CRBR Cerberランサムウェアは2つの感染経路無料ウイルス対策で被害防止

CRBR Cerberランサムウェアは2つの感染経路無料ウイルス対策で被害防止

｛｛｛ 2017年6月更新｝｝｝

Cerber 感染後のデスクトップ壁紙

2016年2月に投入された深刻な脅威 Cerber Ransomware / CRBR Encryptor は Windows XP/Vista/7/8/10 パソコンを感染ターゲットにするランサムウェアの1つです。

画像や文書など特定の拡張子を持つファイルを暗号化して破壊し、この状態を復旧するファイル復号ツール Cerber Decryptor / CRBR Decryptor の購入を名目に仮想通貨ビットコインで身代金を支払うよう要求します。

なお、動作環境ではない Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーは関係ないので大丈夫です。

■ 神話上の怪物をモチーフ

Cerber ウイルスのロゴマーク

このウイルスは3つの顔を持つ猛犬のキャラクターとして描かれる神話上の怪物「ケルベロス」「サーベラス」をモチーフに Cerber（読み方ケルベル／サーベル）と名付けられたようです。

感染被害は、2016年7月だけでも、201の国および地域で約15万件確認されています
Cerberキャンペーンによる収益は、2016年7月だけで19万5,000ドルに上ります。そのうち、開発者の取り分は約7万8,000ドル。残りは、各キャンペーンでの感染件数や身代金支払額に応じてアフィリエイトに分配されます。
www.checkpoint.co.jp/threat-cloud/2016/08/cerberring.html

セキュリティ会社 Check Point によると、要求に屈した被害者からかすめ取った身代金で Cerber の攻撃者は月に19万5,000ドルも稼いだとか。

＜日本円で2,000万円以上の大金

■ 偽セキュリティブログに注意

ランサムウェアの駆除方法を紹介するかのよう装い、実際にはユーザーを騙して有償製品のダウンロードを誘導する偽セキュリティブログが存在するのでご注意を～。

＜日本語の文章は機械翻訳なのでメチャクチャなこと多し

【偽セキュリティブログ例】
http：//www.tips2-remove[.]com/jp/
http：//www.2-remove-malware[.]com/jp/
http：//www.uninstallallmalwares[.]com/
https：//www.removeuninstallpcmalware[.]com/
http：//www.4-cybersecurity[.]com/jp/
http：//www.malwarerid[.]jp/
http：//sakujosuru[.]jp/
http：//uirusu[.]jp/
http：//soft2secure[.]jp/
http：//www.2-remove-virus[.]com/jp/
http：//www.cyber-securitylab[.]com/jp/
https：//howtoremove[.]guide/
https：//sensorstechforum[.]com/

脅迫文ファイルと暗号化ファイル

■ 脅迫文ファイル

デスクトップや各フォルダに HTMLアプリケーション（拡張子 .hta）、テキストファイル、HTMLファイルを出力し、その内容はランサムウェアの脅迫文です。

＜日本語、英語、中国語、韓国語、アラビア語など計13言語に対応

感染後に開かれる.htaファイル

【脅迫文ファイル】
_R_E_A_D___T_H_I_S___[英数字]_.hta / _READ_THIS_FILE_[英数字]_.hta / _!!!_README_!!!_[英数字]_.hta / _READ_THI$_FILE_[英数字]_.hta / _HELP_HELP_HELP_[英数字]_.hta / _HOW_TO_DECRYPT_[英数字]_.hta / _README_[英数字]_.hta / README.hta FireflyFramer

脅迫文ファイルの画面 _R_E_A_D___T_H_I_S___

CERBER RANSOMWARE: Instructions
CRBR ENCRYPTOR: Instructions
説明書
必要なファイルが、見つかりませんか？
ファイルの内容が、読み取れませんか？
ファイル名およびファイルの内容が "Cerber Ransomware" によって暗号化されているので、それは正常です。つまり、ファイルが壊れているわけではありません！ファイルが変更されているだけです。この変更は、元に戻せます。ここからは、復号化しない限り、ファイルを使えなくなります。FireflyFramer
ファイルを安全に復号化できる唯一の方法は、特別な復号化ソフトウェア "CRBR Decryptor" を購入することです。サードパーティのソフトウェアでファイルを復元しようと試みると、ファイルが壊れます！
http://fireflyframer.blog.jp/19064296.html

■ 暗号化ファイルの復号

Cerber のバイナリ内に含まれる設定データ

暗号化されたファイルは元のオリジナルのファイル名が認識できないメチャクチャな文字列に変更され、その拡張子は4件ケタのランダムな英数字です。

【暗号化された場合のファイル名と拡張子】
[10ケタのランダム英数字].[4ケタのランダム英数字]

Cerber Ransomware の最初期のバージョンを除いて、その後のランサムウェアのバージョンアップもあって、残念ながら2017年においてもセキュリティ会社から無料ファイル復号ツールは提供されてません。

【Trend Micro - Ransomware File Decryptor Tool】

2016年7月あたりまで配信されていた Cerber バージョン1系で暗号化されたファイル、かつ一部ファイルの部分的な復号に対応

【Check Point - Cerber Ransomware Decryption Tool】

復号鍵のサーバーに第三者もアクセスできるセキュリティホール（？）を突く形で2016年8月16日に Cerber バージョン1系＆2系対応の復号サービスを開始するも、攻撃者側が超速で対処を行って1日も持たずに利用不能に

いちおう Windows に実装されてるボリュームシャドウコピーサービスのバックアップデータが残存してるなら、破壊前のファイルを復旧できる可能性があります。

・ ShadowExplorerでファイル・フォルダ無料復元! 削除破損を元に戻す使い方5ステップ

CRBR Cerber の感染経路とウイルス対策

ウイルス感染キャンペーンが展開されてる間はセキュリティソフトのウイルス定義で黒と判定されない新鮮な亜種検体が逐一投入され続けます。

＜イタチごっこ

【CRBR Cerber Ransomware ウイルス定義名】
ESET Win32/Filecoder.Cerber
Kaspersky Trojan-Ransom.Win32.Zerber
Microsoft Ransom:Win32/Cerber
Symantec Ransom.Cerber Trojan.Cryptolocker.AH
Trend Micro RANSOM_CERBER

つまり、如何にしてウイルスの侵入を許さないかが Cerber Ransomware / CRBR Encryptor の被害を確実に回避するポイントとなります。

■ 2つのランサムウェア感染経路

Cerber Ransomware / CRBR Encryptor の感染経路は2つあるので、この攻撃に対抗するためセキュリティ製品にすべてを託さずに感染防止する対策をユーザー自ら実施しておきたいです。

Cerberランサムウェアの感染経路2つ
Image Microsoft

ネットサーフィン中に強制的にインストールさせる
メールの添付ファイルから自爆感染させる

《1》ネットサーフィン中に強制インストールさせる

個人や企業が運営していて改ざん被害を喰らってる一般サイトやブログ、侵害された広告配信サーバーを介して Cerber Ransomware / CRBR Encryptor が強制インストールされる攻撃手口です。

＜いわゆる「怪しいサイト」ではない

セキュリティ用語でドライブバイ・ダウンロードと呼ばれるもので、この攻撃の成立は次の 2つの条件に当てはまるかどうかです。

無料ブラウザアドオン Adobe Flash Player と Java（JRE） を旧バージョンのまま放置して最新版に更新しない
Windows ~~Vista/~~7/8/10 向けに月一間隔で配信される Windows Update を後回しにして、特に Internet Explorer、Microsoft Edge、Microsoft Silverlight を更新せず旧バージョンのまま放置する

それこそ ”壁に穴が開いてる家” の状態では 泥棒が出入り自由 となります。