初回投稿 2019年7月7日
最終更新 2019年8月22日


Welcome Againランサムウェアreadme.txtファイル拡張子ウイルス感染に注意!

19e66eff.png

2019年4月下旬あたりから、ファイルを暗号化して破壊し、身代金の支払うよう要求するウイルス(ランサムウェア)が特に海外で確認されています。

ウイルス自らはユニークな名前を名乗っていないため、セキュリティ界隈では特段の意味を持たない Sodinokibi というランサムウェア名が充てがわれていて、その他に REvil といった呼称もあります。

【セキュリティソフトのウイルス検出名】
ESET Win32/Filecoder.Sodinokibi.A Win32/Filecoder.Sodinokibi.B
Kaspersky Trojan-Ransom.Win32.Sodin
Microsoft Ransom:Win32/Sodinokibi.A Ransom:Win32/Sodinokibi.A!MTB Trojan:Win32/Sodinokibi.B Ransom:Win32/Sodinokibi.C Ransom:Win32/Sodinokibi.F Behavior:Win32/Sodinokibi.A Behavior:Win32/Sodinokibi.B Behavior:Win32/Sodinokibi.C
Symantec Ransom.Sodinokibi Ransom.Sodinokibi!g1
Trend Micro Ransom.Win32.SODINOKIBI Trojan.Win32.SODINOK.SM

ロシアのセキュリティ会社カスペルスキーの調査によれば、Sodinokibi ランサムウェアのウイルス感染被害を喰らったであろう地理的位置の割合は次のような感じだとか。

台湾(17%)
香港(9%)、韓国(8%)、ドイツ(8%)、日本(8%)
イタリア(5%)、スペイン(4%)
アメリカ(2%)、ベトナム(2%)、マレーシア(2%)
※小数点切り捨て



Sodin ransomware exploits Windows vulnerability and processor architecture - Kaspersky
https://securelist.com/sodin-ransomware


感染で身代金13万円の支払い要求

ランサムウェアはファイルを元に戻す復号ツール Decryptor の購入を名目に身代金を要求します。

手元の環境で感染させた場合だと、その額は仮想通貨ビットコインの支払いで1,300ドル相当となっていて、1週間経過した場合は2倍の2,600ドル相当に引き上げる、としてプレッシャーを掛けてきます。

zクリップボード

Your documents, photos, databases and other important files encrypted
Your computer has been infected!
To decrypt your files you need to buy our special software - q1gu5s-Decryptor Firefly
You can do it right now. Follow the instructions below. But remember that you do not have much time

Sodinokibi ランサムウェアの感染経路

《1》 RDP リモートデスクトップ接続

Windows の上位エディション、あるいはサーバー向けの環境に標準で実装されている RDP(リモートデスクトップ接続) を介して、遠隔操作でウイルス感染させるパターンです。

  • Windows 7 Professional
  • Windows 10 Pro

  • Windows Server

どこかしらの攻撃者が、適切なパスワードが設定されていないターゲットの Windows PC にログイン画面から普通に不正アクスした上で、何かしらランサムウェアの実行ファイルを手動起動する手口となります。


《2》 ウイルス付きの迷惑メール

「金銭の支払い請求書」 「荷物の配達通知」 みたいに装った無視できない 迷惑メール(スパムメール) が無差別にバラ撒かれ、その添付ファイルを Windows ユーザーさんがポチポチッとダブルクリックして開く自爆感染のパターンです。


東アジア方面の攻撃ターゲットとして韓国語や中国語のウイルスメールは投入されているようだけど、日本国内ユーザーを明確に狙って Sodinokibi ランサムウェアを感染させるウイルスメールが大量にバラ撒かれる状況は確認されていません。


《3》 サイト閲覧 (ドライブバイ・ダウンロード攻撃)

ネットサーフィン中 に突発的に発生する攻撃手口で、Windows ユーザーさんに対して何ら確認場面なくランサムウェアが問答無用で強制インストールされるパターンです。

  • 改ざん被害を喰らっている一般サイトをたまたま閲覧する

  • 一般サイトに掲載されている広告コンテンツに広告配信ネットワークを介して攻撃処理が流れてくる
    マルバタイジング

ただ、この感染経路は、次のウイルス感染条件2つのうち1つでも該当する PC 限定のお話です。

  1. 定例更新の Windows Update を実施していない
    https://support.microsoft.com/ja-jp/help/12373/

  2. Adobe Flash Player を旧バージョンのまま更新していない
    https://get.adobe.com/jp/flashplayer/about/

セキュリティ対策の基本中の基本ができてないことがランサムウェア感染原因なので、自業自得です。

Sodinokibi ランサムウェアのウイルス感染症状

● ファイルの拡張子が変更されて、文書/画像ファイルが開けない!

ランサムウェアで暗号化されて開けないファイルの状態は?

「 (ランサムウェア感染前のオリジナルファイル名).[拡張子] 」

拡張子はアルファベット小文字と数字の組み合わせ
└ 文字列の長さは 5~10 ケタあたり?

拡張子がファイル名の後尾に付け足される形 → オリジナル名はいちお認識できる

fireflyframer.jpg
→ fireflyframer.jpg.q1gu5s

fireflyframer.doc
→ fireflyframer.doc.q1gu5s

aクsodinokibiリップボード


● 各フォルダーに身代金を要求する脅迫文ファイル

「 [拡張子の文字列]-readme.txt 」
(例、q1gu5s-readme.txt)

使用言語は英語オンリー
→ 2019年8月第四週に韓国語&中国語のメッセージを含む3言語バージョンも確認されている

---=== Welcome. Again. ===---
[+] Whats Happen? [+] Firefly
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 3oe7iy.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+] Firefly
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
[+] How to get access on website? [+] Firefly
You have two ways:
1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: https://torproject[.]org/
  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor[.]top/ ~
Warning: secondary website can be blocked, thats why first variant much better and more available.
When you open our website, put the following data in the input form:
Key: ~ Firefly
--- === 환영합니다. 다시. === ---[+] 일이 어떻게됩니까? [+] Firefly파일이 암호화되어 현재 사용할 수 없습니다. 그것을 확인할 수 있습니다.우리의 지시를 따르는 것이 가능합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대로).[+] 보장은 무엇입니까? [+]그것의 다만 사업. 혜택을 얻고 있습니다. 당신이 우리의 장인이 아닌 경우 우리의 관심사가 아닙니다.파일을 반환하는 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 거기에서 무료로 하나의 파일을 해독 할 수 있습니다. 그것은 우리의 보증입니다.그건 중요하지 않아. 그러나 당신은 개인 키를 잃어 버릴 것입니다. 실제로 - 시간은 돈보다 훨씬 가치가 있습니다.[+] 웹 사이트에 액세스하는 방법? [+] Firefly두 가지 방법이 있습니다.1) [추천] TOR 브라우저 사용!  a)이 사이트에서 TOR 브라우저를 다운로드하여 설치하십시오 : https://torproject[.]org/  b) 웹 사이트를 엽니 다. http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~2) 귀하의 국가에서 TOR이 차단 된 경우 VPN을 사용해보십시오! 하지만 보조 웹 사이트를 사용할 수 있습니다. 이것을 위해 :  a) 모든 브라우저 열기 (Chrome, Firefox, Opera, IE, Edge)  b) 보조 웹 사이트를 엽니 다. http://decryptor[.]top/ ~경고 : 보조 웹 사이트를 차단할 수 있습니다.저희 웹 사이트를 열 때,키 : ~ Firefly
--- === 歡迎。再次。 === ---[+] 發生了什麼事? [+] Firefly您的文件已加密,目前無法使用。您可以檢查它:您計算機上的所有文件都有擴展名 900fklll6。順便說一句,一切都可以恢復(恢復),但你需要按照我們的指示。否則,您無法返回數據(從不)。[+] 有什麼保證? [+]它只是一個企業。除了獲得福利外,我們絕對不關心您和您的交易。如果我們不做我們的工作和責任 - 沒有人不會與我們合作。這不符合我們的利益。要檢查返回文件的能力,您應該訪問我們的網站。在那裡你可以免費解密一個文件。這是我們的保證。如果您不配合我們的服務 - 對我們而言,無所謂。但是你會丟失你的時間和數據,因為我們只有私鑰。在實踐中 - 時間比金錢更有價值。[+] 如何訪問網站? [+] Firefly你有兩種方式:1)[推薦]使用TOR瀏覽器!  a)從該站點下載並安裝TOR瀏覽器:https://torproject[.]org/  b)打開我們的網站:http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/ ~2)如果您所在國家/地區的TOR被阻止,請嘗試使用VPN!但您可以使用我們的二級網站。為了這:  a)打開任何瀏覽器(Chrome,Firefox,Opera,IE,Edge)  b)打開我們的二級網站:http://decryptor[.]top/ ~警告:可以阻止輔助網站,這就是為什麼第一個變體更好,更可用。當您打開我們的網站時,請在輸入表單中輸入以下數據:鍵: ~ Firefly

● Windows のデスクトップの壁紙を変更する

壁紙の画像 → ”青色の背景+黒色の砂嵐”、白い文字

aa3ds65h9digd

u6w31vfa

All of your files are encrypted! Find [拡張子]-readme.txt and follow instuctions
All of your files are encrypted! Find how to decrypt [拡張子]-readme.txt and follow instuctions
모든 파일이 암호화되어 있습니다! [拡張子]-readme.txt 찾기 및 설치 방법 따르기
您的所有文件都已加密! 找到 [拡張子]-readme.txt 业按照锐明操作

● ボリュームシャドウコピーのデータを全消去する
└ Windows 7、Windows 10 で標準で有効になっているファイルのバックアップ機能

● 名前が 「backup」「Backup」 になっているフォルダーをストレージ上から検索ぅ
そのフォルダー内にあるファイルに対して内部データを 0x00 で埋めて上書き保存することで破壊


Windows レジストリ

ファイルの暗号鍵のデータ置き場みたい。

9クリップボード

HKEY_LOCAL_MACHINE\Software\recfg

検索結果にヒットする詐欺サイトに注意!

ランサムウェア感染被害の対処方法を案内するセキュリティ情報サイト?

そのように装ってユーザーを騙し、有償製品 SpyHunter 5GridinSoft Anti-MalwareReimage RepairWiperSoftLoaris Trojan Remover を導入するよう仕向ける詐欺サイトにご注意ください。

【有料製品の宣伝目的な詐欺サイト例】
delete-pcvirus.spyware-removal.org
jp.howtoremovemalwarefrompc.com
jp.howtouninstall.guide
jp.removeallmalwarefrompc.com
removeadware.net/ja
removepcthreat.scanforvirus.org
sakujosuru.jp
uninstallvirus.deletemalwarefrompc.com
virus-removal-guide.net/ja
www.2-spyware.com
www.2removal.com/jp
www.allvirus-removal.com/jp
www.enigmasoftware.jp
www.malware-fixes.com/jp
www.malwarerid.net
www.pccareguide.com
www.pcinfectionsupport.com/jp
www.pcissuessolution.com/jp
www.pcmalwareexpert.com/jp
www.pcrisk.com
www.removal-virusguide.com/jp
www.removemalware-jp.com
www.security-fixes.com/jp
www.threat-2remove.com/jp
www.tips-2remove.com/jp
www.tips2-remove.com/jp
【詐欺サイトのタイトル例】
Sodinokibi ランサムウェアの復号化と削除
Sodinokibi Ransomware を削除する方法 除去のヒント
Sodinokibi Ransomwareを削除して暗号化ファイルを回復する
Sodinokibi Ransomwareを削除する方法
PCからRansom.Sodinokibiを削除する方法
Sodinokibi を削除する方法 Virus 4 除去
取り除く Sodinokibi Ransomware から Windows 2000
簡単なガイド 取り除く Sodinokibi Ransomware から Windows 2000
Sodinokibi (ランダムな拡張子) アラート どのように Sodinokibi の解消を取得するには
ヒント 削除 Ransom.Sodinokibi から Windows XP
取り除く Ransom.Sodinokibi!g1 即座に
ステップバイステップガイド 削除 Sodinokibi Ransomware

検索エンジン Google や Yahoo! で調べると、詐欺サイトが検索結果にヒットするから厄介です。

  • 機械翻訳による支離滅裂で意味不明な日本語の文章で溢れ返る

  • その内容はダラダラ長いだけの無益なセキュリティ情報なので読む価値なし

関連するブログ記事
ファイルの拡張子を表示する Windows PC 向けの無料ウイルス対策
迷惑メール添付のスクリプトファイル .js .vbs の感染を防ぐ無料ウイルス対策
迷惑メール添付の Office ファイル .doc .docm .xls マクロの感染を防ぐ無料ウイルス対策

これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。