無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ:日記 > ランサムウェア対策

Merry X-Masランサムウェア感染 ファイル開けない拡張子変更ウイルス

イメージ 3

Google Chrome ブラウザを使うユーザーを狙って、もっともらしくフォントのダウンロードを誘う偽通知でユーザーを騙し、ランサムウェアを手動で実行させる巧妙すぎなウイルス感染攻撃の補足です。


配信されたマルウェアの1つが、Merry X-Mas Ransomware / Merry Christmas Ransomware と呼ばれる 身代金型ウイルス になります。 

【回収した実行ファイル ウイルススキャン例】
595d9f59c8cad55892fb71ee8f6c371b
www.virustotal.com/ja/file/9606691fd1cb19fcc8ba2736dde49f94c09172f3d9b48963133f4809558be75d/analysis/1485329026/

3504523e2b4e02bfaf9409c47174e778
www.virustotal.com/ja/file/e2c8eb9907bdeeb12f8965be73883e25eaec19c89cf1feca1d6d1094587fe9e9/analysis/1485507647/

df9cd5d0be7670dfe3a564aed41f95d4
www.virustotal.com/ja/file/f7b4b328ccd94627d7b9c249055274cc534342699e04e42ba6e8d645663db252/analysis/1485685497/

Trend Micro Ransom_Exmas
Microsoft Ransom:Win32/Exmas

手元の Windows パソコンで動作確認してみるも、(仮想環境で感染させたからか)文書や画像を暗号化する破壊処理はなぜか行われず…? <ひとまずランサムウェアをメモリダンプしてユニークな文字列を確認

イメージ 2

onion2[.]host/forum/index.php … C&Cサーバー
MERRY … 暗号化済みファイルの拡張子
MERRY_I_LOVE_YOU_BRUCE.HTA … ファイル破壊後の脅迫ファイル

ランサムウェア感染後に表示される脅迫ウィンドウは次のようになり、米国のアニメ 「フューチュラマ」 に登場するキャラクターのイラストが描かれてます。

イメージ 1
ロボットサンタ & 爆弾

【脅迫画面のメッセージ】
Merry X-Mas!
YOUR CLIENT-ID: [英数字]
YOUR FILES ARE ENCRYPTED!
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
To restore files and retrieve decryptor contact us
TELEGRAM @comodosecurity
EMAIL {comodosec@india.com / comodosec@yandex.com}
ALL FILES WILL BE DESTROYED AFTER:


無料ランサムウェア ファイル復号ツール

暗号化する処理に脆弱性があるようで、セキュリティ会社から暗号化ファイルを元に戻して復旧する無料ファイル復号ツールがリリースされてます。

Emsisoft Decrypter for MRCR - Download a free Emsisoft Decrypter for the latest file encryption ransomware ".PEGS1", ".MRCR1", ".RARE1", ".MERRY", or ".RMCM1"
https://decrypter.emsisoft.com/mrcr

Merry X-Mas Ransomware Decryption Tool - Check Point
https://blog.checkpoint.com/2017/03/14/

関連するブログ記事
このエントリーをはてなブックマークに追加

CRBR Cerberランサムウェアは2つの感染経路 無料ウイルス対策で被害防止

{{{ 2017年6月 更新 }}}

イメージ 9
Cerber 感染後のデスクトップ壁紙

2016年2月に投入された深刻な脅威 Cerber Ransomware / CRBR Encryptor は Windows XP/Vista/7/8/10 パソコンを感染ターゲットにする ランサムウェア の1つです。

画像や文書など特定の拡張子を持つファイルを暗号化して破壊し、この状態を復旧するファイル復号ツール Cerber Decryptor / CRBR Decryptor の購入を名目に仮想通貨ビットコインで身代金を支払うよう要求します。

なお、動作環境ではない Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は関係ないので大丈夫です。

神話上の怪物をモチーフ

イメージ 1
Cerber ウイルスのロゴマーク

このウイルスは3つの顔を持つ猛犬のキャラクターとして描かれる神話上の怪物 「ケルベロス」「サーベラス」 をモチーフに Cerber(読み方 ケルベル/サーベル) と名付けられたようです。

感染被害は、2016年7月だけでも、201の国および地域で約15万件確認されています
Cerberキャンペーンによる収益は、2016年7月だけで19万5,000ドルに上ります。そのうち、開発者の取り分は約7万8,000ドル。残りは、各キャンペーンでの感染件数や身代金支払額に応じてアフィリエイトに分配されます。
www.checkpoint.co.jp/threat-cloud/2016/08/cerberring.html


セキュリティ会社 Check Point によると、要求に屈した被害者からかすめ取った身代金で Cerber の攻撃者は月に19万5,000ドルも稼いだとか。 <日本円で2,000万円以上の大金

偽セキュリティブログに注意

ランサムウェアの駆除方法を紹介するかのよう装い、実際にはユーザーを騙して有償製品のダウンロードを誘導する偽セキュリティブログが存在するのでご注意を~。 <日本語の文章は機械翻訳なのでメチャクチャなこと多し
【偽セキュリティブログ例】
http://www.tips2-remove[.]com/jp/
http://www.2-remove-malware[.]com/jp/
http://www.uninstallallmalwares[.]com/
https://www.removeuninstallpcmalware[.]com/
http://www.4-cybersecurity[.]com/jp/
http://www.malwarerid[.]jp/
http://sakujosuru[.]jp/
http://uirusu[.]jp/
http://soft2secure[.]jp/
http://www.2-remove-virus[.]com/jp/
http://www.cyber-securitylab[.]com/jp/
https://howtoremove[.]guide/
https://sensorstechforum[.]com/

脅迫文ファイルと暗号化ファイル

脅迫文ファイル

デスクトップや各フォルダに HTMLアプリケーション(拡張子 .hta)、テキストファイル、HTMLファイル を出力し、その内容はランサムウェアの脅迫文です。 <日本語、英語、中国語、韓国語、アラビア語など計13言語に対応

イメージ 11
感染後に開かれる.htaファイル

【脅迫文ファイル】
_R_E_A_D___T_H_I_S___[英数字]_.hta / _READ_THIS_FILE_[英数字]_.hta / _!!!_README_!!!_[英数字]_.hta / _READ_THI$_FILE_[英数字]_.hta / _HELP_HELP_HELP_[英数字]_.hta / _HOW_TO_DECRYPT_[英数字]_.hta / _README_[英数字]_.hta / README.hta FireflyFramer


イメージ 10
脅迫文ファイルの画面 _R_E_A_D___T_H_I_S___

CERBER RANSOMWARE: Instructions
CRBR ENCRYPTOR: 
Instructions
説明書
必要なファイルが、見つかりませんか?
ファイルの内容が、読み取れませんか?
ファイル名およびファイルの内容が "Cerber Ransomware" によって暗号化されているので、それは正常です。つまり、ファイルが壊れているわけではありません! ファイルが変更されているだけです。 この変更は、元に戻せます。 ここからは、復号化しない限り、ファイルを使えなくなります。FireflyFramer
ファイルを安全に復号化できる唯一の方法は、特別な復号化ソフトウェア "CRBR Decryptor" を購入することです。サードパーティのソフトウェアでファイルを復元しようと試みると、ファイルが壊れます!
http://fireflyframer.blog.jp/19064296.html

暗号化ファイルの復号

イメージ 7
Cerber のバイナリ内に含まれる設定データ

暗号化されたファイルは元のオリジナルのファイル名が認識できないメチャクチャな文字列に変更され、その拡張子は4件ケタのランダムな英数字です。

【暗号化された場合のファイル名と拡張子】
[10ケタのランダム英数字].[4ケタのランダム英数字]

Cerber Ransomware の最初期のバージョンを除いて、その後のランサムウェアのバージョンアップもあって、残念ながら2017年においてもセキュリティ会社から 無料ファイル復号ツール は提供されてません。

Trend Micro - Ransomware File Decryptor Tool
2016年7月あたりまで配信されていた Cerber バージョン1系で暗号化されたファイル、かつ一部ファイルの部分的な復号に対応

Check Point - Cerber Ransomware Decryption Tool
復号鍵のサーバーに第三者もアクセスできるセキュリティホール(?)を突く形で2016年8月16日に Cerber バージョン1系&2系対応の復号サービスを開始するも、攻撃者側が超速で対処を行って1日も持たずに利用不能に

いちおう Windows に実装されてるボリュームシャドウコピーサービスのバックアップデータが残存してるなら、破壊前のファイルを復旧できる可能性があります。

CRBR Cerber の感染経路とウイルス対策

ウイルス感染キャンペーンが展開されてる間はセキュリティソフトのウイルス定義で黒と判定されない新鮮な亜種検体が逐一投入され続けます。 <イタチごっこ

【CRBR Cerber Ransomware ウイルス定義名】
ESET Win32/Filecoder.Cerber
Kaspersky Trojan-Ransom.Win32.Zerber
Microsoft Ransom:Win32/Cerber
Symantec Ransom.Cerber Trojan.Cryptolocker.AH
Trend Micro RANSOM_CERBER

つまり、如何にしてウイルスの侵入を許さないかが Cerber Ransomware / CRBR Encryptor の被害を確実に回避するポイントとなります。

2つのランサムウェア感染経路

Cerber Ransomware / CRBR Encryptor の感染経路は2つあるので、この攻撃に対抗するためセキュリティ製品にすべてを託さずに感染防止する対策をユーザー自ら実施しておきたいです。


Cerberランサムウェアの感染経路2つ
Image
Microsoft
  1. ネットサーフィン中に強制的にインストールさせる
  2. メールの添付ファイルから自爆感染させる
《1》 ネットサーフィン中に強制インストールさせる

個人や企業が運営していて改ざん被害を喰らってる一般サイトやブログ、侵害された広告配信サーバーを介して Cerber Ransomware / CRBR Encryptor が強制インストールされる攻撃手口です。 <いわゆる 「怪しいサイト」 ではない

セキュリティ用語で ドライブバイ・ダウンロード と呼ばれるもので、この攻撃の成立は次の 2つ の条件に当てはまるかどうかです。
  1. 無料ブラウザアドオン Adobe Flash PlayerJava(JRE) を旧バージョンのまま放置して最新版に更新しない

  2. Windows Vista/7/8/10 向けに月一間隔で配信される Windows Update を後回しにして、特に Internet Explorer、Microsoft Edge、Microsoft Silverlight を更新せず旧バージョンのまま放置する
それこそ ”壁に穴が開いてる家” の状態では 泥棒が出入り自由 となります。

セキュリティ対策も何も当てはまらない状態を維持する分かりやすいお話で、サポート期間であれば更新作業にお金はかからず無料です。

《2》 メールの添付ファイルを自爆感染させる

英語表記の 迷惑メール(スパムメール) が無差別にバラ撒かれていて、無視できず添付ファイルへ手を伸ばすWindowsユーザーさん自らダブルクリックして開く攻撃手口です。 <手元でも受信してるのが本文の無いメール

イメージ 2
Cerber Ransomware に感染する ウイルスメール実例

幸い 『日本語ウイルスメール × Cerber感染』 の組み合わせは確認されてません。 <日本語ウイルスメールはネットバンキング狙いが多い

添付ファイルの形式

添付ファイルはzip形式で圧縮された状態 で届くことが多く、(そのままでは感染できないので)ユーザーの意思で圧縮アーカイブを解凍・展開する作業が必要です。

次のイメージ画像は手元に届いてる不正なファイルの実物です。






これらファイルは Cerber Ransomware / CRBR Encryptor そのものではなく、外部ネットワークからランサムウェア本体データをヒッソリとダウンロードしてきてシレッと起動する役割を持つダウンローダ型マルウェアです。

具体的にファイルの形式は3パターンに集約できます。
  1. Windows スクリプトファイル 無料スクリプトウイルス対策
    … ファイルの拡張子 .js .jse .vbs .wsf

  2. Officeファイル ← 不正なマクロ入り (無料マクロウイルス対策
    … ファイルの拡張子 .doc .docm .xls

  3. Officeファイル ← 不正なスクリプトファイル.js埋め込み
    … ファイルの拡張子 .doc .docx
注目スべきは Windows向け実行ファイル(拡張子 .exe) ではない形式が採用される機会が多いところで、結果的に身代金ビジネスの妨害を企てるセキュリティソフトの検出やスパムフィルタをスリ抜ける事態も発生します。

ウイルスメールの添付ファイル対策

一般的に 『不審なファイルを開かない』 といった精神論的なウイルスメール対策は誰でも思いつきます。 <間違ってはいないけど

だた、それが必ずしも難しく ”怪しい” と見抜けないWindowsユーザーさんが存在するのも現実で、何だかんだ最後は ヒューマンエラー によって感染の引き金を引くのが常です。 <確認したい欲求を抑えられず

そこでオススメするのが 機能の無効化で不正なファイルを完全に無害化するウイルス対策 です。 <何か専用ソフトを導入する必要もなく無料♪
  1. スクリプトウイルス対策にファイルの拡張子の関連付けや設定を変更する

  2. ファイアウォールで wscript.exepowershell.exe の通信をブロックする

  3. マクロウイルス対策に Word & Excel の設定でマクロを完全に無効化する
怪しいと見抜けずウイルスを踏み抜こうが大丈夫になるので Cerber Ransomware / CRBR Encryptor 以外の ランサムウェア や、同じようなメール配信キャンペーンが実施されてる ネットバンキングウイルスの被害防止 にも役立ちます。



<2017年3月 追記...>

ウイルスメールの感染経路に新たな手法~。

マイクロソフトに成りすます偽メールから誘導リンクを踏ませて Google Chrome の公式サイトを装った偽サイトへ誘導し、アップデートと称して Cerber Ransomware の感染に繋がる不正なファイルを開くよう仕向けると。




<2017年12月 追記...>

東欧ルーマニアでランサムウェア CTB-Locker や Cerber Ransomware(CRBR Encryptor) の拡散に関与したサイバー犯罪グループを摘発したそうです。

Five arrested for spreading ransomware throughout Europe and US - Europol
https://www.europol.europa.eu/newsroom/news/five-arrested-for-spreading-ransomware-throughout-europe-and-us
関連するブログ記事
このエントリーをはてなブックマークに追加

拡張子osiris/zzzzz/aesir変更 Lockyウイルス迷惑メール&添付ファイル感染に注意
 
Windowsパソコン を攻撃ターゲットにファイルを暗号化して、復元するための身代金ビットコインを要求するランサムウェア Locky ウイルスの続報です。
 
2016年11月21日より破壊ファイルの目印として、新たな拡張子~.aesir」 へ変更されました。
 
イメージ 1
32ケタ英数字+拡張子.aesirファイル、アイコン画像は白紙に 
Aesir 〔北欧神話〕 アシール,アサ神族:Odin に率いられ Asgard に住んだ主神たち
dictionary.goo.ne.jp/ej/1221/meaning/m0u/aesir/
ランサムウェア感染経路 の1つは 英語表記の迷惑メール(スパムメール) で、たとえば 米アマゾンの商品発送、invoice(請求書)、コピー複合機のデータ受信、税金の督促通知、といった広告的な要素を排除した内容を装ってます。 <スパムフィルタのスリ抜けが起こる
 
イメージ 4
Locky感染! 添付ファイル付き迷惑メールの実例
 
【迷惑メールの件名例】
Your Amazon.com order has dispatched (#[数字]-[数字]-[数字])
Invoice for [数字] 21/11/2016
Please find attached invoice no: [数字]
Message from KMBT_C220
Spam mailout
Receipt 
Invoice [英数字]
Delivery status
Abax UK Invoice [数字]
Documents Requested
Re:Documents Requested
FW:Documents Requested
Message from "RNP[英数字]"
Please note
Scan from office
https://blogs.yahoo.co.jp/fireflyframer/34385904.html

添付ファイルの中身はスクリプトファイル

メールには ZIP形式の圧縮アーカイブ が付いていて、この添付ファイルを手動で展開・解凍すると、中から不正なスクリプトファイルが登場します。
イメージ 3
 
イメージ 2
 
イメージ 5
 
イメージ 6
ダブルクリック厳禁! 危険なスクリプトファイル
 
この.jsファイル、.wsfファイル、.vbsファイルをWindowsパソコン上でポチポチっとダブルクリックして開いてしまうと一貫の終わりです。
 
外部ネットワークから Locky 本体ファイルが強制的にダウンロードされてきてシレッと起動し感染となります。
 
【Locky .aesirのウイルススキャン例】
www.virustotal.com/ja/file/9ce9ba52643c7f37b9f54c31f5e319db7c799a168744f3b5be7f4638e2ef52c4/analysis/1479736903/
 

 
[11月26日 追記...]
 
ランサムウェア Locky ウイルスによる暗号化でファイルを破壊した目印の拡張子は2016年11月24日より 「~.zzzzz」(zが5つ) の変更へもう切り替わりました。
 
イメージ 7
ウイルス感染でファイル名&拡張子が変更された状況
 

 
[11月31日 追記...]
 
2016年11月29日から英語の 迷惑メールの添付ファイルとして不正なOfficeファイル も投入されてます。
 

【迷惑メールの件名例】
Please find attached a XLS Invoice [数字]
File COPY.29112016.[数字].XLS Sent 29/11/2016
Message from RNP[英数字]
Attached Image
Message from KMBT_C220

 
いわゆる マクロウイルス と呼ばれる脅威です。
イメージ 8
 
イメージ 9
不正なマクロ入りOfficeファイル .xlsm & .docm
 
あらかじめ Microsoft Office の設定を変更する↓無料ウイルス対策で、ランサムウェアを侵入させず攻撃を確実に失敗に終わらせることができます。
 

 
[12月9日 追記...]
 
イメージ 10
ハイフン除く36ケタ英数字.osiris
 
ランサムウェア Locky ウイルスによる暗号化でファイル破壊の目印は2016年12月5日から次のように変更されました。
  • 拡張子の変更 → 「~.osiris」(オシリス)
  • 脅迫文ファイル → DesktopOSIRIS.htm OSIRIS-[4ケタ英数字].htm OSIRIS.htm
Wikipedia によると osoris は『古代エジプト神話に登場する神の一柱(=1人)』だそうです。

ランサムウェアの感染を回避する無料ウイルス対策

Lockyウイルスに感染したくないなら、理想では 『怪しいメールを開くな!』『怪しいファイルを開くな!』 です。
 
ただ、現実は厳しく不正なものと気付けないユーザーさんが踏み抜く ので、それを見越してランサムウェアを侵入させることなく攻撃をほぼ100%失敗に終わらせる↓無料ウイルス対策があるのでどぞ。
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ