雑記 > ランサムウェア > CrypMIC

PR 国内メーカー東芝の直販 - 4万円台からノートPC安い!

README.html拡張子変更なしファイル暗号化ウイルスの感染経路・対策・駆除は?

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)は、身代金を要求して脅迫するウイルスです。

自らユニークな名前をまったく名乗ってない不正なプログラムは、Windowsパソコン に保存されてる特定の拡張子を持ったファイルを暗号化し、ファイル名や拡張子を変更せずオリジナルの名前を維持したまま破壊します。

そして、このファイルを元に戻して開けるようにする復号ツール 「Microsoft decryptor」 を仮想通貨ビットコインで購入するよう脅迫する深刻な脅威になります。 (;´Д`)<英語で

~ ファイルを暗号化したので身代金を支払うよう脅迫 ~

暗号化ファイルの復号に身代金要求型ウイルスによるブラウザのHTMLファイル RSA4096?

暗号化ファイルの復号に身代金要求型ウイルスによるブラウザのHTMLファイル RSA4096? RZ4096? ファイル名や拡張子の変更なし
テキスト、BMPファイル 「README.html」「README.bmp」「README.txt」

NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_

ATTENTION!
YOUR FILES ARE ENCRYPTED.
All your files are encrypted.

Write down the information to notebook (excercise book!) and reboot the computer.
What happened to your files?
All of your files were protected by a strong encryption with RSA-4096
More information about the encryption RSA-4096 can be found here: http://en.wikiDedia.orQ/wiki/RSA (cryptosystem)
Your personal ID
********:********:********:********

ウイルス感染キャンペーンが始まった当初は、同じ配信経路でバラ撒かれていたランサムウェア CryptXXX の新しい更新バージョンと考えられてけど、後に CryptXXX の動作や雰囲気をビミョ~に模倣した別の種類と判明してます。

何か似てるランサムウェア2種の違い
- CrypMIC CryptXXX
暗号化ファイルの名前 変更なし 32ケタ英数字
暗号化ファイルの拡張子 変更なし 5ケタ英数字
脅迫文ファイルの形式 README.html
README.bmp
README.txt
@README.html
@README.bmp
脅迫文HTMLの配色 水色と白 紺色
Personal ID の数値 32ケタ英数字 12ケタ英数字
感染キャンペーン開始 2016年7月~ 2016年3月~

暗号化されるファイルの種類は、画像ファイル(.jpg .png .bmp .gif)、文書ファイル(.doc .docx .xls .xlsx .pdf .txt .cpp .html)、メディアファイル(.avi .wma .mp3 .mpg .mp4 .wmv)、圧縮ファイル(.zip .rar)といったものです。

なお、このランサムウェアはWindows用プログラムであり、たとえば Mac OS X、スマートフォン(Android/iOS)、ガラケー、家庭用ゲーム機、人体 あたりは残念ながら動作対応環境ではありません。

感染経路はサイト閲覧による強制感染

このウイルスは他の Windowsパソコン狙いのランサムウェアにある 2つ の経路 のうちの1つで感染してることが確認されてます。

【1】 ネットサーフィン中のドライブバイ・ダウンロード攻撃 []

ハッキング被害を受けてる一般サイトやブログをたまたま閲覧したり、侵害された正規の広告配信サーバーが運悪く読み込まれる状況に出くわし、ウイルスが有無を言わさず問答無用で強制インストールされるパターンです。

危険で怪しいサイトじゃないところでウイルスが配信されてる現実… ハッキングされランサムウェアをバラ撒く日本語表記の一般サイト
改ざんされてる歯科医院のホームページ! ”怪しいサイト”に注意しましょう♪

ただ、この攻撃手口が成立するには、下の4条件の中で1つでも該当するWindowsパソコンを使用してることが必須になります。

  1. Adobe Flash Player を更新することなく旧バージョンのまま放置してる
  2. Windows Update が実施されてない
  3. Java を更新することなく旧バージョンのまま放置してる
  4. Adobe Reader を更新することなく旧バージョンのまま放置してる

逆に言うと、この4条件にかすらないよう 無料セキュリティ診断 で確認したり、ウイルス感染経路をふさぐ対策 を行ってる Windows Vista/7/8/10 ならウイルスのお世話になる機会がまず訪れないことを意味します。

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新されてる
  2. Windows Update は毎月実施されてる
  3. Java はちゃんと最新版に更新されてる
  4. Adobe Reader はちゃんと最新版に更新されてる

Windows XP ⇒ 2014年4月のマイクロソフトサポート終了で Windows Update できない!

もっと言うと、このような対策ソフトが導入されてあっても実はウイルス感染経路が塞がらないので、ユーザーが更新作業を行わずウイルス感染経路が開いたまま放置してることでランサムウェア感染地獄へ一直線という悲劇が…。 orz

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

正規サイトや広告配信サーバーを感染源にウイルスがバラ撒かれてる状況なのに、巷で見かける 『怪しいサイトにアクセスしない♪』 といった現実の脅威と大きくズレてるウイルス対策は、ものすごい無謀なことを要求してます。

【2】 ウイルスメールの添付ファイル []

2016年8月時点で、ウイルスメールでバラ撒かれてる状況は確認されてません。 (将来的にどうなるかは分からない

ランサムウェアウイルスの駆除削除

ファイルを暗号化する処理が現在進行形なら、ファイルの破壊を一時的に止めさせるためファイル暗号化ウイルスが起動しない [セーフモード] または [セーフモードとネットワーク]Windowsパソコンを立ち上げてください。

ファイル&レジストリ

Windowsの一時フォルダに不正なDLLファイルが投下されます。


エクスプローラの日付で並び替えて感染日時と一致してる不正なファイルが…

このフォルダはデフォルトでは 隠しフォルダ になってるはずで切り替えます。

C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\[ランタ゛ム文字列].tmp.dll

DLLファイルは削除でいいけど、セキュリティ会社やオンラインスキャンサイト VirusTotal にアップしたいならデスクトップに移動させておいて、ひとまずランサムウェアは起動しません。

脅迫文ファイル (無害)

README.html / README.bmp / README.txt

無料ウイルススキャンツール (フリーソフト、駆除対応)

  1. マイクロソフト セーフティスキャナー Microsoft Safety Scanner でクイックスキャン
    https://www.microsoft.com/ja-jp/wdsi/products/scanner使い方はコチラ
  2. マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free で脅威スキャン
    https://www.malwarebytes.com/antimalware/使い方はコチラ
  3. カスペルスキー ウイルスリムーバル ツール Kaspersky Virus Removal Tool でスキャン
    https://support.kaspersky.co.jp/8527使い方はコチラ

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

ランサムウェア関連メモ

セキュリティ会社のウイルス検出名の例

セキュリティ製品のウイルス定義データでは脅威と判定されない新鮮な亜種検体が逐一配信され”イタチごっこ”の様相です。

「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる可能性があります。

ランサムウェアはシャドウコピーのデータの削除を試みます。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

アクセスキーワード統計情報
[ランサムウェア 駆除] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [RSA4096 ウイルス] [RZA4096 ウイルス] [RSA4096 削除] [RSA4096 感染経路] [要求型ウイルス RSA4096] [CryptXXX ウイルス] [NOT YOUR LANGUAGE USE ウイルス] [NOT YOUR LANGUAGE ウイルス 感染] [NOT YOUR LANGUAGE ウイルス 駆除] [NOT YOUR LANGUAGE 画面 現れた] [README.html ウイルス] [README.bmp ウイルス] …

雑記 > ランサムウェア > crypz/cryp1/cryptウイルス


Copyright © Let's Emu!. All rights reserved.