ファイル暗号化ランサムウェアウイルス Crypt0L0cker 【日本語で身代金要求】

ツイート

ランサムウェア（Ransomware）は、身代金を要求する脅迫ウイルスです。

Crypt0L0cker を名乗る不正なプログラムは、Windowsパソコンに保存されてる特定の拡張子を持ったファイルを暗号化して人質にとり、これを復元して解除するのを盾に身代金の支払い要求します。 (´＿｀)ノ

ちなみに、Crypt0L0cker はアルファベットの”オー”を数字の”ゼロ”で表記していて、こういう表現方法は「leet」（リート）といいます。

～ ファイルの暗号化作業が完了した直後に表示されるウィンドウ ～

日本語 『ご注意 お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました』

ご注意
お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました

お客様の重要なファイル（ネットワーク・ディスク、USBなどのファイルを含む）：画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスによって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

警告: Crypt0L0ckerを削除しても、暗号化されたファイルへのアクセスを復活させることはできません。

ファイル復元のお支払いはこちらをクリックしてください

暗号化の対象は、文書ファイル（Office Word／Excel、PDF）、画像ファイル（JPEG）、音楽ファイル、動画ファイルといった形式で、実行ファイル（*.exe）やシステム関連ファイル（*.dll、*.sys）、Program Filesフォルダ内のファイルを対象から外すことで、Windowsパソコンの動作そのものは維持される設計になってます。

Crypt0L0cker により暗号化されたファイルの拡張子 *.encrypted

解除するための鍵データは Crypt0L0cker を操る攻撃者のサーバー上に保管されてるため、残念ながら現時点では身代金を支払う以外にファイルを元に戻すのは困難な状況です。

～ 匿名通信Torネットワーク上に用意されてる”暗号解読ソフト”の販売ページ ～

仮想通貨Bitcoinで約５万円相当を支払うよう要求し、一定の時間が経過した場合は２倍に引き上げると脅迫

このランサムウェアは、2014年からオーストラリアやヨーロッパのユーザーをターゲットに TorrentLocker（トレントロッカー） という種類で知られていたもので、2014年上半期に米FBIなど法執行機関の摘発によりネットワークが陥落して活動が終了した CryptoLocker とは種類がまったく異なる別モノです。

Crypt0L0cker は似たような名前を名乗って真似をする”偽CryptoLocker”になります。

そして、2015年4月中旬らへんから、より広範な地域に投入できるよう改良された多言語対応バージョン（英語、ドイツ語、スペイン語、ポーランド語以外に日本語、中国語、韓国語、タイ語）が投入され、日本も含め東アジアや東南アジアでも感染被害が確認されるようになってます。

CryptoLocker-copycat TorrentLocker/Crypt0L0cker (Chinese, Korean and Thai...)

• 2014年10月 ランサムウェア「TorrentLocker」の攻撃を確認、およそ 4千の機関や企業で被害 （トレンドマイクロ）
• 2015年4月 ランサムウェアによる攻撃が極東地域でも拡大 （シマンテック）
  2015年4月 日本語対応したCryptoランサムウェアを国内で確認 （トレンドマイクロ）
• 2015年10月 ランサムウェア拡散を狙うWeb改ざん、国内サイト70件以上で被害を確認 （トレンドマイクロ）

感染手口はネットサーフィン中の強制インストール

Crypt0L0ckerウイルスは、偽セキュリティソフトやネットバンク不正送金ウイルスと同じ手口で、改ざん被害を受けてる一般サイトやブログを偶然訪問した時や、侵害された広告配信サーバーが運悪く読み込まれた時に強制インストールされるドライブバイ・ダウンロード攻撃の手口を確認してます。

この攻撃が成立する条件は、下の４系統の中で１つでも当てはまった場合に限定されます。 （＾ー＾）b

1. Adobe Flash Player を旧バージョンのまま放置してる
2. Windows Update が実施されてない
3. Java を旧バージョンのまま放置してる
4. Adobe Reader を旧バージョンのまま放置してる

言い換えると、4条件に当てはまらないよう無料セキュリティ診断や無料ウイルス対策をユーザーが実施しておけば、こんな Crypt0L0cker ウイルスを目にする機会に100％恵まれないことになります。 （＾o＾）v

大事なファイルをバックアップ！ 外付けハードディスク

1. Adobe Flash Player はちゃんと最新版に更新されてる
2. Windows Update は毎月実施されてる
3. Java はちゃんと最新版に更新されてる
4. Adobe Reader はちゃんと最新版に更新されてる

※ Windows XP ⇒ 2014年4月にマイクロソフトのサポートが終了してるから Windows Update できず！

仮にもこのような対策ソフトがWindowsパソコンに導入されてあっても、感染４条件をクリアしておらずウイルス感染経路が開いたまま放置されていれば被害に巻き込まれうるので注意が必要です。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー

どっちも ＼(^o^)／ ヤバイ

あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

Crypt0L0ckerウイルス関連情報

ウイルスの挙動を確認するため、このようなランサムウェアをWindowsパソコン上で感染させてブログで紹介し、感染経路や攻撃を回避する対策にも触れてます。

• 2015年4月 お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました
  https://blogs.yahoo.co.jp/fireflyframer/33414944.html
• 2015年6月 日本でランサムウェアウイルス感染流行の推移と対策
  https://blogs.yahoo.co.jp/fireflyframer/33499798.html

■ 「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる”可能性”があります。

• ShadowExplorer … 「ボリューム シャドウコピー」のデータを視覚的に閲覧できファイルを復旧できるフリーソフト
  http://fireflyframer.blog.jp/19064015.html
• [Windos Vista/7] 以前のバージョンのファイル: よく寄せられる質問 （Microsoft サポート）
  http://windows.microsoft.com/ja-jp/windows/previous-versions-files-faq
• [Windows 8] ファイル履歴を使ってファイルまたはフォルダーを復元する （Microsoft サポート）
  http://windows.microsoft.com/ja-jp/windows-8/how-use-file-history

現時点で、コレ以外だとバックアップからファイルを復旧するぐらいしか手段がありません。

■ レジストリ＆ファイル

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
項目名 → [ランダム文字列]
データ → C:\Windows\[ランダム文字列].exe

C:\Windows\[ランダム文字列].exe
～ /DECRYPT_INSTRUCTIONS.html
～ /DECRYPT_INSTRUCTIONS.txt
～ /INSTRUCTIONS.html
～ /INSTRUCTIONS.txt

※ ランダム文字列 … 感染マシンごとにバラバラ （アルファベット小文字＋長さ8文字）

■ 無料ウイルススキャンツール （フリーソフト、駆除対応）

「CryptoLocker」ウィンドウが邪魔なら、右上の×ボタンはウィンドウが再表示されるだけで終了できないので最小化してください。また、[セーフモード] や [セーフモードとネットワーク] に移行すると「CrypoLocker」ウィンドウは起動しません。

• マイクロソフト セーフティスキャナー Microsoft Safety Scanner
  https://www.microsoft.com/ja-jp/wdsi/products/scanner （使い方はコチラ）
• マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free
  https://www.malwarebytes.com/antimalware/ （使い方はコチラ）

駆除自体は難しくはないものの、最低限Windowsパソコンを動作させる以外のファイルが破壊されてるはずで、ソフトウェアの入れ直しなどの手間暇を考えると、リカバリ（初期化）も検討してください。

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunter（SpyHunter-Installer.exe） を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい！ (；´Д｀)＜日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

■ セキュリティ会社の脅威情報

• Ransom:Win32/Teerac.A Behavior:Win32/Teerac.B Ransom:Win32/Teerac.E Behavior:Win32/Teerac.gen!A Ransom:Win32/Teerac!rfn Ransom: HTML/Teerac.A Ransom:HTML/Teerac.B Ransom:HTML/Teerac.C （マイクロソフト）
• TROJ_CRILOCK TROJ_CRYPLOCK TROJ_CRYPTLOCK （トレンドマイクロ）

☆ 関連キーワード統計情報
[ランサムウェア 駆除方法] [ランサムウェア とは] [ランサムウェア 解除] [ランサムウェア 感染] [ランサムウェア 対策] [ランサムウェア ファイル復元] [Crypt0L0ckerウイルス] [Crypt0L0cker 駆除] [Crypt0L0cker 復旧] [Crypt0L0cker 対処] [Crypt0L0cker ウイルス] [Crypt0L0cker 復元] [Crypt0L0cker 削除] [CryptoLocker 駆除] [CryptoLocker 削除] [CryptoLocker 復元] [CryptoLocker 削除方法] [CryptoLocker 解除] [CryptoLocker とは] [CryptoLocker 暗号化] [CryptoLocker 読み方] [CryptoLocker アンインストール] [encrypted CryptoLocker] [クリプトロッカー 駆除] …