無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ:日記 > ランサムウェア対策

初回投稿 2016年4月9日

<危険>リモートデスクトップRDPがランサムウェア感染経路に 身代金ウイルス被害

リモートデスクトップ RDP 経由で Windows に不正アクセスされてランサムウェアを起動する感染経路の紹介

Windows パソコンの文書、画像、圧縮アーカイブなどを暗号化して破壊した上で、ファイルを元に戻す復号ツール の購入を名目に身代金の支払いを要求する深刻な脅威 ランサムウェア。 

そのランサムウェアには、大きく 2つ のウイルス感染経路が知られてます。


《1》 Eメールでランサムウェア感染

”支払い請求書” とか ”荷物の配達通知” みたく装った迷惑メールの添付ファイル、あるいはメール本文中の URL から入手した不正なファイルを Windows ユーザーさんが普通にダブルクリックして開き、ランサムウェアに自爆感染するパターンです。





《2》 ネットサーフィン中にランサムウェア強制感染




遠隔操作でランサムウェア感染被害

ただ、上の2つに該当しない ランサムウェア感染経路 として、攻撃者がネットワーク越しに Windows へ不正アクセスして、遠隔操作(リモートアクセス)でマルウェアを送り込み手動感染 させるおっかない手口があります。
 
この攻撃は、正規に提供されているリモートアクセス機能を悪用する方法です。


《 ランサムウェア感染パターン1 》

便利で有名なツールも攻撃手段として悪用されると危険な凶器に…。

外部からの PC 遠隔操作を目的として、正当に提供されてる リモートコントロールソフト を介して、ランサムウェアを強制的に感染させる手口が確認されています。

  • Splashtop by Splashtop Inc

  • TeamViewer by TeamViewer GmbH

  • LogMeIn by LogMeIn, Inc

● TeamViewer を介したランサムウェア感染に関して
TeamViewerは数多くのユーザーに利用されているソフトウェアであるため、多くのインターネット犯罪者が闇サイトなどで入手したアカウントのデータにログインし、それらアカウントの認証情報に合致するTeamViewerアカウントがないか確認しようとします。この場合、犯罪者は割り当てられたデバイス全てにアクセスし、マルウェアやランサムウェアをインストールしようとすることができます。
https://wwwold.teamviewer.com/ja/press/statement-on-ransomware-infections-via-teamviewer.aspx


《 ランサムウェア感染パターン2 》

攻撃を喰らう前提として、定例更新の Windows Update を実施してない環境です。

中でも、2017年3月のセキュリティアップデートで対処されていた SMB(Server Message Block)の脆弱性 MS17-010 を悪用した攻撃が有名です。

その代表例として、2017年5月にメディアを騒がせた世界的なサイバー攻撃 WannaCry ランサムウェア で、日本国内でも感染被害が発生しました。 <米国曰く北朝鮮のグループが関与?

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス - Microsoft
CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。
https://msrc-blog.microsoft.com/2017/05/14/


《 ランサムウェア感染パターン3 》

Windows OS のビジネス向けエディション、あるいはサーバー向けの Windows Server に標準実装されている接続機能 リモートデスクトップ(RDP) を介して、ランサムウェアを感染させる手口です。

イメージ 1
リモートデスクトップ RDP が搭載されてる設定画面

【リモートデスクトップ RDP 搭載 OS】
Windows 10 Pro
Windows 8.1 Pro
Windows 7 Professional / Ultimate
Windows Server 2008 / 2012

主に一般家庭向けの Windows エディションには、リモートデスクトップ(RDP)は搭載されておらず影響しません。

イメージ 3
[リモートアシスタント] の下に項目が存在しない

【リモートデスクトップ RDP 未搭載 OS】
Windows 10 Home
Windows 8.1 Home
Windows 7 Home Premium

リモートで遠隔感染するランサムウェア例

マルウェアの感染間口の広さから被害者が続出する ランサムウェア とは違い、局所的に被害が発生するマイナーな ランサムウェア が暗躍する傾向が多いです。

eda2 … オープンソースのランサムウェア
└ Magic Ransomware
└ Fantom Ransomware
CrySiS/Dharma/Wallet ランサムウェア
《ファイル拡張子》 ~.[メールアドレス].[拡張子]
《メールアドレス》 @india.com @aol.com @qq.com @plague.life
《脅迫文ファイル》 .phobos .java .arena .onion .wallet .dharma .zzzzz .CrySiS .xtbl
※攻撃者が復号鍵を公開した一部バージョンのファイル復号ツールあり
Apocalypse ランサムウェア
《ファイル拡張子》 .crypted_file
Surprise Ransomware / Kangaroo Ransomware
CryptON / Cry9
└ NEMESIS Ransomware / Cry128
《ファイル拡張子》 ~.fgb45ft3pqamyji7.onion.to._ ~kgjzsyyfgdm4zavx.onion.to._ ~2irbar3mjvbap6gt.onion.to._ ~gebdp3k7bolalnd4.onion._
《脅迫文ファイル》  _DECRYPT_MY_FILES.txt
※ 暗号化されたファイルのクラックで一部バージョンのファイル復号ツールあり

└ UIWIX Ransomware
《ファイル拡張子》 ~.UIWIX
《脅迫文ファイル》 _DECODE_FILES.txt
WannaCry
《ファイル拡張子》 ~.WNCRY
BTCWare
《ファイル拡張子》 「~.[メールアドレス].crypton」「~.[メールアドレス].aleta」「~.[メールアドレス].master」「~.[メールアドレス].theva」「~.[メールアドレス].onyon」「~.[メールアドレス].cryptowin」「~.[メールアドレス].cryptobyte」「~.[メールアドレス].btcware」
《脅迫文ファイル》 !## DECRYPT FILES ##!.txt !#_READ_ME_#!.hta !#_READ_ME_#!.inf #_RESTORE_FILES_#!.inf !#_DECRYPT_#!.inf #_README_#.inf
※ 攻撃者が復号鍵を公開したため一部バージョンのファイル復号ツールあり
GlobeImposter
《ファイル拡張子》 ~.oni
《脅迫文ファイル》 !!!README!!!.html
Amnesia Ransomware
《ファイル拡張子》 ~.[メールアドレス].scopio ~.[メールアドレス].scrab ~.amnesia
《脅迫文ファイル》 IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT / HOW TO RECOVER ENCRYPTED FILES.TXT
Zeropadypt Ransomware
《ファイル拡張子》 ~.[ID=*][Mail=*@*].limbo ~.[ID=*][Mail=*@*].Lazarus ~.[ID=*][Mail=*@*].Lazarus+
《脅迫文ファイル》 Read-Me-Now.txt DECRYPTION_GUIDANCE.txt

〔注意〕
こららランサムウェアに関連するキーワードで Google や Yahoo! を調べると、セキュリティ情報を装って海外製の迷惑ソフト Reimage RepairSpyHunter 5WiperSoft のダウンロードを仕向ける詐欺サイトが検索結果にヒットします。

ランサムウェア遠隔感染のウイルス対策

この手のランサムウェア攻撃の原因は次のようなところ?

  1. 未使用なのに、RDPリモートデスクトップを有効にしたまま放置している
    使う場面もなく、リモートコントロールソフトを起動したまま放置している

  2. 設定されてるパスワードがテキトーすぎて総当りブルートフォース攻撃で破られる

  3. いろんなウェブサービスで同一のパスワードを流用して使い回している
    → 外部流出したアカウント情報で PC へ不正アクセスされる

ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル) - Sophos
攻撃者が一度に 1 台ずつコンピュータに侵入して、ユーザーが Word やメモ帳、あるいはゲームの「ソリティア」を使用するときのように手動でクリックをしてランサムウェアを実行するという手法です。
https://nakedsecurity.sophos.com/ja/2017/11/15/

RDP経由のブルートフォース攻撃を確認、暗号化型ランサムウェアCRYSIS - トレンドマイクロ
攻撃者は、一般的に使用頻度の高いユーザ名とパスワードを利用してログインを試みます。正しいユーザ名とパスワードの組み合わせを探し当てると、攻撃者は、通常、短期間のうちに何度もアクセス接続し、PCを感染させます。このような繰り返しの作業により、通常数分で感染に成功します。
https://blog.trendmicro.co.jp/archives/14451

400万台を超えるWindows PCがRDP経由の脆弱性にさらされている - Cylance
RDPをサポートしているすべてのWindowsクライアントおよびサーバーバージョンでは、RDPはデフォルトでは無効化されています。それにもかかわらず、Rapid7によるソナー調査では、約1100万ものWindowsエンドポイントでポート3389が開いていて、そのうちの410万台のPCでは「何らかの形でRDPでの通信」が行われていたことが判明しました。(日本には6万1,024台)
https://www.cylance.com/ja_jp/blog/jp-over-four-million-windows-pcs-vulnerable-through-rdp.html

リモートデスクトップサービス(RDS)に関する通信の検知状況 - IBM Tokyo SOC
攻撃者はRDSが稼働するホストを洗い出した後、RDP経由でブルートフォース攻撃を行い、Windowsログオンに必要なユーザー名とパスワードの取得を試みます。この攻撃はNcrack, Hydra, crowbar等のオープンソースのツールを用いて比較的容易に実行が可能です。また入手したユーザー名やパスワードをインターネット上で販売し金銭に換える行為も確認されています。
https://www.ibm.com/blogs/tokyo-soc/rdsvulns2019/


リモートデスクトップ接続

Windows の コントロールパネル → [システム] → [リモート]タブ を開き、リモートデスクトップ の [このコンピュータへの接続を許可しない(D)] にチェックマークが入っていて無効になってることを確認します。

リモート デスクトップ接続を使用して別のコンピューターに接続する
https://support.microsoft.com/ja-jp/help/17463/

リモートデスクトップ RDP を利用する場合は、セキュリティ対策としてデフォルトのポート番号 3389 から変更します。

Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する - @IT
リモートからいつでも自宅の環境へリモート・デスクトップ接続できるようにしているユーザーは要注意である。ブロードバンド接続環境の普及により、出先のモバイル環境から常に自宅へログオンできるように備えているユーザーも増えているようである。しかしリモート・デスクトップ接続では、結局のところ、ユーザー名とパスワードさえ一致すれば、簡単にログオンすることができる。これは非常に危険な状態であるといえる。
https://www.atmarkit.co.jp/ait/articles/0309/27/news003.html


適切なパスワードの設定を厳重に

最悪のパスワードとして危険! ゼッタイにダメッ!

  • 辞書にある英単語
    password admin administrator server test user account desktop database guest …

  • 英数字の羅列、キーボードの配列
    111111 123456 aaaaaa qwerty abcdef abc123 …

● Windowsサーバーを狙ったランサムウェア感染被害が発生 - IPA
「Windowsサーバー内のファイルが暗号化された」というランサムウェア感染被害と考えられる相談や届出が寄せられています。Windowsサーバー内のファイルが暗号化されてしまった原因には、パスワード設定の不備があり、その結果Windowsサーバーに不正ログインされてしまい、ランサムウェアに感染させられてしまったと考えられます。
https://www.ipa.go.jp/security/anshin/mgdayori20170427.html

インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起 - JPCERT
インターネットからアクセス可能な状態になっている PC やサーバ等において、適切なセキュリティ対策が行われていない場合、攻撃者に悪用され、組織内のネットワークへの侵入や、他のネットワークへの攻撃の踏み台として使われる危険性があります。
https://www.jpcert.or.jp/at/2017/at170023.html
https://www.jpcert.or.jp/pr/2016/pr160001.html


ランサムウェア感染ではないけれど、だいぶ前の2011年に RDPリモートデスクトップ経由でワーム拡散の注意喚起です。

● Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起 - JPCERT
TCP 3389番ポートへのスキャンが 2011年8月中旬より増加していることを、インターネット定点観測システム において確認しています。これらのスキャンの原因は特定できておりませんが、Windows が使用する RDP (Remote Desktop Protocol) のサービスが待ち受けているポートを対象にスキャンを行い、その後パスワードクラックを行うマルウエア (Morto) の可能性が考えられます。
https://www.jpcert.or.jp/at/2011/at110024.html

● マルウェア Morto に見る、強固なパスワードの重要性 – マイクロソフト
Windows の脆弱性は悪用せず、リモート デスクトップ接続で、よくある簡易なパスワードを使って ローカルネットワーク上の他の PC にログインし感染を試みるのが特徴です。一旦感染すると、システムは攻撃者に乗っ取られる可能性があります。今後もリモート デスクトップ接続のような正規の通信で、脆弱なパスワードで侵入するようなマルウェアが発生する可能性が考えられます。
https://blogs.technet.microsoft.com/jpsecurity/2011/09/06/

遠隔操作できる Windows PC の情報を売買!?

セキュリティ会社の記事によると、何万台にも及ぶ遠隔操作できる Windows サーバーの情報を売り買いする闇サイトなんてものが存在するとか。

● xDedic:不正入手された情報の取引フォーラムが、新たな攻撃の足がかりにも - カスペルスキー
活発な活動を見せているサイバー犯罪者の取引フォーラム、xDedicの実態を調査しました。xDedicの主たる目的は、世界中でハッキングされた70,000台以上のサーバーの認証情報を手軽に売買可能とすることです。いずれのサーバーも、Remote Desktop Protocol(RDP)経由でアクセスできます。
https://blog.kaspersky.co.jp/xdedic/11748/

システムのバックドアを襲うRDP攻撃の詳細 ダークウェブではたった10ドルで取引 - マカフィー
ダークウェブには、ハッキングした機器にアクセスするリモートデスクトッププロトコル(RDP)をオンライン上で販売するRDPショップがあります。そこでコンピュータシステムへのログイン情報を購入すれば、都市の機能を停止させたり、大企業の活動をマヒさせたりすることもできるのです。
https://blogs.mcafee.jp/rdp-attacks-analysis

試しに、検索エンジン Shodan を使って 「3389 ポート」 を確認してみたら、ネットワーク越しにアクセスできうる日本国内の Windows マシンが結構ヒットするよね~。

イメージ 4

次のスクリーンショットは Shodan 上に掲載されていた日本語環境な Windows ログイン画面たちです。

イメージ 7
Administrator アカウント

イメージ 8

イメージ 9
ボカしているけど日本人の男性名

イメージ 5

イメージ 6

このログイン画面で、仮にも推測できるいい加減なパスワードが設定されていると…。

第三者がいともたやすく PC にログインでき、最初にセキュリティソフトを動作停止 or アンインストールすれば、任意のプログラム (ウイルス、スパイウェア、ランサムウェアなど) を何ら妨害されることなく自由に起動させることができます、

パソコンを乗っ取り放題、情報を引っこ抜き放題、とにかくヤバい。 <正々堂々と真正面から PC に侵入できる

関連するブログ記事

このエントリーをはてなブックマークに追加

初回投稿 2015年6月24日
最終更新 2020年4月29日


Troldesh/Shadeランサムウェアでファイル開けないウイルス感染被害

イメージ 6

種類が分からないけど、「ランサムウェア(身代金要求ウイルス) に感染した!」 というお話が2015年6月に Yahoo!知恵袋に投稿されています。 CryptoWall ランサムウェア ではない

PC内の画像と音楽がすべてXTBL ファイルに変換されてしまいました。最近ソフトなどダウンロードした記憶もないのですが、ウイルスなどに感染してしまったのでしょうか?少し心辺りがあるとすれば、ネットをしていたらPCが急に重くなったので、タスクマネージャーからプロセスの終了を一つしました。system Idel Processというやつの次に使われていたやつです。・・・名前は忘れてしまいました。そして再起動したところ、デスクトップの画像が変な英文字になって、一部のアイコンも英文字になってしまっていました。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14146497464

検索してみると、同一のランサムウェアを喰らったであろう被害者さんの投稿が2015年5月付けで 2ch にありました。

イメージ 1

これでDドライブやれれたわ ファイルが暗号化されてXTBLやYTBLって拡張子にされる ソースコードやベタテキストなんかのテキストファイルや圧縮ファイルがことごとく暗号化されてた
https://fox.5ch.net/test/read.cgi/poverty/1430733966/

このランサムウェア感染で変更された拡張子 「XTBL」 でググってみると?

とにかく、ロシア語 で書かれた海外サイトがかなり大量にヒットし、さらにロシアのセキュリティ会社(カスペルスキー、Dr. Web)の公式フォーラムには、感染被害者さんの悲鳴と思しき投稿で溢れ返っていました。

ファイル暗号化ランサムウェアの種類 Troldesh/Shade ウイルス

セキュリティ会社が名付けたウイルス検出名は?

  • Troldesh

  • Shade

この Troldesh / Shade ランサムウェアは、Windows XP/Vista/7/8/10 パソコンを感染ターゲットにしたマルウェアで、ランサムウェア自らはユニークな名前を名乗っておりません。

【Shade/Troldesh ウイルス検出名例】
ESET Win32/Filecoder.ED Win32/Filecoder.Shade.A Win32/Filecoder.Shade.B Win32/Filecoder.Shade.C Win32/Filecoder.Shade.D Win32/Filecoder.Shade.E Win32/Filecoder.Shade.F
Kaspersky Trojan-Ransom.Win32.Shade
Microsoft Ransom:Win32/Troldesh.A Ransom:Win32/Troldesh.B Behavior:Win32/Troldesh.gen!A Ransom:Win32/Troldesh!rfn Ransom:Win32/Troldesh.C Ransom:Win32/Troldesh.D Ransom:Win32/Troldesh.E!bit Behavior:Win32/Troldesh.C!rsm Behavior:Win32/Troldesh.B!rsm Trojan:Win32/Shade!rfn
Symantec Trojan.Ransomcrypt.T Ransom.Troldesh Ransom.Troldesh!gm
Trend Micro RANSOM_SHADE RANSOM_TROLDESH RANSOM_CRYPSHED TROJ_CRYPSHED Ransom.Win32.SHADE Ransom.Win32.CRYPSHED

マイクロソフトの2015年8月時点のセキュリティ情報では、ランサムウェアの検出上位国はロシア(80%)、ウクライナ(9%)だそうです。

Emerging ransomware: Troldesh - Microsoft
https://blogs.technet.microsoft.com/mmpc/2015/08/09/

カスペルスキーの2015年9月時点のセキュリティ情報では、ランサムウェアの検出上位国はロシア(70%)、ドイツ(8%)、ウクライナ(6%)としています。

The Shade Encryptor: a Double Threat - Kaspersky
https://securelist.com/the-shade-encryptor-a-double-threat/

ロシアに隣接するウクライナは旧ソ連圏の国であり、世界全体で見てもロシアの地域でかなり流行するランサムウェアと考えて間違いないでしょう。


スマホはランサムウェア感染大丈夫?

Windows パソコン以外の環境は Troldesh / Shade ランサムウェアはいっさい動作しません。 <無関係で大丈夫

macOS
Android スマホ
iOS (iPhone / iPad)
ガラケー

ウイルス対策は? ランサムウェア感染経路はメールとサイト閲覧

Troldesh / Shade ランサムウェアの感染経路はドコ?

2つの大きな感染ルートが投入されており、その攻撃手口にガッツリ沿ったウイルス対策をあらかじめ実施しておくことが Troldesh / Shade ランサムウェアの感染被害を確実に回避するポイントです。


【1】 ウイルス添付の迷惑メール

迷惑メール(スパムメール)に添付されている不正なファイル をダブルクリックして開いて、ランサムウェア Troldesh / Shade の自爆感染となるパターンです。


ロシアで流行るランサムウェアであるにも関わらず、この Troldesh / Shade ランサムウェアの感染を意図して、日本国内のユーザーを狙い 日本語表記の迷惑メール(スパムメール) が2016年4月に確認されています。




セキュリティ会社は後を追う形なので、対応が後手に回る場合すらあるセキュリティソフトにすべてを託してはいけません。

ウイルスメール起点の Troldesh / Shadeランサムウェア感染攻撃を失敗へと導く対策がコチラ♪

  1. スクリプトファイル js .vbs の感染を防ぐ無料ウイルス対策
    http://fireflyframer.blog.jp/19064102.html

  2. マクロウイルス xls doc docm の感染を防ぐ無料ウイルス対策
    http://fireflyframer.blog.jp/19063931.html

  3. ウイルス感染を防ぐ Windows ファイアウォールの設定
    http://fireflyframer.blog.jp/19064221.html


【2】 ネットサーフィン中の強制インストール

単純に ネットサーフィンでサイトを見る という何ら変哲もない行為をしていただけで、確認場面なく Troldesh / Shade ランサムウェアが強制インストールされる悲惨な感染パターンです。

  • 企業や個人が管理する一般サイトが改ざんされてランサムウェアを配信する

  • ランサムウェア感染を行う不正な攻撃処理が広告配信システムに流れてくる

この手口は、セキュリティ用語で ”ドライブバイ・ダウンロード攻撃” と呼ばれています。

ただ、このパターンのランサムウェア感染被害は、ウイルス感染条件2つのうちいずれか1つに該当していることが必須なので、お金をかけない ウイルス対策でランサムウェア感染防止 が簡単にできますよー。

  1. 定例更新の Windows Update は実施できていますか?
    (Windows OS、Internet Explorer 11、Microsoft Edge などの更新)
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player は最新版に更新できていますか?
    https://get.adobe.com/jp/flashplayer/about/

それこそ、セュリティソフトの導入でウイルス対策効果が完璧 と思い込んみ、ランサムウェアの感染経路がガバガバの放置状態なら、Troldesh / Shade ランサムウェアに殺られてしまうでしょう。

Troldesh / Shade ランサムウェア感染症状

手元の Windows 環境で、実際に Troldesh / Shade ランサムウェアの動作確認をしてみました。 

【ファイル】
C:\ProgramData\Windows\csrss.exe
└ フォルダーの属性  「隠しファイル」

イメージ 2
レジストリに起動用パラメータ

【Windows レジストリ】
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → Client Server Runtime Subsystem
データ → C:\ProgramData\Windows\csrss.exe

csrss.exe ファイル!?

実はこれは、Windows のシステムフォルダーに最初から存在する正規の実行ファイル 「C:\Windows\System32\csrss.exe」 と同一のファイル名を名乗っていて、嫌らしい ”成りすまし” です。


開けない! 暗号化されたファイル

Troldesh / Shade ランサムウェアによって暗号化で破壊されたファイルは、元の種類・形式がサッパリ分からないメチャクチャな文字列に切り替わります。

ファイルの異変に気づくのは容易だろうけど、残念ながらファイルが破壊済みなので 「後の祭り」 でしょう。

イメージ 4
暗号化で破壊されたファイル名や拡張子

  • ファイル名
    → ランダムな英数字で破壊 (異様に長く文字数45文字ほど)

  • ファイルの拡張子
    → .crypted000007 .crypted000078 .no_more_ransom .better_call_saul .breaking_bad .da_vinci_code .xtbl など

イメージ 5
暗号化対象のファイルの拡張子 350種ほど

※ 暗号化ファイル名を 『 [@aol.com/@india.com などメールアドレス].xtbl 』 に変更するランサムウェアが確認されているけれど、ランサムウェアの種類、感染経路がリモートデスクトップ(RDP) の別モノです。


■ Troldesh / Shade ランサムウェア脅迫文ファイル

脅迫文のメッセージとして、同じ中身でテキストファイルが10個も作成されます。

その脅迫文の中身は、まず1番目の言語として ロシア語、次に2番目の言語として 英語 で併記されてある特徴があり、ロシアでの感染が大前提となっているランサムウェアです。

【ランサムウェア脅迫文ファイル】
README[数字1~10].txt
(README1.txt README2.txt README3.txt README4.txt README5.txt README6.txt README7.txt README8.txt README9.txt README10.txt Firefly)

イメージ 3
ロシア語が文字化けするのでブラウザで確認

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
[数字]
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции. 
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
[数字]
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
http://fireflyframer.blog.jp/19063910.html
Baшu фaйлы былu зашuфрoвaны.
Чтoбы paсшифpoвать ux, Baм нeобходuмо оmпpaвить kод:
[数字]
на элеkтpoнный адpеc Novikov.Vavila@gmail.com .
Дaлее вы пoлучиme всe неoбходuмые инсmpyкции.
Пonыmku pасшuфpовaть caмocтояmeльнo не пpuвeдут нu к чeмy, крoме бeзвoзврaтной пoтeри uнфopмaции.
Eсли вы вcё жe хoтuте noпытaтьcя, то nрeдвapumельно cдeлайте peзepвные коnиu фaйлoв, uначe в слyчае
uх изменeнuя раcшифровka cmанeт невoзможнoй ни nри каkuх уcлoвuяx.
Еслu вы не nолyчuли omвemа пo вышеукaзaнному aдpecy в mечение 48 чaсoв (u тoльkо в этом случae!),
вocпoльзуйтесь фоpмой обpатной cвязu. Эmo можнo сдeлаmь двyмя cnосoбaмu:
1) Ckaчайmе u уcтанoвuте Tor Browser пo сcылке: https://www.torproject.org/download/download-easy.html.en
В aдpeснoй сmpоке Tor Browser-a ввeдuтe адрес:
u нажмumе Enter. 3arpузumся cmрaнuца с фopмой обpamной связи.
2) В любoм бpаузeрe nеpейдuтe по однoмy uз aдpеcов:
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
[数字]
to e-mail address Novikov.Vavila@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://fireflyframer.blog.jp/19063910.html

このテキストには、具体的な身代金の金額について、まったく触れられていません。

メールか入力フォームで問い合わせるよう誘導しており、セキュリティ会社の情報によると、攻撃者側と金額についてやり取りを行った上で値切り交渉もできるそう。


Windows デスクトップの壁紙変更

真っ黒の背景、赤い文字でロシア語と英語の文章が記載されています。

ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.
ATTENTION!
All the important files on your disks were encrypted.
The details can be found in README.txt files which you can find on any of your disks.



<2016年7月 追記...>

EC3 欧州サイバー犯罪センター、オランダ国家警察、米 Intel Security(マカフィー)、ロシア Kaspersky の4団体の協業で nomoreransom.org というセキュリティ啓発団体を立ち上げて、その成果物として Troldesh / Shade 向けの ランサムウェア復号ツール が無料で公開されました。

Intel Security Teams With Industry, Law Enforcement to Thwart 'Shade' Ransomware - McAfee
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-teams-industry-law-enforcement-thwart-shade-ransomware/

ShadeDecryptor もう身代金は払わない – カスペルスキー
https://blog.kaspersky.co.jp/shade-decryptor/12072/

ただ、これ以降もランサムウェア攻撃者側が対抗により、復号できない新しい Troldesh / Shade ランサムウェアの亜種が投入されている模様です。




<2020年4月 追記...>

いったい何があった…?

Troldesh / Shade ランサムウェアの開発者を名乗るグループ 「shade-team」 は、2020年4月25日に GitHub 内にページを作成して、感染被害者に謝罪するとともに開けないファイルを元に戻せる復号鍵を公開した、とのこと。

”我々は、「Shade」 「Troldesh」 「Encoder.858」 として知られていて、暗号化を行うトロイの木馬を作成したチームです。実際、我々は2019年末にその配布を停止しています。無題な濃いログ
現在、この話の終着点に至り、我々が持っている復号鍵 (全部で75万以上) のすべてを公開することを決めました。我々は復号化ツールも公開しています。また、セキュリティ会社が使いやすい復号化ツールを提供してくれることを望みます。無題な濃いログ
我々の活動に関連するその他のすべてのデータ (トロイの木馬のソースコードを含む) は取り返しのつかないほど破壊されました。トロイの木馬のすべての被害者にお詫びするとともに、私たちが公開した鍵がデータの回復に役立つことを願っています。”
https://github.com/shade-team

Threat actors release Troldesh decryption keys - Malwarebytes
https://blog.malwarebytes.com/ransomware/2020/04/threat-actors-release-troldesh-decryption-keys/

この展開を受けて、ロシアのセキュリティ企業カスペルスキーは、以前から提供していた無料ファイル復号ツール ShadeDecryptor を2020年4月30日に更新し、対応を完了しています。

> https://support.kaspersky.com/13059

関連するブログ記事

このエントリーをはてなブックマークに追加

<安全>マイクロソフト配布のランサムウェアウイルスに感染してみた

マイクロソフトが提供するWindows向けランサムウェアウイルスな実行ファイル validatecloud.exe を起動して感染してみた時の症状を画像つきで紹介します

Windows 10 に実装されている無料ウイルス対策ソフト Windows Defender には クラウド検出機能 というセキュリティ防護層が用意されてあります。

そんなクラウド検出機能の動作確認をしたいユーザーさん向けに、マイクロソフト自らが 疑似マルウェアファイル なるブツを公開していますよ。 

イメージ 4

Windows Defender ウイルス対策のネットワーク接続の構成とテスト - Microsoft
Microsoft から疑似マルウェア ファイルのダウンロードを試みる
クラウドに正しく接続されている場合は、Microsoft Defender ウイルス対策によって検出およびブロックされるサンプルファイルをダウンロードできます。このファイルは、実際のマルウェアではありません。 正しくクラウドに接続しているかどうかをテストするために作成されたダミー ファイルです。正しく接続されている場合は、Microsoft Defender ウイルス対策通知が表示されます。
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-network-connections-windows-defender-antivirus


ランサムウェア? 実行ファイルの詳細

マイクロソフトからダウンロードした Windows 向け実行ファイル (拡張子 .exe) のスクショ画像がコチラ!

イメージ 1
validatecloud.exe

123,456 バイト
MD5 65a53a41217ff82d23d3571dbb7f5898
SHA1 a7bf4809d0a968682b1194eff3a71ce3d8aba744

123,456 バイト
MD5 0593891cb9089455ba2567443be40dce
SHA1 76a888abc8c7a8dab91d2949030857312f652866

123,904 バイト
MD5 46111892fbe80afea272d8601d72f275
SHA1 46a01aa999843c55eb8ef7031c1db0d23ee30342

何か怪しそう…。

いちおう、Windows PC に損害を与えないマイクロソフト謹製で危険性のない無害ファイルであるにも関わらず、マイクロソフト以外のセキュリティソフトが validatecloud.exe をトロイの木馬ウイルスで脅威扱いにする場合があります。 

ESET MSIL/Hoax.FakeFilecoder.CX
BitDefender Gen:Variant.Application.Joke.3
Kaspersky Trojan-Ransom.MSIL.Agent.aaz HEUR:Hoax.MSIL.FakeRansom.gen

なお、実行ファイル validatecloud.exe の説明欄には 「BaFS Sample」 とあり、由来は何でしょ? <分からんかった

イメージ 5

感染するとドクロマークでファイル暗号化!?

実行ファイル validatecloud.exe をポチポチッとダブルクリックして起動すると ”ウイルス感染”の症状は?

手元で動作確認してみところ、事前知識なしだと 『ファイルを暗号化するコンピュータウイルスに感染して身代金の支払いを要求されている~! (悲鳴)』 と誤解しかねない恐怖のウィンドウ画面が表示されました。 

イメージ 2
マイクロソフト製ランサムウェア???
真っ赤なドクロマークでビックリ仰天!

File "Protection" Service
Your files will be permanently deleted in:
23:XX:XX
Encrypting Hard Drive
[Decrypt Files]
Requires encryption key. Click "Pay Now" to buy your key.
[Contact Us] [Pay Now]

ウィンドウ画面上ではソレっぽい演出として、次のような動くアニメーションが用意されてありました。

  • 「あなたのファイルは永久に削除される」 として24時間カウントダウン

  • 「ハードドライブを暗号化中」 として進捗状況バーがビヨ~ンと伸びる


ただ、このプログラムが疑似マルウェアであるとフォローする説明はなく、マイクロソフトが配布している事実を知らないと、まんま 「作りかけの未完成ランサムウェア」 か 「笑えないジョークプログラム」 にしか見えんです。 

内部構造的にランサムウェアやウイルスとして振る舞う動作はなく、ウィンドウ右上の☓ボタンで ”ランサムウェア” は何なりと終了できるからご安心を。

関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ