CryptoDefense HOW_DECRYPTファイル暗号化ウイルス ランサムウェア感染に注意!
 
Windowsパソコンを感染ターゲットに、USBメモリや外付けハードディスクも含むファイルを暗号化(破壊)し、復元・復号を盾に仮想通貨ビットコインで身代金を支払うよう脅迫してくるランサムウェア(身代金型ウイルス)の1つ
 
CryptoDefense
(読み方 クリプトディフェンス)
 
セキュリティ会社シマンテックによると、とある攻撃者グループはこの身代金で月数百万円ほどゲットしてるそうで… <現在のウイルスの目的の1つ「お金儲け
CryptoLocker を模倣して 1 カ月で 34,000 ドルを稼いだ CryptoDefense (Symantec)
http://www.symantec.com/connect/ja/blogs/cryptolocker-1-34000-cryptodefense

CryptoDefense and How_Decrypt Ransomware Information Guide and FAQ (Bleeping Computer)
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
調査のため、この CryptoDefenseウイルスを感染させてみたところ、身代金の支払いと暗号化ファイルの解除方法を指南する誘導ファイルが各フォルダに出力されました。
 
http://i60.tinypic.com/207qi3l.png
開いても見ることができず破壊されたJPEG画像ファイルとともに…
 
● 「CryptoDefense Software」を名乗り身代金の支払い要求
- HOW_DECRYPT.TXT
- HOW_DECRYPT.HTML
- HOW_DECRYPT(.URL) ショートカット
 
身代金を支払うためのページにアクセスしてみると下のようになって、ウイルス攻撃者の素性を隠す目的で匿名接続Torネットワーク上になります。
  
http://i60.tinypic.com/ie2jc9.png
身代金の要求額1000ドル相当、これを仮想通貨ビットコインで支払うよう要求

CryptoDefense 関連レジストリとファイルパス

ウイルスの実行ファイル本体を呼ぶためのパラメータがレジストリにそれぞれ2つづつ指定されてました。
 
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 
CryptoDefense ウイルス本体の実行ファイルは投下場所です。
 
> C:\[ランダム文字列]\[ランダム文字列].exe
> C:\Users\(ユーザー名)\AppData\Roaming\[ランダム文字列].exe
 
ランダム文字列は、アルファベット小文字+数値の組み合わせで、7文字ほどの長さになります。
 
Trojan.Cryptodefense | シマンテック 日本
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-032622-1552-99 ;
 
TROJ_CRYPTRBIT.H | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_CRYPTRBIT.H
 
無料ウイルス駆除ツール
Malwarebytes Anti-Malware FreeMicrosoft Safety Scanner

CryptoDefenseウイルスの感染経路

CryptoDefense を始めとするランサムウェアの感染経路は主に2パターンあります。
 
【1】 ウイルスメール
 
こういう感じの英語表記な迷惑メール(スパムメール)を受信し、ユーザーが手動で添付されてる実行ファイルやスクリーンセーバー(Upatreウイルスなど)をダブルクリックして起動する自爆感染! <古典的な手口だけど
 
最終的に、CryptoDefenseウイルスがパソコンにもたらされてファイルを次々と暗号化していって THE END となるパターンです。
 
{ランサムウェア+日本語メール}の組み合わせた攻撃は確認されてないけど、実在企業に成りすます英語メール(荷物配達通知Fax受信通知、インボイスなど)なので、うまくダマされる日本人ユーザーいる?
 
【2】 ドライブバイ・ダウンロード攻撃
 
ハッキング被害を受けてる一般サイトやブログ(必ずしもアダルト要素関係なし)をネットサーフィン中に、CryptoDefenseウイルスが強制インストールされる感染パターンも確認されてます。
 
これはドライブバイ・ダウンロード攻撃といって、この攻撃が成立する条件は、おなじみ感染経路をふさぐウイルス対策ができてるかどうか次第です。
  1. Java が旧バージョンのまま更新されておらず感染経路が開いてる
  2. Adobe Reader が旧バージョンのまま更新されておらず感染経路が開いてる
  3. Adobe Flash Player が旧バージョンのまま更新されておらず感染経路が開いてる
  4. Windows Update が実施されてない
4条件のなかでどれか1つでも当てはまると THE END だから、ちゃんと確認するウイルス対策が重要です。 セキュリティソフトの有無は関係ないのがポイント!
関連するブログ記事
 

 
<2014年5月 追記...>
 
ファイルを暗号化して破壊し、そのファイルの復旧・復元・復号と引き換えに身代金の支払いを要求するランサムウェア CryptoDefense ウイルスが名前を変更。
 
続編バージョンとなる CryptoWall (クリプトウォール)が新たに投入されてますなー。