初回投稿 2018年2月4日
最終更新 2019年6月17日

GandCrab 5.2とはランサムウェア ウイルス対策3つと経路 開けない拡張子ファイル感染被害!

イメージ 8

GandCrab(読み方 ガン・クラブ) とは?

一般家庭や企業といった利用環境に関係なく、Windows XP/Vista/7/8/10 パソコンに感染する ランサムウェア(身代金型ウイルス) です。

イメージ 7
GandCrab 身代金支払いページ
対応言語 英語・韓国語・中国語

2018年1月下旬に初めて確認された Windows の脅威となります。

macOS → GandCrab ランサムウェアはいっさい影響なし
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー

★ GandCrab ランサムウェア終了
2019年6月1日 GandCrab の攻撃者が活動終了をフォーラムで予告
2019年6月17日 BitDefender が直近バージョン5.2に対応した暗号化ファイル復号ツールをリリース


GandCrab ランサムウェア症状はファイルが開けない!

GandCrab ランサムウェア に殺られると悲惨です。

PC 内の大事なファイルをドンドン暗号化して開けない状態にした上で、その ファイルを元に戻す復号ツール 「GandCrab Decryptor」 の購入を名目に 身代金 の支払いを英語で要求してきます。

イメージ 3
GandCrab 身代金の要求額 31,337ドル!?

上の画像は、海外のセキュリティ情報サイト BleepingComputer.com の中の人に向けた身代金要求画面。ランサムウェア GandCrab の感染を実際に喰らったワケではなく、GandCrab の中の人もそれを認識した上で、日本円で350万円ほどの高額な要求額をあえて吹っかけている。

  • GandCrab 金銭の支払い方法は2つ
    仮想通貨 Dash (ダッシュ)
    仮想通貨 Bitcoin (ビットコイン)

  • GandCrab の要求金額 
    米ドルで ”600ドル”、”1200ドル”、"1500ドル"、”2000ドル” らへん

家族の写真、仕事や学業の文書が目の前で破壊されて、金銭を支払ってでも取り戻さないといけない心理状態へ追い込まれるユーザーさんが出現することで、ランサムウェアの身代金ビジネスが成り立ってます。

GandCrab の感染経路とウイルス対策

GandCrab ランサムウェアを仕掛ける中の人は、ロシア周辺地域を始めとするキリル文字圏のフォーラムで普通に活動しています。

Behind the veil GandCrab Ransomware Partner Program - LMNTRIX Labs

そして、GandCrab の配信に協力してくれるパートナーをロシア語で募っており、ランサムウェア の被害者から奪った身代金の一部を、提携のパートナーへ報酬金として分配する広告ビジネスを展開してます。

イメージ 5
中の人自ら公表した GandCrab 感染マップ
画像出典、2018年3月)

そんなこんなで、ランサムウェア 攻撃の協力者がこぞって参加する GandCrab 配信イベント(キャンペーン)が世界各地で幕を開け、GandCrab ランサムウェア感染攻撃が何か月にも渡って展開されることになります。

対岸の火事なごとく 「自分はそんなの関係ない!」 と切り捨てる日本国内ユーザーさんがいるだろうけど、基本的に地球上の全 Windows ユーザーさんが GandCrab の攻撃対象になりうるので、注意しないといけません。

【GandCrab 攻撃対象外の地理的位置】
ロシア、ウクライナ、ベラルーシ、ジョージア、カザフスタン、ルーマニアなど旧ソ連圏 → 攻撃者グループの居住地と推定され、ファイルの暗号化を行わずにプログラムは終了する
シリア → 攻撃者が復号鍵を特例で公開

そんな GandCrab ランサムウェア の主要なウイルス感染経路2つと、その GandCrab の感染手口に沿って被害を防ぐウイルス対策はどうなる?


《1》 ネットサーフィン中にGandCrab 強制感染

別に怪しいこともない普通の一般サイトを閲覧してる途中、GandCrab が何ら確認もなく問答無用で強制インストールされるパターンです。

  • 改ざんされてる企業サイトや個人サイトがウイルスサイトに変貌してる

  • 一般サイトに設置されてる広告コンテンツに攻撃処理が普通に流れてくる
    マルバタイジング

セキュリティ用語で、この手口を ドライブバイ・ダウンロード攻撃 と言います。

ただ、この経路と手口で GandCrab が強制インストールされるには、次の ウイルス感染条件2つ のうち1つでも当てはまることが絶対必須です。

イメージ 13
サイトを見ただけでウイルス強制感染の対策

  1. 毎月定例更新の Windows Update が実施されていない
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player を最新版に更新していない
    https://get.adobe.com/jp/flashplayer/about/

最新版をキッチリ維持する無料ウイルス対策が完璧な Windows PC なら、ネットサーフィン中の GandCrab 強制感染はほぼ100%あり得ず大丈夫です。 <先手を打つと攻撃者はお手上げ

それこそ、現実離れな 「怪しいサイトにアクセスしない」「エッチなサイトにアクセスしない」 とか、ランサムウェアには無意味なウイルス対策です。


《2》 ウイルスメールからの GandCrab 自爆感染

主に英語(日本語も将来的に?)の 迷惑メール(スパムメール) を受信して、攻撃開始のゴングが鳴るパターンです。

イメージ 12
件名は日本の有名芸能人の名前、本文に顔文字
ウイルスメール実例


そんな何の変哲もない ”うっかり” な行動1つをキッカケとして、最終的に GandCrab を Windows へススーッと招き入れる 自爆感染 になります。

実際に、ポチポチッとダブルクリックすることで、GandCrab に感染する 不正なファイル の実物がコチラ♪

~ 迷惑メール添付の不正なファイル ~

イメージ 14
PDF ファイル?

イメージ 6
JPEG 画像ファイル?

イメージ 10
ラブレター?


そこで、次の無料ウイルス対策3つを実施しておきましょう。

これでセキュリティソフトを安々とスリ抜ける 不正なファイル .js .doc .xls を開いても、ランサムウェアの感染確率を低減する効果が期待できます。 <先手を打つと攻撃者に出し抜かれない

  1. スクリプトファイル js/vbs/wsf を無害化するウイルス対策

  2. Office ファイル xls/doc マクロの感染手口を防ぐウイルス対策

  3. 悪用プログラムの外部通信をファイアウォールでブロックする対策

ウイルスメールの対策として 「怪しいメールを開くな」「不審なファイルを開くな」 といった精神論を目にします。

ただ、現実にランサムウェアの被害にあうユーザーさんは、脅威を見抜けずにヒューマンエラー(人為的ミス)を引き起こしているので、そういうのは理想論に終わるだけです。


《3》 その他の GandCrab 感染経路

○ ”道に落ちてる食べ物の拾い食い” で感染する

イメージ 4
GandCrab に感染する直前場面
Windows セキュリティの警告は無視される悲劇…


ユーザーさんはマトモなプログラムやファイルと思い込んでるので躊躇せずに開くし、後手に回って出し抜かれるセキュリティソフトは警告しないリスクから、”拾い食い” の被害は普通に起こります。


Phorpiex ワームによる GandCrab 感染攻撃

〔 VNC サーバー経由の不正アクセス 〕
5900 ポート VNC(Virtual Network Computing) サーバーに脆弱なパスワードで不正アクセス → ftp.exe、bitsadmin.exe、powershell.exe を介して Phorpiex ワーム感染 → GandCrab がダウンロードされて感染

〔 NetBIOS 経由の不正アクセス 〕
139 ポート NetBIOS に脆弱なパスワードで不正アクセス → ファイル共有サービスで Phorpiex ワーム感染 → GandCrab がダウンロードされて感染

〔 USB メモリ経由 〕
Phorpiex ワーム感染 → USB メモリ内に元からあるファイルが消失し、代わりに不正なショートカットが作成される → 汚染されてる USB メモリを別の PC に接続 → ユーザーが不正なショートカットを開いて DeviceManager.exe が起動 → GandCrab がダウンロードされて感染

GandCrab ランサムウェアの感染症状

GandCrab 脅迫文ファイル

暗号化されたファイルの置かれてる各フォルダーに、GandCrab の脅迫文ファイルが新規作成されます。

PC のファイルをほぼすべて破壊し尽くし、この GandCrab の脅迫文ファイルが目の前に表示されてランサムウェアの感染被害に初めて気づく…、なんて最悪です。

イメージ 11

【GandCrab 脅迫文ファイル】
GDCB-DECRYPT.txt FireflyFramer
CRAB-DECRYPT.txt
KRAB-DECRYPT.txt
[ファイルの拡張子]-DECRYPT.html
[ファイルの拡張子]-DECRYPT.txt
[ファイルの拡張子]-MANUAL.txt

【GandCrab 脅迫文の内容】
---=    GANDCRAB V5.2    =---
UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED
FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .EAAVGEVZ
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef[.]onion/[英数字]
| 4. Follow the instructions on this page


レジストリと実行ファイル
(※記事投稿2018年2月時点の情報)

GandCrab ランサムウェアを起動するため、Windows のレジストリに実行ファイル(拡張子 .exe)の置き場所が示されてるキーが新規作成されます。

イメージ 2
レジストリエディター で確認した様子

【レジストリ】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
名前 → [ランダム文字列]
データ → 実行ファイルの位置

【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\[ランダム文字列].exe
 あるいは
C:\Users\[ユーザー名]\AppData\[ランダム文字列].exe

・ C:\Users(ユーザー)フォルダーは ”隠しフォルダー” なので表示する方法
https://support.microsoft.com/ja-jp/help/14201/


ランサムウェアで暗号化されたファイル

GandCrab によって暗号化された文書、画像、圧縮ファイルは、破壊の目印として元々のファイル名に任意の拡張子を付け足して変更します。

以前の GandCrab で破壊されたファイルの拡張子は、特定の文字列で固定だったものの、直近バージョン GandCrab V5 系統はランダムなアルファベット小文字(文字数 5~10)です。

イメージ 9
アイコンが白紙になり開けないファイルたち

【GandCrab 暗号化されたファイルの拡張子例】
[オリジナル名].GDCB
[オリジナル名].CRAB … GANDCRAB 2.0 / 2.1 / 3.0
[オリジナル名].KRAB … GANDCRAB 4.0
Firefly
[オリジナル名].[アルファベット] … GANDCRAB V5.0.4 / V5.1 / V5.2

なお、一部のキュリティ会社から ランサムウェア向け無料ファイル復号ツール が提供されてるものの、GandCrab の特定の旧バージョンで破壊されたファイルのみ対応となってます。

  • ルーマニア BitDefender

  • 中国 Qihoo 360
  • スロバキア ESET

→ ランサムウェア感染で開けないファイル復号ツールまとめ 無料で復元復旧?

GandCrab ランサムウェアに感染したなら、将来的に無料で復号できる手段が登場するのを祈って、暗号化ファイルたちと脅迫文ファイル1つを別に保存しておいて待つのも得策?

あと、Windows 7/10 で有効になってるバックアップ機能(ボリュームシャドウコピーサービス)のデータが残存してる奇跡に恵まれると、GandCrab に破壊される前のファイルを ShadowExplorer復元できる可能性があります。

GandCrab セキュリティトピックス

手元で調査した GandCrab ランサムウェアの検体です。

イメージ 1
フォントファイル更新名目
GandCrab 実行ファイル実物

2018年2月 取得
1e48f9f0d2675f5dd7be17b399ccb1f4
www.virustotal.com/ja/file/7a2b0084c67598cf19e11bcb04211ba94b3ade2d157046bdb950e955672adcfd/analysis/1517734834/

2019年1月 取得
ダウンローダー (Phorpiex ワーム
de77eb32df7c723878d8c5608ace6a14
 ↓
GandCrab ランサムウェア本体
bcc344cf6ca7c33396382ccdbc0e005c
023c3ef46885f78237e98c80d6087bd2
9714f06c310c39a43c34d555de9ce8c3

【GandCrab ウイルス検出名例】
ESET Win32/Filecoder.GandCrab.F
Kaspersky Trojan-Ransom.Win32.GandCrypt HEUR:Trojan-Ransom.Win32.Encoder.gen FireflyFramer
Microsoft Ransom:Win32/GandCrab.A Ransom:Win32/GandCrab.B Ransom:Win32/GandCrab!rfn Ransom:Win32/Gandcrab.C!bit Ransom:Win32/Gandcrab.D!bit Ransom:Win32/GandCrab.E TrojanDownloader:PowerShell/GandCrab Trojan:Win32/GandCrab Trojan:Win32/GandCrab!rfn Trojan:Win32/Gandcrab.AF!bit
Symantec Ransom.GandCrab Ransom.GandCrab!g1 Ransom.GandCrab!g2 Ransom.GandCrab!g3 Ransom.GandCrab!g4 SONAR.GandCrab!gen1 SONAR.GandCrab!gen2 SONAR.GandCrab!gen3 Ransom.GandCrab!g5
Trend Micro Ransom.Win32.GANDCRAB Ransom_GANDCRAB Ransom_GandCrypt Trojan.JS.GANDCRAB Trojan.INF.GANDCRAB.AVL Ransom_Encoder

身代金ビジネスを安々と妨害されないよう、新鮮な GandCrab の亜種検体がドバドバ投入され、セキュリティソフトの対応が後手に回るのもザラです。<追って対応されたところで PC 内のファイルはすべて破壊され終えてるはず


有償製品を宣伝する詐欺サイトに注意!

ほとんでデタラメな情報で GandCrab の駆除方法を案内する 詐欺サイト がネット上に複数存在するのでご注意を。

困ったことに、詐欺サイトが Google や Yahoo! の検索結果にやたらヒットし、意味不明でメチャクチャな日本語の文章で書かれてあることも多く読む価値0です。

【宣伝目的の詐欺サイト例】
http://cleanspyware.vir.us[.]com/
http://delete-pcvirus.spyware-removal[.]org/
http://deletemalware.uninstallmalwareinfection[.]com/
http://deletepcthreats.trojanremovaltool[.]org/
http://deletespyware.uninstall-spyware[.]net/
http://deletethreat.uninstallspyware[.]org/
http://deletevirus.how2deletevirus[.]com/
http://fixpcerror.fixregistryerror[.]org/
http://getridof-malware.antispyware1[.]net/
http://japanese.malwares[.]news
http://jp.howtouninstall[.]guide
http://jp.pcmalwareremoval[.]com/
http://jp.removeallmalwarefrompc[.]com/
http://remove-pcvirus.virusremoval-tool[.]net/
http://removemalware.antivirus-software[.]biz/
http://removespyware-jp.malwareremovals[.]net
http://removespyware.makepcsafer[.]com/
http://sakujosuru[.]jp/
http://uirusu[.]jp/
http://remove-virus.malwaregrounded[.]com/
http://www.2-remove-malware[.]com/jp/
http://www.2-remove-virus[.]com/jp/
http://www.4-cybersecurity[.]com/jp/
http://www.all-virus-removal[.]com/jp/
http://www.cyber-technews[.]com/jp/
http://www.malware-fixes[.]com/jp/
http://www.malware-killers[.]com/maljp
http://www.pc-threat[.]com/jp/
http://www.pcinfectionsupport[.]com/jp/
http://www.pcviruscare[.]com/blog/
http://www.pulsetheworld[.]com/jp
http://www.removal-virusguide[.]com/jp/
http://www.removal4virus[.]com/jp/
http://www.remove-all-virus[.]com/jp/
http://www.removemalware-jp[.]com/
http://www.tips2-remove[.]com/jp/
http://www.uninstallallmalwares[.]com/
https://bestsecuritysearch[.]com/
https://delete-pcvirus.spyware-removal[.]org/
https://deletemalware[.]net/ja/
https://deletespyware.spywarescansoftware[.]com/
https://deletethreat.uninstallspyware[.]org/
https://getridof-malware.antispyware1[.]net/
https://howtoremove[.]guide/
https://japanese.malwares[.]news/
https://jp.howtoremovemalwarefrompc[.]com/
https://loaris[.]com/ja/
https://malwaresolution[.]net/ja/
https://myspybot[.]com/
https://remove-pcvirus.virusremoval-tool[.]net/
https://remove.pcninza[.]com/
https://removemalware.antivirus-software[.]biz/
https://removemalware.trojan-protection[.]com/
https://removepcthreat.clean-spyware[.]net/
https://remover-spyware.antispyware-software[.]com/
https://removevirus.upstatestyles[.]com/
https://removevirusnmalware[.]com/
https://sensorstechforum[.]com/
https://trojan-killer[.]net/ja/
https://uninstall.killingallvirus[.]com/
https://uninstallvirus.deletemalwarefrompc[.]com/
https://virus-removal-guide[.]net/ja/
https://www.2-spyware[.]com/
https://www.bugsfighter[.]com/
https://www.malwarerid[.]jp/malware/
https://www.pcmalwareexpert[.]com/jp/
https://www.pcrisk[.]com/
https://www.removemalware-jp[.]com/
https://www.uninstallallmalwares[.]com/
https://www.virusresearch[.]org/

これら 詐欺サイト の中身は、「○○ 駆除ツール」「ダウンロードの削除ツール」「Windows Scanner Tool」「無料ダウンロード」 と称して、次の実行ファイルを起動するよう仕向ける内容です。 <「Reimage Repair」「SpyHunter」


これらは海外製の有償製品なので、手動インストールしてスキャンを行っても、クレジットカード決済でライセンスの購入を催促されるだけです。 <ランサムウェア駆除作業まで進まない

関連するブログ記事