【注意】zepto/lockyファイル暗号化ランサムウェア被害 日本語で身代金要求ウイルス!
Windows XP/Vista/7/8/10パソコン を攻撃ターゲットに Locky(ロッキー) という新しいファイル暗号化タイプの ランサムウェア(身代金型ウイルス) が昨日か今日らへんに投入されたみたい。
あの有名な映画と同じじゃんと思ったら、あれはスペル違って「Rocky」ね。
ファイル名がメチャクチャな英数字に…
暗号化されてしまったファイルは、ファイル名のところが32ケタの英数字(アルファベット大文字と数字)で破壊されて、拡張子が「*.locky」「*._locky」になってる形です。
破壊前の元のファイルが何なのか分からんLOCKYファイル
暗号化したことを示す脅迫テキストファイル「_Locky_recover_instructions.txt」「_HELP_instructions.txt」「_HELP_instructions.html」「_RESTORE_instructions.html」 の中身は何と 日本語 で記載されていて、感染マシンのIPアドレス(→言語設定みたい)に合わせて多言語対応してる模様。
日本語メッセージは文法メチャクチャではないものの
機械翻訳してるのかビミョーに不自然な表現も登場…
【Locky recover instructions / RESTORE HELP instructions 】
!!! 重要な情報 !!!!すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。
RSAの詳細については、ここで見つけることができます:
http://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7
http://ja.wikipedia.org/wiki/Advanced_Encryption_Standardあなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。
あなたの秘密鍵を受信するには、リンクのいずれかに従います:
1. http://~~~このすべてのアドレスが使用できない場合は、次の手順を実行します。
1. ダウンロードして、Torのブラウザをインストールします: https://www.torproject.org/download/download-easy.html
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。
3. アドレスバーにタイプ: ~~~
4. サイトの指示に従ってください。!!! 個人識別ID: ×××××××××× !!!
匿名通信Torネットワーク上に用意されてる身代金支払いページでは、暗号化したファイルを元に戻す復元ツール「Locky Decrypter TM」を購入しろと英語で指示してます。 <身代金要求額は仮想通貨ビットコインで 0.5 BTCから~
Lockyランサムウェアウイルスの身代金支払いページ
Locky Decrypter Page
We present a special software - Locky Decrypter -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?
(~以下略~)
ランサムウェアの感染経路
Locky(ロッキー)ランサムウェアの感染経路の1つはメールの添付ファイルです。
- 英語表記の迷惑メールに添付された Word文書(拡張子 .doc .docm) をダブルクリックしてして開き、加えてユーザーがマクロの動作の許可を出す
- 同じようにメール添付の JavaScript/JScriptファイル(拡張子 .js .jse) や Windows Scriptファイル(.wsf) をダブルクリックして開く
この”うっかり”なヒューマンエラーが原因でブツが送り込まれてくるパターンとなってて、実際に手元でもこのルートで感染させて記事にしてます。
docファイルを開いてマクロを有効にした瞬間のプロセスの様子
不正なマクロの処理により cscript.exe を介してナゾのWindows用実行ファイル(asddddd.exe) が外部ネットワークからダウンロードされ起動しており、このファイルの正体が Lockyウイルス なのでした。
ちなみに、jsファイルやwsfファイル、マクロ付きdocファイルは、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境では動作しないため攻撃対象外になります。
[2016年2月18日~ 追記...]
暗号化されたLockyファイルを無料で元に戻して復元する手段があるかは不明です。
■ The Locky Ransomware Encrypts Local Files and Unmapped Network Shares - Bleeping Computer
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
Windows に実装されてる ボリュームシャドウコピー が作成した過去のバックアップデータが仮に残っていれば昔のファイルを取り戻せるやも…。 (Lockyウイルスはこのデータの消去を試みるけど)
■ ShadowExplorerでファイル復元復旧! 削除破損を元に戻せる使い方
http://fireflyframer.blog.jp/19064015.html
http://fireflyframer.blog.jp/19064015.html
■ Dridex Actors Get In the Ransomware Game With "Locky" | Proofpoint
https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
セキュリティ会社のシマンテックやトレンドマイクロも新しいランサムウェアが登場したというブログ記事を18、19日に投稿してます。
■ ランサムウェア Locky、被害者を狙う攻撃が激化 | Symantec
http://www.symantec.com/connect/blogs/locky
■ 新たな多言語対応ランサムウェア「Locky」が国内でも拡散中 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12894
セキュリティ会社の脅威情報です。
■ Ransom:Win32/Locky.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Locky
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Locky
■ Trojan.Cryptolocker.AF - Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2016-021706-1402-99
http://www.symantec.com/security_response/writeup.jsp?docid=2016-021706-1402-99
■ Ransom_LOCKY Ransom_HPLOCKY - Trend Micro
http://about-threats.trendmicro.com/Search.aspx?language=jp&p=Ransom_LOCKY
http://about-threats.trendmicro.com/Search.aspx?language=jp&p=Ransom_LOCKY
Lockyウイルスの対策は、次の2点をあらかじめ感染前に実施しておきます。
- 英語表記な迷惑メールからのスクリプトファイル&マクロウイルスの対処
- 悪用されるソフトが最新版に更新できてるか確認する作業
[2016年6月 追記...]
暗号化した目印として文書や画像のファイル名&拡張子を『[GUID値/32ケタ].zepto』に変更する新バージョンが投入されてます。 <GUIDは「********-****-****-****-************」というパターンのランダム英数字!
[2016年9月 追記...]
暗号化した目印として文書や画像のファイル名&拡張子を『[GUID値/32ケタ].odin』に変更する新バージョンが投入されてます。