこと。

”我々は、「Shade」 「Troldesh」 「Encoder.858」 として知られていて、暗号化を行うトロイの木馬を作成したチームです。実際、我々は2019年末にその配布を停止しています。無題な濃いログ
現在、この話の終着点に至り、我々が持っている復号鍵 (全部で75万以上) のすべてを公開することを決めました。我々は復号化ツールも公開しています。また、セキュリティ会社が使いやすい復号化ツールを提供してくれることを望みます。無題な濃いログ
我々の活動に関連するその他のすべてのデータ (トロイの木馬のソースコードを含む) は取り返しのつかないほど破壊されました。トロイの木馬のすべての被害者にお詫びするとともに、私たちが公開した鍵がデータの回復に役立つことを願っています。”
https://github.com/shade-team

Threat actors release Troldesh decryption keys - Malwarebytes
https://blog.malwarebytes.com/ransomware/2020/04/threat-actors-release-troldesh-decryption-keys/

この展開を受けて、ロシアのセキュリティ企業カスペルスキーは、以前から提供していた無料ファイル復号ツール ShadeDecryptor を2020年4月30日に更新し、対応を完了しています。

> https://support.kaspersky.com/13059

関連するブログ記事