無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ:日記 > ランサムウェア対策

初回投稿 2019年7月7日
最終更新 2019年8月22日


Welcome Againランサムウェアreadme.txtファイル拡張子ウイルス感染に注意!

19e66eff.png

2019年4月下旬あたりから、ファイルを暗号化して破壊し、身代金の支払うよう要求するウイルス(ランサムウェア)が特に海外で確認されています。

ウイルス自らはユニークな名前を名乗っていないため、セキュリティ界隈では特段の意味を持たない Sodinokibi というランサムウェア名が充てがわれていて、その他に REvil といった呼称もあります。

【セキュリティソフトのウイルス検出名】
ESET Win32/Filecoder.Sodinokibi.A Win32/Filecoder.Sodinokibi.B
Kaspersky Trojan-Ransom.Win32.Sodin
Microsoft Ransom:Win32/Sodinokibi.A Ransom:Win32/Sodinokibi.A!MTB Trojan:Win32/Sodinokibi.B Ransom:Win32/Sodinokibi.C Ransom:Win32/Sodinokibi.F Behavior:Win32/Sodinokibi.A Behavior:Win32/Sodinokibi.B Behavior:Win32/Sodinokibi.C
Symantec Ransom.Sodinokibi Ransom.Sodinokibi!g1
Trend Micro Ransom.Win32.SODINOKIBI Trojan.Win32.SODINOK.SM

ロシアのセキュリティ会社カスペルスキーの調査によれば、Sodinokibi ランサムウェアのウイルス感染被害を喰らったであろう地理的位置の割合は次のような感じだとか。

台湾(17%)
香港(9%)、韓国(8%)、ドイツ(8%)、日本(8%)
イタリア(5%)、スペイン(4%)
アメリカ(2%)、ベトナム(2%)、マレーシア(2%)
※小数点切り捨て



Sodin ransomware exploits Windows vulnerability and processor architecture - Kaspersky
https://securelist.com/sodin-ransomware


感染で身代金13万円の支払い要求

ランサムウェアはファイルを元に戻す復号ツール Decryptor の購入を名目に身代金を要求します。

手元の環境で感染させた場合だと、その額は仮想通貨ビットコインの支払いで1,300ドル相当となっていて、1週間経過した場合は2倍の2,600ドル相当に引き上げる、としてプレッシャーを掛けてきます。

zクリップボード

Your documents, photos, databases and other important files encrypted
Your computer has been infected!
To decrypt your files you need to buy our special software - q1gu5s-Decryptor Firefly
You can do it right now. Follow the instructions below. But remember that you do not have much time

Sodinokibi ランサムウェアの感染経路

《1》 RDP リモートデスクトップ接続

Windows の上位エディション、あるいはサーバー向けの環境に標準で実装されている RDP(リモートデスクトップ接続) を介して、遠隔操作でウイルス感染させるパターンです。

  • Windows 7 Professional
  • Windows 10 Pro

  • Windows Server

どこかしらの攻撃者が、適切なパスワードが設定されていないターゲットの Windows PC にログイン画面から普通に不正アクスした上で、何かしらランサムウェアの実行ファイルを手動起動する手口となります。


《2》 ウイルス付きの迷惑メール

「金銭の支払い請求書」 「荷物の配達通知」 みたいに装った無視できない 迷惑メール(スパムメール) が無差別にバラ撒かれ、その添付ファイルを Windows ユーザーさんがポチポチッとダブルクリックして開く自爆感染のパターンです。


東アジア方面の攻撃ターゲットとして韓国語や中国語のウイルスメールは投入されているようだけど、日本国内ユーザーを明確に狙って Sodinokibi ランサムウェアを感染させるウイルスメールが大量にバラ撒かれる状況は確認されていません。


《3》 サイト閲覧 (ドライブバイ・ダウンロード攻撃)

ネットサーフィン中 に突発的に発生する攻撃手口で、Windows ユーザーさんに対して何ら確認場面なくランサムウェアが問答無用で強制インストールされるパターンです。

  • 改ざん被害を喰らっている一般サイトをたまたま閲覧する

  • 一般サイトに掲載されている広告コンテンツに広告配信ネットワークを介して攻撃処理が流れてくる
    マルバタイジング

ただ、この感染経路は、次のウイルス感染条件2つのうち1つでも該当する PC 限定のお話です。

  1. 定例更新の Windows Update を実施していない
    https://support.microsoft.com/ja-jp/help/12373/

  2. Adobe Flash Player を旧バージョンのまま更新していない
    https://get.adobe.com/jp/flashplayer/about/

セキュリティ対策の基本中の基本ができてないことがランサムウェア感染原因なので、自業自得です。

Sodinokibi ランサムウェアのウイルス感染症状

● ファイルの拡張子が変更されて、文書/画像ファイルが開けない!

ランサムウェアで暗号化されて開けないファイルの状態は?

「 (ランサムウェア感染前のオリジナルファイル名).[拡張子] 」

拡張子はアルファベット小文字と数字の組み合わせ
└ 文字列の長さは 5~10 ケタあたり?

拡張子がファイル名の後尾に付け足される形 → オリジナル名はいちお認識できる

fireflyframer.jpg
→ fireflyframer.jpg.q1gu5s

fireflyframer.doc
→ fireflyframer.doc.q1gu5s

aクsodinokibiリップボード


● 各フォルダーに身代金を要求する脅迫文ファイル

「 [拡張子の文字列]-readme.txt 」
(例、q1gu5s-readme.txt)

使用言語は英語オンリー
→ 2019年8月第四週に韓国語&中国語のメッセージを含む3言語バージョンも確認されている

---=== Welcome. Again. ===---
[+] Whats Happen? [+] Firefly
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 3oe7iy.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+] Firefly
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
[+] How to get access on website? [+] Firefly
You have two ways:
1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: https://torproject[.]org/
  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor[.]top/ ~
Warning: secondary website can be blocked, thats why first variant much better and more available.
When you open our website, put the following data in the input form:
Key: ~ Firefly
--- === 환영합니다. 다시. === ---[+] 일이 어떻게됩니까? [+] Firefly파일이 암호화되어 현재 사용할 수 없습니다. 그것을 확인할 수 있습니다.우리의 지시를 따르는 것이 가능합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대로).[+] 보장은 무엇입니까? [+]그것의 다만 사업. 혜택을 얻고 있습니다. 당신이 우리의 장인이 아닌 경우 우리의 관심사가 아닙니다.파일을 반환하는 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 거기에서 무료로 하나의 파일을 해독 할 수 있습니다. 그것은 우리의 보증입니다.그건 중요하지 않아. 그러나 당신은 개인 키를 잃어 버릴 것입니다. 실제로 - 시간은 돈보다 훨씬 가치가 있습니다.[+] 웹 사이트에 액세스하는 방법? [+] Firefly두 가지 방법이 있습니다.1) [추천] TOR 브라우저 사용!  a)이 사이트에서 TOR 브라우저를 다운로드하여 설치하십시오 : https://torproject[.]org/  b) 웹 사이트를 엽니 다. http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~2) 귀하의 국가에서 TOR이 차단 된 경우 VPN을 사용해보십시오! 하지만 보조 웹 사이트를 사용할 수 있습니다. 이것을 위해 :  a) 모든 브라우저 열기 (Chrome, Firefox, Opera, IE, Edge)  b) 보조 웹 사이트를 엽니 다. http://decryptor[.]top/ ~경고 : 보조 웹 사이트를 차단할 수 있습니다.저희 웹 사이트를 열 때,키 : ~ Firefly
--- === 歡迎。再次。 === ---[+] 發生了什麼事? [+] Firefly您的文件已加密,目前無法使用。您可以檢查它:您計算機上的所有文件都有擴展名 900fklll6。順便說一句,一切都可以恢復(恢復),但你需要按照我們的指示。否則,您無法返回數據(從不)。[+] 有什麼保證? [+]它只是一個企業。除了獲得福利外,我們絕對不關心您和您的交易。如果我們不做我們的工作和責任 - 沒有人不會與我們合作。這不符合我們的利益。要檢查返回文件的能力,您應該訪問我們的網站。在那裡你可以免費解密一個文件。這是我們的保證。如果您不配合我們的服務 - 對我們而言,無所謂。但是你會丟失你的時間和數據,因為我們只有私鑰。在實踐中 - 時間比金錢更有價值。[+] 如何訪問網站? [+] Firefly你有兩種方式:1)[推薦]使用TOR瀏覽器!  a)從該站點下載並安裝TOR瀏覽器:https://torproject[.]org/  b)打開我們的網站:http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~2)如果您所在國家/地區的TOR被阻止,請嘗試使用VPN!但您可以使用我們的二級網站。為了這:  a)打開任何瀏覽器(Chrome,Firefox,Opera,IE,Edge)  b)打開我們的二級網站:http://decryptor[.]top/ ~警告:可以阻止輔助網站,這就是為什麼第一個變體更好,更可用。當您打開我們的網站時,請在輸入表單中輸入以下數據:鍵: ~ Firefly

● Windows のデスクトップの壁紙を変更する

壁紙の画像 → ”青色の背景+黒色の砂嵐”、白い文字

aa3ds65h9digd

u6w31vfa

All of your files are encrypted! Find [拡張子]-readme.txt and follow instuctions
All of your files are encrypted! Find how to decrypt [拡張子]-readme.txt and follow instuctions
모든 파일이 암호화되어 있습니다! [拡張子]-readme.txt 찾기 및 설치 방법 따르기
您的所有文件都已加密! 找到 [拡張子]-readme.txt 业按照锐明操作

● ボリュームシャドウコピーのデータを全消去する
└ Windows 7、Windows 10 で標準で有効になっているファイルのバックアップ機能

● 名前が 「backup」「Backup」 になっているフォルダーをストレージ上から検索ぅ
そのフォルダー内にあるファイルに対して内部データを 0x00 で埋めて上書き保存することで破壊


Windows レジストリ

ファイルの暗号鍵のデータ置き場みたい。

9クリップボード

HKEY_LOCAL_MACHINE\Software\recfg

検索結果にヒットする詐欺サイトに注意!

ランサムウェア感染被害の対処方法を案内するセキュリティ情報サイト?

そのように装ってユーザーを騙し、有償製品 SpyHunter 5GridinSoft Anti-MalwareReimage RepairWiperSoftLoaris Trojan Remover を導入するよう仕向ける詐欺サイトにご注意ください。

【有料製品の宣伝目的な詐欺サイト例】
delete-pcvirus.spyware-removal.org
jp.howtoremovemalwarefrompc.com
jp.howtouninstall.guide
jp.removeallmalwarefrompc.com
removeadware.net/ja
removepcthreat.scanforvirus.org
sakujosuru.jp
uninstallvirus.deletemalwarefrompc.com
virus-removal-guide.net/ja
www.2-spyware.com
www.2removal.com/jp
www.allvirus-removal.com/jp
www.enigmasoftware.jp
www.malware-fixes.com/jp
www.malwarerid.net
www.pccareguide.com
www.pcinfectionsupport.com/jp
www.pcissuessolution.com/jp
www.pcmalwareexpert.com/jp
www.pcrisk.com
www.removal-virusguide.com/jp
www.removemalware-jp.com
www.security-fixes.com/jp
www.threat-2remove.com/jp
www.tips-2remove.com/jp
www.tips2-remove.com/jp
【詐欺サイトのタイトル例】
Sodinokibi ランサムウェアの復号化と削除
Sodinokibi Ransomware を削除する方法 除去のヒント
Sodinokibi Ransomwareを削除して暗号化ファイルを回復する
Sodinokibi Ransomwareを削除する方法
PCからRansom.Sodinokibiを削除する方法
Sodinokibi を削除する方法 Virus 4 除去
取り除く Sodinokibi Ransomware から Windows 2000
簡単なガイド 取り除く Sodinokibi Ransomware から Windows 2000
Sodinokibi (ランダムな拡張子) アラート どのように Sodinokibi の解消を取得するには
ヒント 削除 Ransom.Sodinokibi から Windows XP
取り除く Ransom.Sodinokibi!g1 即座に
ステップバイステップガイド 削除 Sodinokibi Ransomware

検索エンジン Google や Yahoo! で調べると、詐欺サイトが検索結果にヒットするから厄介です。

  • 機械翻訳による支離滅裂で意味不明な日本語の文章で溢れ返る

  • その内容はダラダラ長いだけの無益なセキュリティ情報なので読む価値なし

関連するブログ記事
ファイルの拡張子を表示する Windows PC 向けの無料ウイルス対策
迷惑メール添付のスクリプトファイル .js .vbs の感染を防ぐ無料ウイルス対策
迷惑メール添付の Office ファイル .doc .docm .xls マクロの感染を防ぐ無料ウイルス対策

続きを読む
このエントリーをはてなブックマークに追加

初回投稿 2018年2月4日
最終更新 2019年6月17日

GandCrab 5.2とはランサムウェア ウイルス対策3つと経路 開けない拡張子ファイル感染被害!

イメージ 8

GandCrab(読み方 ガン・クラブ) とは?

一般家庭や企業といった利用環境に関係なく、Windows XP/Vista/7/8/10 パソコンに感染する ランサムウェア(身代金型ウイルス) です。

イメージ 7
GandCrab 身代金支払いページ
対応言語 英語・韓国語・中国語

2018年1月下旬に初めて確認された Windows の脅威となります。

macOS → GandCrab ランサムウェアはいっさい影響なし
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー

★ GandCrab ランサムウェア終了
2019年6月1日 GandCrab の攻撃者が活動終了をフォーラムで予告
2019年6月17日 BitDefender が直近バージョン5.2に対応した暗号化ファイル復号ツールをリリース


GandCrab ランサムウェア症状はファイルが開けない!

GandCrab ランサムウェア に殺られると悲惨です。

PC 内の大事なファイルをドンドン暗号化して開けない状態にした上で、その ファイルを元に戻す復号ツール 「GandCrab Decryptor」 の購入を名目に 身代金 の支払いを英語で要求してきます。

イメージ 3
GandCrab 身代金の要求額 31,337ドル!?

上の画像は、海外のセキュリティ情報サイト BleepingComputer.com の中の人に向けた身代金要求画面。ランサムウェア GandCrab の感染を実際に喰らったワケではなく、GandCrab の中の人もそれを認識した上で、日本円で350万円ほどの高額な要求額をあえて吹っかけている。

  • GandCrab 金銭の支払い方法は2つ
    仮想通貨 Dash (ダッシュ)
    仮想通貨 Bitcoin (ビットコイン)

  • GandCrab の要求金額 
    米ドルで ”600ドル”、”1200ドル”、"1500ドル"、”2000ドル” らへん

家族の写真、仕事や学業の文書が目の前で破壊されて、金銭を支払ってでも取り戻さないといけない心理状態へ追い込まれるユーザーさんが出現することで、ランサムウェアの身代金ビジネスが成り立ってます。

GandCrab の感染経路とウイルス対策

GandCrab ランサムウェアを仕掛ける中の人は、ロシア周辺地域を始めとするキリル文字圏のフォーラムで普通に活動しています。

Behind the veil GandCrab Ransomware Partner Program - LMNTRIX Labs

そして、GandCrab の配信に協力してくれるパートナーをロシア語で募っており、ランサムウェア の被害者から奪った身代金の一部を、提携のパートナーへ報酬金として分配する広告ビジネスを展開してます。

イメージ 5
中の人自ら公表した GandCrab 感染マップ
画像出典、2018年3月)

そんなこんなで、ランサムウェア 攻撃の協力者がこぞって参加する GandCrab 配信イベント(キャンペーン)が世界各地で幕を開け、GandCrab ランサムウェア感染攻撃が何か月にも渡って展開されることになります。

対岸の火事なごとく 「自分はそんなの関係ない!」 と切り捨てる日本国内ユーザーさんがいるだろうけど、基本的に地球上の全 Windows ユーザーさんが GandCrab の攻撃対象になりうるので、注意しないといけません。

【GandCrab 攻撃対象外の地理的位置】
ロシア、ウクライナ、ベラルーシ、ジョージア、カザフスタン、ルーマニアなど旧ソ連圏 → 攻撃者グループの居住地と推定され、ファイルの暗号化を行わずにプログラムは終了する
シリア → 攻撃者が復号鍵を特例で公開

そんな GandCrab ランサムウェア の主要なウイルス感染経路2つと、その GandCrab の感染手口に沿って被害を防ぐウイルス対策はどうなる?


《1》 ネットサーフィン中にGandCrab 強制感染

別に怪しいこともない普通の一般サイトを閲覧してる途中、GandCrab が何ら確認もなく問答無用で強制インストールされるパターンです。

  • 改ざんされてる企業サイトや個人サイトがウイルスサイトに変貌してる

  • 一般サイトに設置されてる広告コンテンツに攻撃処理が普通に流れてくる
    マルバタイジング

セキュリティ用語で、この手口を ドライブバイ・ダウンロード攻撃 と言います。

ただ、この経路と手口で GandCrab が強制インストールされるには、次の ウイルス感染条件2つ のうち1つでも当てはまることが絶対必須です。

イメージ 13
サイトを見ただけでウイルス強制感染の対策

  1. 毎月定例更新の Windows Update が実施されていない
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player を最新版に更新していない
    https://get.adobe.com/jp/flashplayer/about/

最新版をキッチリ維持する無料ウイルス対策が完璧な Windows PC なら、ネットサーフィン中の GandCrab 強制感染はほぼ100%あり得ず大丈夫です。 <先手を打つと攻撃者はお手上げ

それこそ、現実離れな 「怪しいサイトにアクセスしない」「エッチなサイトにアクセスしない」 とか、ランサムウェアには無意味なウイルス対策です。


《2》 ウイルスメールからの GandCrab 自爆感染

主に英語(日本語も将来的に?)の 迷惑メール(スパムメール) を受信して、攻撃開始のゴングが鳴るパターンです。

イメージ 12
件名は日本の有名芸能人の名前、本文に顔文字
ウイルスメール実例


そんな何の変哲もない ”うっかり” な行動1つをキッカケとして、最終的に GandCrab を Windows へススーッと招き入れる 自爆感染 になります。

実際に、ポチポチッとダブルクリックすることで、GandCrab に感染する 不正なファイル の実物がコチラ♪

~ 迷惑メール添付の不正なファイル ~

イメージ 14
PDF ファイル?

イメージ 6
JPEG 画像ファイル?

イメージ 10
ラブレター?


そこで、次の無料ウイルス対策3つを実施しておきましょう。

これでセキュリティソフトを安々とスリ抜ける 不正なファイル .js .doc .xls を開いても、ランサムウェアの感染確率を低減する効果が期待できます。 <先手を打つと攻撃者に出し抜かれない

  1. スクリプトファイル js/vbs/wsf を無害化するウイルス対策

  2. Office ファイル xls/doc マクロの感染手口を防ぐウイルス対策

  3. 悪用プログラムの外部通信をファイアウォールでブロックする対策

ウイルスメールの対策として 「怪しいメールを開くな」「不審なファイルを開くな」 といった精神論を目にします。

ただ、現実にランサムウェアの被害にあうユーザーさんは、脅威を見抜けずにヒューマンエラー(人為的ミス)を引き起こしているので、そういうのは理想論に終わるだけです。


《3》 その他の GandCrab 感染経路

○ ”道に落ちてる食べ物の拾い食い” で感染する

イメージ 4
GandCrab に感染する直前場面
Windows セキュリティの警告は無視される悲劇…


ユーザーさんはマトモなプログラムやファイルと思い込んでるので躊躇せずに開くし、後手に回って出し抜かれるセキュリティソフトは警告しないリスクから、”拾い食い” の被害は普通に起こります。


Phorpiex ワームによる GandCrab 感染攻撃

〔 VNC サーバー経由の不正アクセス 〕
5900 ポート VNC(Virtual Network Computing) サーバーに脆弱なパスワードで不正アクセス → ftp.exe、bitsadmin.exe、powershell.exe を介して Phorpiex ワーム感染 → GandCrab がダウンロードされて感染

〔 NetBIOS 経由の不正アクセス 〕
139 ポート NetBIOS に脆弱なパスワードで不正アクセス → ファイル共有サービスで Phorpiex ワーム感染 → GandCrab がダウンロードされて感染

〔 USB メモリ経由 〕
Phorpiex ワーム感染 → USB メモリ内に元からあるファイルが消失し、代わりに不正なショートカットが作成される → 汚染されてる USB メモリを別の PC に接続 → ユーザーが不正なショートカットを開いて DeviceManager.exe が起動 → GandCrab がダウンロードされて感染

GandCrab ランサムウェアの感染症状

GandCrab 脅迫文ファイル

暗号化されたファイルの置かれてる各フォルダーに、GandCrab の脅迫文ファイルが新規作成されます。

PC のファイルをほぼすべて破壊し尽くし、この GandCrab の脅迫文ファイルが目の前に表示されてランサムウェアの感染被害に初めて気づく…、なんて最悪です。

イメージ 11

【GandCrab 脅迫文ファイル】
GDCB-DECRYPT.txt FireflyFramer
CRAB-DECRYPT.txt
KRAB-DECRYPT.txt
[ファイルの拡張子]-DECRYPT.html
[ファイルの拡張子]-DECRYPT.txt
[ファイルの拡張子]-MANUAL.txt

【GandCrab 脅迫文の内容】
---=    GANDCRAB V5.2    =---
UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED
FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .EAAVGEVZ
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef[.]onion/[英数字]
| 4. Follow the instructions on this page


レジストリと実行ファイル
(※記事投稿2018年2月時点の情報)

GandCrab ランサムウェアを起動するため、Windows のレジストリに実行ファイル(拡張子 .exe)の置き場所が示されてるキーが新規作成されます。

イメージ 2
レジストリエディター で確認した様子

【レジストリ】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
名前 → [ランダム文字列]
データ → 実行ファイルの位置

【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\[ランダム文字列].exe
 あるいは
C:\Users\[ユーザー名]\AppData\[ランダム文字列].exe

・ C:\Users(ユーザー)フォルダーは ”隠しフォルダー” なので表示する方法
https://support.microsoft.com/ja-jp/help/14201/


ランサムウェアで暗号化されたファイル

GandCrab によって暗号化された文書、画像、圧縮ファイルは、破壊の目印として元々のファイル名に任意の拡張子を付け足して変更します。

以前の GandCrab で破壊されたファイルの拡張子は、特定の文字列で固定だったものの、直近バージョン GandCrab V5 系統はランダムなアルファベット小文字(文字数 5~10)です。

イメージ 9
アイコンが白紙になり開けないファイルたち

【GandCrab 暗号化されたファイルの拡張子例】
[オリジナル名].GDCB
[オリジナル名].CRAB … GANDCRAB 2.0 / 2.1 / 3.0
[オリジナル名].KRAB … GANDCRAB 4.0
Firefly
[オリジナル名].[アルファベット] … GANDCRAB V5.0.4 / V5.1 / V5.2

なお、一部のキュリティ会社から ランサムウェア向け無料ファイル復号ツール が提供されてるものの、GandCrab の特定の旧バージョンで破壊されたファイルのみ対応となってます。

  • ルーマニア BitDefender

  • 中国 Qihoo 360
  • スロバキア ESET

→ ランサムウェア感染で開けないファイル復号ツールまとめ 無料で復元復旧?

GandCrab ランサムウェアに感染したなら、将来的に無料で復号できる手段が登場するのを祈って、暗号化ファイルたちと脅迫文ファイル1つを別に保存しておいて待つのも得策?

あと、Windows 7/10 で有効になってるバックアップ機能(ボリュームシャドウコピーサービス)のデータが残存してる奇跡に恵まれると、GandCrab に破壊される前のファイルを ShadowExplorer復元できる可能性があります。

GandCrab セキュリティトピックス

手元で調査した GandCrab ランサムウェアの検体です。

イメージ 1
フォントファイル更新名目
GandCrab 実行ファイル実物

2018年2月 取得
1e48f9f0d2675f5dd7be17b399ccb1f4
www.virustotal.com/ja/file/7a2b0084c67598cf19e11bcb04211ba94b3ade2d157046bdb950e955672adcfd/analysis/1517734834/

2019年1月 取得
ダウンローダー (Phorpiex ワーム
de77eb32df7c723878d8c5608ace6a14
 ↓
GandCrab ランサムウェア本体
bcc344cf6ca7c33396382ccdbc0e005c
023c3ef46885f78237e98c80d6087bd2
9714f06c310c39a43c34d555de9ce8c3

【GandCrab ウイルス検出名例】
ESET Win32/Filecoder.GandCrab.F
Kaspersky Trojan-Ransom.Win32.GandCrypt HEUR:Trojan-Ransom.Win32.Encoder.gen FireflyFramer
Microsoft Ransom:Win32/GandCrab.A Ransom:Win32/GandCrab.B Ransom:Win32/GandCrab!rfn Ransom:Win32/Gandcrab.C!bit Ransom:Win32/Gandcrab.D!bit Ransom:Win32/GandCrab.E TrojanDownloader:PowerShell/GandCrab Trojan:Win32/GandCrab Trojan:Win32/GandCrab!rfn Trojan:Win32/Gandcrab.AF!bit
Symantec Ransom.GandCrab Ransom.GandCrab!g1 Ransom.GandCrab!g2 Ransom.GandCrab!g3 Ransom.GandCrab!g4 SONAR.GandCrab!gen1 SONAR.GandCrab!gen2 SONAR.GandCrab!gen3 Ransom.GandCrab!g5
Trend Micro Ransom.Win32.GANDCRAB Ransom_GANDCRAB Ransom_GandCrypt Trojan.JS.GANDCRAB Trojan.INF.GANDCRAB.AVL Ransom_Encoder

身代金ビジネスを安々と妨害されないよう、新鮮な GandCrab の亜種検体がドバドバ投入され、セキュリティソフトの対応が後手に回るのもザラです。<追って対応されたところで PC 内のファイルはすべて破壊され終えてるはず


有償製品を宣伝する詐欺サイトに注意!

ほとんでデタラメな情報で GandCrab の駆除方法を案内する 詐欺サイト がネット上に複数存在するのでご注意を。

困ったことに、詐欺サイトが Google や Yahoo! の検索結果にやたらヒットし、意味不明でメチャクチャな日本語の文章で書かれてあることも多く読む価値0です。

【宣伝目的の詐欺サイト例】
http://cleanspyware.vir.us[.]com/
http://delete-pcvirus.spyware-removal[.]org/
http://deletemalware.uninstallmalwareinfection[.]com/
http://deletepcthreats.trojanremovaltool[.]org/
http://deletespyware.uninstall-spyware[.]net/
http://deletethreat.uninstallspyware[.]org/
http://deletevirus.how2deletevirus[.]com/
http://fixpcerror.fixregistryerror[.]org/
http://getridof-malware.antispyware1[.]net/
http://japanese.malwares[.]news
http://jp.howtouninstall[.]guide
http://jp.pcmalwareremoval[.]com/
http://jp.removeallmalwarefrompc[.]com/
http://remove-pcvirus.virusremoval-tool[.]net/
http://removemalware.antivirus-software[.]biz/
http://removespyware-jp.malwareremovals[.]net
http://removespyware.makepcsafer[.]com/
http://sakujosuru[.]jp/
http://uirusu[.]jp/
http://remove-virus.malwaregrounded[.]com/
http://www.2-remove-malware[.]com/jp/
http://www.2-remove-virus[.]com/jp/
http://www.4-cybersecurity[.]com/jp/
http://www.all-virus-removal[.]com/jp/
http://www.cyber-technews[.]com/jp/
http://www.malware-fixes[.]com/jp/
http://www.malware-killers[.]com/maljp
http://www.pc-threat[.]com/jp/
http://www.pcinfectionsupport[.]com/jp/
http://www.pcviruscare[.]com/blog/
http://www.pulsetheworld[.]com/jp
http://www.removal-virusguide[.]com/jp/
http://www.removal4virus[.]com/jp/
http://www.remove-all-virus[.]com/jp/
http://www.removemalware-jp[.]com/
http://www.tips2-remove[.]com/jp/
http://www.uninstallallmalwares[.]com/
https://bestsecuritysearch[.]com/
https://delete-pcvirus.spyware-removal[.]org/
https://deletemalware[.]net/ja/
https://deletespyware.spywarescansoftware[.]com/
https://deletethreat.uninstallspyware[.]org/
https://getridof-malware.antispyware1[.]net/
https://howtoremove[.]guide/
https://japanese.malwares[.]news/
https://jp.howtoremovemalwarefrompc[.]com/
https://loaris[.]com/ja/
https://malwaresolution[.]net/ja/
https://myspybot[.]com/
https://remove-pcvirus.virusremoval-tool[.]net/
https://remove.pcninza[.]com/
https://removemalware.antivirus-software[.]biz/
https://removemalware.trojan-protection[.]com/
https://removepcthreat.clean-spyware[.]net/
https://remover-spyware.antispyware-software[.]com/
https://removevirus.upstatestyles[.]com/
https://removevirusnmalware[.]com/
https://sensorstechforum[.]com/
https://trojan-killer[.]net/ja/
https://uninstall.killingallvirus[.]com/
https://uninstallvirus.deletemalwarefrompc[.]com/
https://virus-removal-guide[.]net/ja/
https://www.2-spyware[.]com/
https://www.bugsfighter[.]com/
https://www.malwarerid[.]jp/malware/
https://www.pcmalwareexpert[.]com/jp/
https://www.pcrisk[.]com/
https://www.removemalware-jp[.]com/
https://www.uninstallallmalwares[.]com/
https://www.virusresearch[.]org/

これら 詐欺サイト の中身は、「○○ 駆除ツール」「ダウンロードの削除ツール」「Windows Scanner Tool」「無料ダウンロード」 と称して、次の実行ファイルを起動するよう仕向ける内容です。 <「Reimage Repair」「SpyHunter」


これらは海外製の有償製品なので、手動インストールしてスキャンを行っても、クレジットカード決済でライセンスの購入を催促されるだけです。 <ランサムウェア駆除作業まで進まない

関連するブログ記事
このエントリーをはてなブックマークに追加

初回投稿 2016年5月14日
最終更新 2020年4月29日

ランサムウェア感染したら復号ツール9社まとめ ファイル復元復旧

Windows PC感染でファイル暗号化ウイルスのランサムウェアに感染したら使う無料ファイル復号ツールの紹介。破壊されて開けないエクセルファイル、ワード文書、圧縮ファイル、画像、写真、動画の復旧・復号・復元・復活する方法。


Windows Vista/7/8/10 には 「ボリュームシャドウコピー」 というバックアップ機能が実装されてあり、そのバックアップのデータが消去されておらず残存しているなら、以前のファイルを復旧できる可能性があります。




ランサムウェアに感染! 無料ファイル復号ツール

一方で、Windows パソコンを感染ターゲットにするランサムウェア攻撃者に対抗して、世界中のセキュリティ会社から非営利目的で 無料ファイル復号ツール がリリースされています。

  • ランサムウェア攻撃者が摘発される
    ファイル復号鍵が置かれたサーバーを法執行機関が差し押さえる
    └ 例: CryptoLocker、CoinVault、GandCrab

  • ランサムウェアの構造的な欠陥により、ファイルを復号できてしまう
    開発者の技量不足、実装上の故意により暗号強度が必ずしも強くない
    └ 例: CryptXXX、RADAMANT、Jaff

  • ランサムウェア攻撃者自らファイルを復号できるマスターキーなどの手段を公表する
    └ 例 TeslaCrypt、CrySiS/Dharma/Wallet/Onion、Troldesh(Shade)


ファイル復号ツールがないランサムウェア

感染攻撃キャンペーン開始早々から強力な暗号方式を採用し、またはバージョンアップによって強化されてった結果、無料復号ツールのようなファイルの復旧手段がないランサムウェアも多数あります。 

× Mole Ransomware … 拡張子 .mole01 .mole00 .mole03
  <旧バージョン .mole .mole02 はファイル復号ツールあり>
× SAGE (セージ) … 拡張子 .sage
× Spora Ransomware (スポラ・ランサムウェア) … 拡張子 変更なし
× CRBR Encryptor / Cerber Ransomware v2以降 (ケルベル、サーベル)
× Locky (ロッキー) … 拡張子 .asasin .ykcol .lukitus .diablo6 .loptr .osiris など
× CTB-Locker (シーティービー・ロッカー)
× CyptoWall (クリプトウォール)
× Crypt0L0cker (クリプトロッカー)
× GandCrab バージョンによる
× Avaddon Ransomware … 拡張子 .avdn


感染したランサムウェアの種類判定サイト

身代金の支払いを要求する .txt ファイルや .html ファイル、暗号化されたファイルをアップロードすることで、感染したランサムウェアの種類/名称の判定、無料ファイル復号ツールの情報を案内する無料ウェブサービスです。 <ファイルの復号サービスではない

ID Ransomware (運営者 Michael Gillespie)
https://id-ransomware.malwarehunterteam.com/?lang=ja_JP

No More Ransom Project (運営者 ユーロポール EC3、オランダ警察、カスペルスキー、マカフィー)

Kaspersky (カスペルスキー)

イメージ 5

Ransomware Decryptor | Kaspersky Lab
https://noransom.kaspersky.com/

Rakhni Decryptor ... TeslaCryptJaff、CrySiS/Dharma/Wallet/Onion

https://support.kaspersky.co.jp/10556

Rannoh Decryptor ... CryptXXX 1.0/2.0/3.x

https://support.kaspersky.co.jp/8547

Shade Decryptor ... Troldesh/Shade

https://support.kaspersky.com/13059
https://support.kaspersky.co.jp/13059

・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』 『 [メールアドレス].wallet 』『 [メールアドレス].onion 』 に変更

Jaff は拡張子を 『.sVn』『.wlu』『.jaff』 に変更

Emsisoft

イメージ 2

Download a free Emsisoft Decrypter for the latest file encryption ransomware
https://decrypter.emsisoft.com/

・ AutoLocky は有名な Locky とはまったく異なる別の種類

・ Cry9 Nemesis Cry128 Ransomware は 「~.onion.to._」「~.onion._」など

Trend Micro (トレンドマイクロ)

イメージ 3

Using the Trend Micro Ransomware File Decryptor Tool
https://success.trendmicro.com/solution/1114221

ランサムウェア ファイル復号ツール
https://www.trendmicro.com/ja_jp/about/press-release/2016/pr-20160527-01.html

イメージ 7
TeslaCrypt CryptXXX Cerber CrySiS …

・ AutoLocky は、有名なランサムウェア Locky とはまったく異なる別の種類

・ CryptXXX(拡張子 .crypt .cryp1 .[5桁英数字]) は一部ファイルの断片的な復号のみで修復も必要、Officeファイルは復号ツールに破損を修復する処理含む

・ CryptXXX(拡張子 [32桁英数字].[5桁英数字]) はファイル名を元に戻せず、ファイルごとに2時間近く要す可能性

Cerber v1(拡張子 .cerber) は標準的な Intel Core i5 搭載マシンで数時間(平均4時間)を要し、コア数がより多いと成功率は低く、断片的な復号のみで修復も必要

・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』『 [メールアドレス].wallet 』『 [メールアドレス].onion 』に変更

WannaCry は拡張子を 『 .WNCRY 』 に変更、メモリ上の秘密鍵を検索するのでランサムウェア感染が維持されたままパソコンが再起動されてない条件があり厳しい

avast! + AVG

イメージ 6
TeslaCrypt Bart CrySiS Dharma Wallet

AVG Technologies は2016年に Avast Software に買収されたため、もとは別々に提供されてたファイル復号ツールも統合された。

Free Ransomware Decryption Tools | Unlock Your Files | Avast
https://www.avast.com/ransomware-decryption-tools

・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』 『 [メールアドレス].wallet 』に変更

BitDefender

イメージ 9


  • GandCrab v1 … 拡張子 『 [オリジナル名].GDCB 』 → 復号○
  • GandCrab v2 v3 … 拡張子 『 [オリジナル名].CRAB 』 → 復号×
  • GandCrab v4 … 拡張子 『 [オリジナル名].KRAB 』 → 復号○
  • GandCrab v5 … 拡張子 『 [オリジナル名].[ランダム英字] 』 → 一部



McAfee

イメージ 4

◆ Tesladecrypt … TeslaCrypt

◆ Shade Ransomware Decryption Tool … Troldesh/Shade

ESET

イメージ 8

◆ TeslaCrypt

◆ CrySiS/Dharma/Wallet … 拡張子 .xtbl .crysis .crypt .lock .crypted .dharma .wallet .onion


◆ GandCrab (※地理的位置で中東シリアの被害者のみ)

Qihoo 360

TeslaCrypt、CrySiS、Gryphon、GandCrab など?

360 Ransomware Decryption Tool
→ http://int.down.360safe.com/totalsecurity/FileDec/desetup_en.exe

GandCrab は拡張子を『 [オリジナルのファイル名].GDCB 』 に変更、2018年3月以降の 『 [オリジナルのファイル名].CRAB 』『 [オリジナルのファイル名].KRAB 』 のファイル復号は未対応

Quick Heal

Troldesh、CryptXXX v1、CrySiS/Dharma/Wallet/Onion

QH Ransom Decryptor Tool

関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ