CryptoDefense HOW_DECRYPTファイル暗号化ウイルス ランサムウェア感染に注意!
Windowsパソコンを感染ターゲットに、USBメモリや外付けハードディスクも含むファイルを暗号化(破壊)し、復元・復号を盾に仮想通貨ビットコインで身代金を支払うよう脅迫してくるランサムウェア(身代金型ウイルス)の1つ
CryptoDefense
(読み方 クリプトディフェンス)
(読み方 クリプトディフェンス)
セキュリティ会社シマンテックによると、とある攻撃者グループはこの身代金で月数百万円ほどゲットしてるそうで…
<現在のウイルスの目的の1つ「お金儲け」

□ CryptoLocker を模倣して 1 カ月で 34,000 ドルを稼いだ CryptoDefense (Symantec)
http://www.symantec.com/connect/ja/blogs/cryptolocker-1-34000-cryptodefense
□ CryptoDefense and How_Decrypt Ransomware Information Guide and FAQ (Bleeping Computer)
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
調査のため、この CryptoDefenseウイルスを感染させてみたところ、身代金の支払いと暗号化ファイルの解除方法を指南する誘導ファイルが各フォルダに出力されました。 

http://i60.tinypic.com/207qi3l.png
開いても見ることができず破壊されたJPEG画像ファイルとともに…
開いても見ることができず破壊されたJPEG画像ファイルとともに…
● 「CryptoDefense Software」を名乗り身代金の支払い要求
- HOW_DECRYPT.TXT
- HOW_DECRYPT.HTML
- HOW_DECRYPT(.URL) ショートカット
- HOW_DECRYPT.TXT
- HOW_DECRYPT.HTML
- HOW_DECRYPT(.URL) ショートカット
身代金を支払うためのページにアクセスしてみると下のようになって、ウイルス攻撃者の素性を隠す目的で匿名接続Torネットワーク上になります。
http://i60.tinypic.com/ie2jc9.png
身代金の要求額1000ドル相当、これを仮想通貨ビットコインで支払うよう要求
身代金の要求額1000ドル相当、これを仮想通貨ビットコインで支払うよう要求
CryptoDefense 関連レジストリとファイルパス
ウイルスの実行ファイル本体を呼ぶためのパラメータがレジストリにそれぞれ2つづつ指定されてました。> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceCryptoDefense ウイルス本体の実行ファイルは投下場所です。> C:\[ランダム文字列]\[ランダム文字列].exe
> C:\Users\(ユーザー名)\AppData\Roaming\[ランダム文字列].exeランダム文字列は、アルファベット小文字+数値の組み合わせで、7文字ほどの長さになります。
■ Trojan.Cryptodefense | シマンテック 日本
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-032622-1552-99 ;
■ TROJ_CRYPTRBIT.H | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_CRYPTRBIT.H
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-032622-1552-99 ;
■ TROJ_CRYPTRBIT.H | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_CRYPTRBIT.H
CryptoDefenseウイルスの感染経路
CryptoDefense を始めとするランサムウェアの感染経路は主に2パターンあります。
【1】 ウイルスメール
こういう感じの英語表記な迷惑メール(スパムメール)を受信し、ユーザーが手動で添付されてる実行ファイルやスクリーンセーバー(Upatreウイルスなど)をダブルクリックして起動する自爆感染!
<古典的な手口だけど

最終的に、CryptoDefenseウイルスがパソコンにもたらされてファイルを次々と暗号化していって THE END となるパターンです。
【2】 ドライブバイ・ダウンロード攻撃
ハッキング被害を受けてる一般サイトやブログ(必ずしもアダルト要素関係なし)をネットサーフィン中に、CryptoDefenseウイルスが強制インストールされる感染パターンも確認されてます。
- Java が旧バージョンのまま更新されておらず感染経路が開いてる
- Adobe Reader が旧バージョンのまま更新されておらず感染経路が開いてる
- Adobe Flash Player が旧バージョンのまま更新されておらず感染経路が開いてる
- Windows Update が実施されてない
関連するブログ記事
・ CryptoLockerウイルスに感染し大事なお宝ファイルが! 暗号化して身代金支払い要求
・ BitCryptウイルス感染被害 ファイルを暗号化して身代金を要求するランサムウェア
・ ShadowExplorer でWindowsバックアップのシャドウコピーからファイル復旧・復元
・ BitCryptウイルス感染被害 ファイルを暗号化して身代金を要求するランサムウェア
・ ShadowExplorer でWindowsバックアップのシャドウコピーからファイル復旧・復元
<2014年5月 追記...>
ファイルを暗号化して破壊し、そのファイルの復旧・復元・復号と引き換えに身代金の支払いを要求するランサムウェア CryptoDefense ウイルスが名前を変更。
続編バージョンとなる CryptoWall (クリプトウォール)が新たに投入されてますなー。 
