CTB-Lockerウイルス感染被害 ファイル開けない身代金要求ランサムウェアに注意!

{{{ 2015年1月 更新 }}}

イメージ 3
Your personal files are encrypted by CTB-Locker.

CTB-Locker(シーティービー・ロッカー)は Windowsパソコン に感染被害をもたらすマルウェアの1つです。

CTB → Curve-Tor-Bitcoin の略

感染症状はハードディスクの中にある文書・画像・音楽・動画ファイルを暗号化し、”人質” となったファイルを元に戻す引き換えに Bitcoin(ビットコイン)で 身代金 を支払うよう要求します。


暗号化されたファイルそのものから復号するには要求に屈する以外に手段はない模様で、それ以外は下のような感じの対応となります。
  1. Windowsに実装されてる以前のバージョン復元機能で直前ファイルに戻す
    (視覚的にバックアップデータを閲覧できるフリーソフト ShadowExplorer
  2. Recuva などファイル復旧ツールを試す
  3. バックアップデータからファイルを復旧する

CTB-Lockerウイルス感染経路は2つ

CTB-Locker の感染経路は大きく2つあるそうです。

【1】 ウイルスメール

Faxのデータ受信通知、金銭請求書(Invoice)、Facebook通知、Chrome更新通知みたく装って 英語表記の迷惑メール に添付されてるWindows向け実行ファイルをユーザーの意思でダブルクリックする自爆感染!
【ウイルスメールの攻撃の流れ】
メールの添付ファイルはZIP形式の圧縮アーカイブ
 ↓ 手動で展開・解凍する
 
スクリーンセーバー (拡張子 .scr)
アプリケーション (拡張子 .exe)
 ↓ ダブルクリックする
 
CTB-Locker に感染してファイル破壊!
【2】 ネットサーフィン中

改ざん被害を受けてる一般サイト・ブログをたまたま閲覧した時だったり、侵害された広告配信サーバーが裏で読み込まれてしまった時に、ドライブバイ・ダウンロード攻撃によってランサムウェアが強制インストールされてしまう。
【強制感染被害に巻き込まれるWindowsパソコン】
次のソフトウェアの更新作業をすっぽかし旧バージョンのまま放置してる場合
Adobe Flash Player
Java
● Windows Update 
セキュリティソフトを導入していても、上記の更新が実施されてなければランサムウェアの感染被害に遭う恐れあるので注意!

CTB-Lockerの被害にあった方の声

■ りくにゃさんのツイート: "教訓込めて: ランサムウェア。ファイル開封感染。 ウイルス対応ソフト期限切れを放置。 ソフト入れたら検出され、ウイルス除去できた。 ファイル暗号化タイプ。 「差したまま」のUSBメモリのバックアップも壊滅。 jpg,pdf壊滅"
https://twitter.com/ritoraiya/status/558476513641644032
 
■ パソコンがCTB-Lockerというものに感染しました。ネットで検索するとSpyHunter4で削除できると書いてありましたが、そのソフトも危険らしく、対処方法がありましたら教えてください
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11139798221
 
■ ふとん🐭さんのツイート: "朝に変なメール来たって言ってたけどたまたま今スマホからドロップボックス見るとファイルが全部開けなくなってた 調べたらメール受信したときにランサムウェアっていうウイルスに感染したみたいな 死にたい"
https://twitter.com/nekofuton/status/557794194631434240
https://twitter.com/nekofuton/status/557628034417975296
https://twitter.com/nekofuton/status/557945883447152640
https://twitter.com/nekofuton/status/557947881542283265
https://twitter.com/nekofuton/status/557950253882548224

CTB-Lockerウイルスの挙動は?

Fax の受信通知を装った迷惑メールに添付されてたスクリーンセーバー用実行ファイル(拡張子 .scr)をうっかりではなく起動して確認しました。


これは CTB-Locker ウイルス本体ではなく”ダウンローダ”の役目を持つトロイの木馬なので、ファイアウォール(アウトバウンド側通信)を制御できていれば、最悪起動しても実害は回避できることになります。
  • ファイアウォールが実装されてないことが多い無料ウイルス対策ソフト
  • 有名セキュリティソフトの中でファイアウォールが実装されてないタイプ (ノートン アンチウイルス、ESET NDO32、カスペルスキー アンチウイルス等)
  • 初期設定ではアウトバウンド側通信が開いたままの状態の Windows Firewall
989feb3c9d6f44c7b16963a9edb1eea0 TrojanDownloader:Win32/Dalexis
ttps://www.virustotal.com/ja/file/43583c03706ae8ef8d9cfc2d6ac19892ea0e84c26e5b0a4ffb2ea2032a65b6d3/analysis/1422015610/
 ↓
14c0558c757c93465eccbbd77d58bbf3 Ransom:Win32/Critroni.A
ttps://www.virustotal.com/ja/file/7a40f3629cb35aa0030dbe4a4ce294e2cf7ad01eda10ea0f66d910ce35da8aff/analysis/1421744135/
暗号化されたファイルは、オリジナルのファイル名にランダム英数字(アルファベット小文字、長さは6~7文字?) の拡張子が付け足される形になりました。

イメージ 2
上が暗号化済みファイル、下がオリジナルファイルを0バイトで上書き保存

また、ランサムウェアを名乗った身代金要求ファイルが作成されます。

> Decrypt All Files [拡張子と同じ文字列].bmp ← デスクトップ壁紙用
> Decrypt All Files [拡張子と同じ文字列].txt

レジストリ

イメージ 4

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → [ランダム文字列]
データ →  C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].exe

タスクスケジューラ

C:\Windows\Tasks\[ランダム文字列].job


暗号化の処理途中なら、CTB-Locker が起動しないセーフモードに超速で移行して、一時フォルダに投下されてる実行ファイルを削除すればいけどもね。。。

Malwarebytes Anti-Malware Free ... Trojan.Ransom.FileCryptor
○ Microsoft Safety Scanner  ... Win32/Critroni

ちなみに、検索すると怪しい変な日本語で SpyHunter を導入するよう仕向ける詐欺ブログがヒットするのでご注意を!

http://www.remove-pcvirus[.]com/jp/
http://www.2-remove[.]com/jp/
http://www.2-removevirus[.]com/jp/
http://spywarehelpcenter[.]com/ja/
http://virushelpcenter[.]com/ja
http://jp.pcviruslab[.]com/
http://www.malwarerid[.]jp/

セキュリティ会社の脅威情報

ファイルを暗号化するランサムウェア、新種確認 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9535

急増するBackdoor-FCKQ (CTB-Locker) (マカフィー)
http://blogs.mcafee.jp/mcafeeblog/2015/01/backdoor-fckq-c-1709.html

Eメールを介して拡散される暗号化ランサムウェア (Dr.Web)
http://news.drweb.co.jp/show/?i=822&lng=ja

CTB Locker and Critroni Ransomware Information Guide and FAQ (Bleeping Computer)
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

CTB-Locker Ransomware Includes Freemium Feature, Extends Deadline (Trend Micro)
http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/

A new generation of ransomware Trojan-Ransom.Win32.Onion (Kaspersky)
http://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/

セキュリティ会社のウイルス検出名 

Ransom:Win32/Critroni.A Behavior:Win32/Critroni.gen Ransom:Win32/Critroni.B Ransom:Win32/Critroni.gen!A Behavior:Win32/Critroni.A Ransom:Win32/Critroni!rfn Ransom:HTML/Critroni.A (マイクロソフト)
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Critroni

キヤノンITソリューションズ:ESET Smart Security & ESET NOD32アンチウイルス:Win32/Filecoder.DA
http://canon-its.jp/product/nd/virusinfo/vr_win32_filecoder_da.html





<2017年12月 追記...>

東欧ルーマニアでランサムウェア CTB-Locker や Cerber Ransomware(CRBR Encryptor) の拡散に関与したサイバー犯罪グループを摘発したそうです。

Five arrested for spreading ransomware throughout Europe and US - Europol
https://www.europol.europa.eu/newsroom/news/five-arrested-for-spreading-ransomware-throughout-europe-and-us