CryptoWall 4.0ウイルス感染 ファイル名も破壊HELP_YOUR_FILES.PNG
 
とあるjpドメインな音楽系の企業サイト(楽器製造販売)がハッキング被害を受けてるようで、ページに不正なコードが挿入されてることを確認しました。
 
さっそく、定番のウイルス感染経路である Adobe Flash Player を故意に旧バージョンにしておいて突撃アクセスしてみましたー。 更新の放置は激ヤバい!
 
イメージ 1
HTMLソースコードを確認すると難読化が施されたJavaScriptコードが
(コード量がクソ大きく19KBほどある)
 
結果として、何ら確認なくWindowsパソコンの中に勝手に侵入してきて居座ってるナゾの実行ファイル(拡張子 *.exe)がコチラです! <Mac OS や Android/iPhoneスマホ は動作対象外で無関係~
 
イメージ 2
C:\Users\[ユーザー名]\AppData\Roaming\[英数字10文字]\[英数字10文字].exe 

CryptoWall 4.0 が強制インストールされた!

この正体はランサムウェア(身代金型ウイルス)の1つである CryptoWall 4.0 と呼ばれてるブツです。 <Windowsパソコンがターゲット!
 
CryptoWall 4.0 は文書ファイルや画像ファイルなどを暗号化して破壊して開けなくして、復元・復号させて元に戻すツールの購入を迫るコンピュータウイルスです。
 
イメージ 5
破壊される前のJPEG画像ファイルたち
 
↓ ↓ ↓ ↓ ↓
 
イメージ 4
CryptoWall感染後の状態はファイル名や拡張子までメチャクチャ!
 
ファイル名や拡張子の文字列すらランダム生成で破壊され、もはやオリジナルのファイルが何なのかサッパリサッパリ状態の地獄絵図…。
 
デスクトップや各フォルダに画像ファイル HELP_YOUR_FILES.PNGHELP_YOUR_FILES.HTML が新規作成され、英語でファイルを暗号化して身代金の支払いを要求する内容になってました。
 
イメージ 3
HELP YOUR FILES !? 英語で身代金を支払うよう要求
 
CryptoWall 4.0ウイルスの被害を喰らったと思われるユーザーさんのお話です。
 
■ shishimaruさんはTwitterを使っています: "非表示の"ProgramData"下のサブフォルダに大量の "HELP_YOUR_FILES.PNG" が格納されていたので、すべてロック解除して削除した。今のところ、画像のオリジナルが見つかっていないので、イタチごっこをしているが、OSの再インストールがベストな対策だ。"
https://twitter.com/flash32e/status/676319175720079361

■ 未だに、Windows XPを使用していまして、先日、取り返しのつかない事になりました。 友人にPCを使用させたあと、ウイルス感染したのか、大げさに言えば財産にもなる何年も撮りためた画像ファイルが意味不明なファイルに変換されていて、…
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14153177519

■ HELP_YOUR_FILESというウイルスに感染したようです、自前の画像や文書の名前が書き換えられて見れなくなりました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14153675134
 
ちなみに、種類が異なるランサムウェア
 
 
の2つを混同して紹介する日本語ブログを結構多く見かけるのでチョットご注意ください。 <違いはランサムウェアの紹介ページどぞ

ランサムウェアの感染経路は?

CryptoWall を始めとするランサムウェア(身代金型ウイルス)の感染経路は、主に2パターンあることが分かってます。
 
イメージ 6
[ 画像出典 Microsoft Malware Protection Center より]
 
~ マイクロソフトのウイルス検出名 ~
Win32/Crowti → CryptoWall のこと
Win32/Tescrypt → TeslaCrypt(vvvウイルス) のこと
 
左側 … メールの添付ファイルをユーザーが開いて自爆感染する
右側 … ネットサーフィン中に強制インストールされる
 
この記事では右側ルートを喰らった形の感染パターンで、その起点(感染源)となるのはユーザーごとにバラバラだけど↓らへんのはず。
  • ハッキング被害を受けてる一般サイトやブログをたまたま閲覧した時
  • 侵害された広告配信サーバーが運悪く裏で読み込まれた瞬間
怪しいサイトにアクセスしない♪』なんて対策が通用すると思ってませんか?
Google のセーフ ブラウジング テクノロジーは、1 日に数十億件の URL を調査して、安全ではないウェブサイトを探します。1 日に安全ではないウェブサイトが新たに数千件も見つかります。そのうちの多くは、正当なウェブサイトが不正使用されたものです。
https://www.google.com/transparencyreport/safebrowsing/?hl=ja
そういう考えは現実に起こってる脅威と実態がズレてるので、被害に巻き込まれない対策としてウイルス感染経路をふさぐ作業↓を必ず実施しておきましょ。
関連するブログ記事