ノートパソコン dynabook が 
5万円台から♪初回投稿 2018年2月4日
最終更新 2019年6月17日
最終更新 2019年6月17日
GandCrab 5.2とはランサムウェア ウイルス対策3つと経路 開けない拡張子ファイル感染被害!
GandCrab(読み方 ガン・クラブ) とは?
一般家庭や企業といった利用環境に関係なく、Windows XP/Vista/7/8/10 パソコンに感染する ランサムウェア(身代金型ウイルス) です。 
GandCrab 身代金支払いページ
対応言語 英語・韓国語・中国語
2018年1月下旬に初めて確認された Windows の脅威となります。
macOS → GandCrab ランサムウェアはいっさい影響なし Android スマホ iOS (iPhone / iPad) ガラケー★ GandCrab ランサムウェア終了
2019年6月1日 GandCrab の攻撃者が活動終了をフォーラムで予告
2019年6月17日 BitDefender が直近バージョン5.2に対応した暗号化ファイル復号ツールをリリース
■ GandCrab ランサムウェア症状はファイルが開けない!
GandCrab ランサムウェア に殺られると悲惨です。 
PC 内の大事なファイルをドンドン暗号化して開けない状態にした上で、その ファイルを元に戻す復号ツール 「GandCrab Decryptor」 の購入を名目に 身代金 の支払いを英語で要求してきます。
GandCrab 身代金の要求額 31,337ドル!?
上の画像は、海外のセキュリティ情報サイト BleepingComputer.com の中の人に向けた身代金要求画面。ランサムウェア GandCrab の感染を実際に喰らったワケではなく、GandCrab の中の人もそれを認識した上で、日本円で350万円ほどの高額な要求額をあえて吹っかけている。
- GandCrab 金銭の支払い方法は2つ
仮想通貨 Dash (ダッシュ)
仮想通貨 Bitcoin (ビットコイン) - GandCrab の要求金額
米ドルで ”600ドル”、”1200ドル”、"1500ドル"、”2000ドル” らへん
家族の写真、仕事や学業の文書が目の前で破壊されて、金銭を支払ってでも取り戻さないといけない心理状態へ追い込まれるユーザーさんが出現することで、ランサムウェアの身代金ビジネスが成り立ってます。
GandCrab の感染経路とウイルス対策
GandCrab ランサムウェアを仕掛ける中の人は、ロシア周辺地域を始めとするキリル文字圏のフォーラムで普通に活動しています。 
・ Behind the veil GandCrab Ransomware Partner Program - LMNTRIX Labs
そんなこんなで、ランサムウェア 攻撃の協力者がこぞって参加する GandCrab 配信イベント(キャンペーン)が世界各地で幕を開け、GandCrab ランサムウェア感染攻撃が何か月にも渡って展開されることになります。
対岸の火事なごとく 「自分はそんなの関係ない!」 と切り捨てる日本国内ユーザーさんがいるだろうけど、基本的に地球上の全 Windows ユーザーさんが GandCrab の攻撃対象になりうるので、注意しないといけません。 
【GandCrab 攻撃対象外の地理的位置】
ロシア、ウクライナ、ベラルーシ、ジョージア、カザフスタン、ルーマニアなど旧ソ連圏 → 攻撃者グループの居住地と推定され、ファイルの暗号化を行わずにプログラムは終了するシリア → 攻撃者が復号鍵を特例で公開
そんな GandCrab ランサムウェア の主要なウイルス感染経路2つと、その GandCrab の感染手口に沿って被害を防ぐウイルス対策はどうなる?
《1》 ネットサーフィン中にGandCrab 強制感染
別に怪しいこともない普通の一般サイトを閲覧してる途中、GandCrab が何ら確認もなく問答無用で強制インストールされるパターンです。 
- 改ざんされてる企業サイトや個人サイトがウイルスサイトに変貌してる
- 一般サイトに設置されてる広告コンテンツに攻撃処理が普通に流れてくる
(マルバタイジング)
セキュリティ用語で、この手口を ドライブバイ・ダウンロード攻撃 と言います。
ただ、この経路と手口で GandCrab が強制インストールされるには、次の ウイルス感染条件2つ のうち1つでも当てはまることが絶対必須です。
サイトを見ただけでウイルス強制感染の対策
- 毎月定例更新の Windows Update が実施されていない
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx - Adobe Flash Player を最新版に更新していない
https://get.adobe.com/jp/flashplayer/about/
最新版をキッチリ維持する無料ウイルス対策が完璧な Windows PC なら、ネットサーフィン中の GandCrab 強制感染はほぼ100%あり得ず大丈夫です。 
<先手を打つと攻撃者はお手上げ
<先手を打つと攻撃者はお手上げそれこそ、現実離れな 「怪しいサイトにアクセスしない」「エッチなサイトにアクセスしない」 とか、ランサムウェアには無意味なウイルス対策です。 
《2》 ウイルスメールからの GandCrab 自爆感染
そんな何の変哲もない ”うっかり” な行動1つをキッカケとして、最終的に GandCrab を Windows へススーッと招き入れる 自爆感染 になります。
実際に、ポチポチッとダブルクリックすることで、GandCrab に感染する 不正なファイル の実物がコチラ♪
~ 迷惑メール添付の不正なファイル ~
PDF ファイル?
JPEG 画像ファイル?
ラブレター?
そこで、次の無料ウイルス対策3つを実施しておきましょう。
<先手を打つと攻撃者に出し抜かれない- スクリプトファイル js/vbs/wsf を無害化するウイルス対策
- Office ファイル xls/doc マクロの感染手口を防ぐウイルス対策
- 悪用プログラムの外部通信をファイアウォールでブロックする対策
ウイルスメールの対策として 「怪しいメールを開くな」「不審なファイルを開くな」 といった精神論を目にします。
ただ、現実にランサムウェアの被害にあうユーザーさんは、脅威を見抜けずにヒューマンエラー(人為的ミス)を引き起こしているので、そういうのは理想論に終わるだけです。
《3》 その他の GandCrab 感染経路
○ ”道に落ちてる食べ物の拾い食い” で感染する
GandCrab に感染する直前場面
Windows セキュリティの警告は無視される悲劇…
- 一般サイトを閲覧中、フォントが見つからないとして更新を促す偽の通知ウィンドウが表示 され、攻撃者に完全に心を操られて 実行ファイル .exe や スクリプトファイル .js を起動する
- 海外系フリーソフト、あるいは有償製品のインストーラ(Microsoft Office、Adobe Photoshop の海賊版・クラックツール)などと自称させた 実行ファイル .exe や スクリプトファイル .js を検索エンジン経由でダウンロードさせる
ユーザーさんはマトモなプログラムやファイルと思い込んでるので躊躇せずに開くし、後手に回って出し抜かれるセキュリティソフトは警告しないリスクから、”拾い食い” の被害は普通に起こります。
○ Phorpiex ワームによる GandCrab 感染攻撃
〔 VNC サーバー経由の不正アクセス 〕
5900 ポート VNC(Virtual Network Computing) サーバーに脆弱なパスワードで不正アクセス → ftp.exe、bitsadmin.exe、powershell.exe を介して Phorpiex ワーム感染 → GandCrab がダウンロードされて感染
〔 NetBIOS 経由の不正アクセス 〕
Phorpiex ワーム感染 → USB メモリ内に元からあるファイルが消失し、代わりに不正なショートカットが作成される → 汚染されてる USB メモリを別の PC に接続 → ユーザーが不正なショートカットを開いて DeviceManager.exe が起動 → GandCrab がダウンロードされて感染
GandCrab ランサムウェアの感染症状
■ GandCrab 脅迫文ファイル
暗号化されたファイルの置かれてる各フォルダーに、GandCrab の脅迫文ファイルが新規作成されます。
PC のファイルをほぼすべて破壊し尽くし、この GandCrab の脅迫文ファイルが目の前に表示されてランサムウェアの感染被害に初めて気づく…、なんて最悪です。 
【GandCrab 脅迫文ファイル】
GDCB-DECRYPT.txt FireflyFramer
CRAB-DECRYPT.txt
KRAB-DECRYPT.txt
[ファイルの拡張子]-DECRYPT.html
[ファイルの拡張子]-DECRYPT.txt
[ファイルの拡張子]-MANUAL.txt
【GandCrab 脅迫文の内容】
---= GANDCRAB V5.2 =---UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVEREDFAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORSAttention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .EAAVGEVZThe only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:| 0. Download Tor browser - https://www.torproject.org/| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef[.]onion/[英数字]
| 4. Follow the instructions on this page
■ レジストリと実行ファイル
(※記事投稿2018年2月時点の情報)
GandCrab ランサムウェアを起動するため、Windows のレジストリに実行ファイル(拡張子 .exe)の置き場所が示されてるキーが新規作成されます。
【レジストリ】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
名前 → [ランダム文字列]
データ → 実行ファイルの位置
【ファイル】
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\[ランダム文字列].exe
あるいは
C:\Users\[ユーザー名]\AppData\[ランダム文字列].exe
・ C:\Users(ユーザー)フォルダーは ”隠しフォルダー” なので表示する方法
https://support.microsoft.com/ja-jp/help/14201/
https://support.microsoft.com/ja-jp/help/14201/
■ ランサムウェアで暗号化されたファイル
GandCrab によって暗号化された文書、画像、圧縮ファイルは、破壊の目印として元々のファイル名に任意の拡張子を付け足して変更します。
以前の GandCrab で破壊されたファイルの拡張子は、特定の文字列で固定だったものの、直近バージョン GandCrab V5 系統はランダムなアルファベット小文字(文字数 5~10)です。
【GandCrab 暗号化されたファイルの拡張子例】[オリジナル名].GDCB[オリジナル名].CRAB … GANDCRAB 2.0 / 2.1 / 3.0Firefly
[オリジナル名].KRAB … GANDCRAB 4.0
[オリジナル名].[アルファベット] … GANDCRAB V5.0.4 / V5.1 / V5.2
- ルーマニア BitDefender ←
- 中国 Qihoo 360
- スロバキア ESET
→ ランサムウェア感染で開けないファイル復号ツールまとめ 無料で復元復旧?
GandCrab ランサムウェアに感染したなら、将来的に無料で復号できる手段が登場するのを祈って、暗号化ファイルたちと脅迫文ファイル1つを別に保存しておいて待つのも得策? 
あと、Windows 7/10 で有効になってるバックアップ機能(ボリュームシャドウコピーサービス)のデータが残存してる奇跡に恵まれると、GandCrab に破壊される前のファイルを ShadowExplorer で復元できる可能性があります。 
GandCrab セキュリティトピックス
手元で調査した GandCrab ランサムウェアの検体です。
フォントファイル更新名目
GandCrab 実行ファイル実物
2018年2月 取得
1e48f9f0d2675f5dd7be17b399ccb1f4
www.virustotal.com/ja/file/7a2b0084c67598cf19e11bcb04211ba94b3ade2d157046bdb950e955672adcfd/analysis/1517734834/
2019年1月 取得
ダウンローダー (Phorpiex ワーム)
de77eb32df7c723878d8c5608ace6a14
↓
GandCrab ランサムウェア本体
bcc344cf6ca7c33396382ccdbc0e005c
023c3ef46885f78237e98c80d6087bd2
9714f06c310c39a43c34d555de9ce8c3
【GandCrab ウイルス検出名例】
ESET Win32/Filecoder.GandCrab.FKaspersky Trojan-Ransom.Win32.GandCrypt HEUR:Trojan-Ransom.Win32.Encoder.gen FireflyFramer
Microsoft Ransom:Win32/GandCrab.A Ransom:Win32/GandCrab.B Ransom:Win32/GandCrab!rfn Ransom:Win32/Gandcrab.C!bit Ransom:Win32/Gandcrab.D!bit Ransom:Win32/GandCrab.E TrojanDownloader:PowerShell/GandCrab Trojan:Win32/GandCrab Trojan:Win32/GandCrab!rfn Trojan:Win32/Gandcrab.AF!bit
Symantec Ransom.GandCrab Ransom.GandCrab!g1 Ransom.GandCrab!g2 Ransom.GandCrab!g3 Ransom.GandCrab!g4 SONAR.GandCrab!gen1 SONAR.GandCrab!gen2 SONAR.GandCrab!gen3 Ransom.GandCrab!g5
Trend Micro Ransom.Win32.GANDCRAB Ransom_GANDCRAB Ransom_GandCrypt Trojan.JS.GANDCRAB Trojan.INF.GANDCRAB.AVL Ransom_Encoder
身代金ビジネスを安々と妨害されないよう、新鮮な GandCrab の亜種検体がドバドバ投入され、セキュリティソフトの対応が後手に回るのもザラです。<追って対応されたところで PC 内のファイルはすべて破壊され終えてるはず
<追って対応されたところで PC 内のファイルはすべて破壊され終えてるはず有償製品を宣伝する詐欺サイトに注意!
ほとんでデタラメな情報で GandCrab の駆除方法を案内する 詐欺サイト がネット上に複数存在するのでご注意を。 
困ったことに、詐欺サイトが Google や Yahoo! の検索結果にやたらヒットし、意味不明でメチャクチャな日本語の文章で書かれてあることも多く読む価値0です。 
【宣伝目的の詐欺サイト例】
http://cleanspyware.vir.us[.]com/
http://delete-pcvirus.spyware-removal[.]org/
http://deletemalware.uninstallmalwareinfection[.]com/
http://deletepcthreats.trojanremovaltool[.]org/
http://deletespyware.uninstall-spyware[.]net/
http://deletethreat.uninstallspyware[.]org/
http://deletevirus.how2deletevirus[.]com/
http://fixpcerror.fixregistryerror[.]org/
http://getridof-malware.antispyware1[.]net/
http://japanese.malwares[.]news
http://jp.howtouninstall[.]guide
http://jp.pcmalwareremoval[.]com/
http://jp.removeallmalwarefrompc[.]com/
http://remove-pcvirus.virusremoval-tool[.]net/
http://removemalware.antivirus-software[.]biz/
http://removespyware-jp.malwareremovals[.]net
http://removespyware.makepcsafer[.]com/
http://sakujosuru[.]jp/
http://uirusu[.]jp/
http://remove-virus.malwaregrounded[.]com/
http://www.2-remove-malware[.]com/jp/
http://www.2-remove-virus[.]com/jp/
http://www.4-cybersecurity[.]com/jp/
http://www.all-virus-removal[.]com/jp/
http://www.cyber-technews[.]com/jp/
http://www.malware-fixes[.]com/jp/
http://www.malware-killers[.]com/maljp
http://www.pc-threat[.]com/jp/
http://www.pcinfectionsupport[.]com/jp/
http://www.pcviruscare[.]com/blog/
http://www.pulsetheworld[.]com/jp
http://www.removal-virusguide[.]com/jp/
http://www.removal4virus[.]com/jp/
http://www.remove-all-virus[.]com/jp/
http://www.removemalware-jp[.]com/
http://www.tips2-remove[.]com/jp/
http://www.uninstallallmalwares[.]com/
https://bestsecuritysearch[.]com/
https://delete-pcvirus.spyware-removal[.]org/
https://deletemalware[.]net/ja/
https://deletespyware.spywarescansoftware[.]com/
https://deletethreat.uninstallspyware[.]org/
https://getridof-malware.antispyware1[.]net/
https://howtoremove[.]guide/
https://japanese.malwares[.]news/
https://jp.howtoremovemalwarefrompc[.]com/
https://loaris[.]com/ja/
https://malwaresolution[.]net/ja/
https://myspybot[.]com/
https://remove-pcvirus.virusremoval-tool[.]net/
https://remove.pcninza[.]com/
https://removemalware.antivirus-software[.]biz/
https://removemalware.trojan-protection[.]com/
https://removepcthreat.clean-spyware[.]net/
https://remover-spyware.antispyware-software[.]com/
https://removevirus.upstatestyles[.]com/
https://removevirusnmalware[.]com/
https://sensorstechforum[.]com/
https://trojan-killer[.]net/ja/
https://uninstall.killingallvirus[.]com/
https://uninstallvirus.deletemalwarefrompc[.]com/
https://virus-removal-guide[.]net/ja/
https://www.2-spyware[.]com/
https://www.bugsfighter[.]com/
https://www.malwarerid[.]jp/malware/
https://www.pcmalwareexpert[.]com/jp/
https://www.pcrisk[.]com/
https://www.removemalware-jp[.]com/
https://www.uninstallallmalwares[.]com/
https://www.virusresearch[.]org/
これら 詐欺サイト の中身は、「○○ 駆除ツール」「ダウンロードの削除ツール」「Windows Scanner Tool」「無料ダウンロード」 と称して、次の実行ファイルを起動するよう仕向ける内容です。 
<「Reimage Repair」「SpyHunter」
<「Reimage Repair」「SpyHunter」- Reimage Repair … ReimageRepair.exe
- SpyHunter … SpyHunter-Installer.exe
- Plumbytes Anti-Malware … antimalwaresetup.exe
- Loaris Trojan Remover … trojanremover-install.exe
- GridinSoft Anti-Malware … setup-antimalware.exe / antimalware.exe
- WiperSoft … WiperSoft-installer.exe
- Data Recovery Pro … Pareto_DR_Setup_RW.exe
これらは海外製の有償製品なので、手動インストールしてスキャンを行っても、クレジットカード決済でライセンスの購入を催促されるだけです。 <ランサムウェア駆除作業まで進まない
<ランサムウェア駆除作業まで進まない
コメント