雑記 > ランサムウェア > CryptXXXウイルス

PR 国内メーカー東芝の直販 - 4万円台からノートPC安い!

5桁英数字ファイル拡張子ウイルスCryptXXX感染経路・対策・駆除は?

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)は、身代金を要求して脅迫するウイルスです。

自らユニークな名前をまったく名乗ってない不正なプログラムは、Windowsパソコン に保存されてる特定の拡張子を持ったファイルを暗号化して破壊し、そのファイルの拡張子に目印として 「~.[5ケタ英数字]」「~.crypz」「~.cryp1」「~.crypt」 を付け足します。

そして、このファイルを元に戻して開けるようにする復号ツール 「CryptoWall Decryptor」「Google Decryptor」「UltraDeCrypter」「Microsoft decryptor」 を仮想通貨ビットコインで購入するよう脅迫する深刻な脅威になります。 (;´Д`)<英語で

~ ファイルを暗号化したので身代金を支払うよう脅迫 ~

All your files are encryptedファイルを復元したいなら身代金を要求する壁紙BMPファイル NOT YOUR LANGUAGE? USE 拡張子.crypt/.cryp1/.crypzに変えて復元を阻む

暗号化ファイルの復号に身代金要求型ウイルスによるブラウザのHTMLファイル RSA4096? RZ4096? 拡張子.crypt/.cryp1/.crypzファイルに変換 → ランダム5桁の英数字の拡張子に変更
BMPファイル 「@README.html」「!README.html」「!Recovery [英数字].html」「![英数字].html」

NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_

YOUR FILES ARE ENCRYPTED.
All your files are encrypted.
ID: ************
http:// ~
Download and install tor-browser https://torproject.org/projects/torbrowser.html.en
TorURL: http:// ~
Write down the information to notebook (exercise book) and reboot the computer.

暗号化されるファイルの種類は、画像ファイル(.jpg .png .bmp .gif)、文書ファイル(.doc .docx .xls .xlsx .pdf .txt .cpp .html)、メディアファイル(.avi .wma .mp3 .mpg .mp4 .wmv)、圧縮ファイル(.zip .rar)といったものです。

ランサムウェア感染でエクセル文書や写真/画像ファイルの拡張子に.crypt/.cryp1/.crypzに付け足し変更し白アイコンに変化
目に見える症状として元のファイル名に拡張子crypt/cryp1/crypzを付け足す変更

ウイルス感染でエクセル文書や写真/画像ファイルの拡張子、白いアイコン、ランダムな数字(0-9)とアルファベット大文字(A-F)の長さ5桁を付け足し変更
5ケタのランダム英数字(数字0-9、アルファベット大文字A-F)を付け足す変更

加えて、ブラウザやメールソフトに保存させたパスワード、FTPソフトのアカウント情報などを引っこ抜いて攻撃者側へ送信する機能も備えてます。

なお、このランサムウェアはWindows用プログラムであり、たとえば Mac OS X、スマートフォン(Android/iOS)、ガラケー、家庭用ゲーム機、人体 あたりは残念ながら動作対応環境ではありません。

感染経路はサイト閲覧による強制感染

このウイルスは他の Windowsパソコン狙いのランサムウェアにある 2つ の感染経路 のうちの特に1つで感染してることが確認されてます。

【1】 ネットサーフィン中のドライブバイ・ダウンロード攻撃 []

ハッキング被害を受けてる一般サイトやブログをたまたま閲覧したり、侵害された正規の広告配信サーバーが運悪く読み込まれる状況に出くわし、ウイルスが有無を言わさず問答無用で強制インストールされるパターンです。

危険で怪しいサイトじゃないところがウイルス配信サイト化! ハッキングされた日本語表記の正規の一般サイト
ウイルスを配信し続ける某協会サイト! 怪しいコンテンツなぞなく…

ただ、この攻撃手口が成立するには、下の4条件の中で1つでも該当するWindowsパソコンを使用してることが必須になります。

  1. Adobe Flash Player を更新することなく旧バージョンのまま放置してる
  2. Windows Update が実施されてない
  3. Java を更新することなく旧バージョンのまま放置してる
  4. Adobe Reader を更新することなく旧バージョンのまま放置してる

逆に言うと、この4条件にかすらないよう 無料セキュリティ診断 で確認したり、ウイルス感染経路をふさぐ対策 を行ってる Windows Vista/7/8/10 なら、crypt/cryp1/crypz拡張子ウイルスのお世話になる機会がまず訪れないことを意味します。

大事なファイルをバックアップ! 外付けハードディスク

  1. Adobe Flash Player はちゃんと最新版に更新されてる
  2. Windows Update は毎月実施されてる
  3. Java はちゃんと最新版に更新されてる
  4. Adobe Reader はちゃんと最新版に更新されてる

Windows XP ⇒ 2014年4月のマイクロソフトサポート終了で Windows Update できない!

もっと言うと、このような対策ソフトが導入されてあっても実はウイルス感染経路が塞がらないので、ユーザーが更新作業を行わずウイルス感染経路が開いたまま放置してることでランサムウェア感染地獄へ一直線という悲劇が…。 orz

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

正規サイトや広告配信サーバーを感染源にウイルスがバラ撒かれてる状況なのに、巷で見かける 『怪しいサイトにアクセスしない♪』 といった現実の脅威と大きくズレてるウイルス対策は、ものすごい無謀なことを要求してます。

【2】 ウイルスメールの添付ファイル []

2016年7月時点で、ウイルスメールでバラ撒かれてる状況は確認されてません。 (将来的にどうなるかは分からない

[2016年7月 追記...]

米セキュリティ会社 Proofpoint の報告によれば、ドライブバイ・ダウンロード攻撃以外の感染経路として初となるウイルスメールを7月14日に観測したそう。

Lockyの感染を企む迷惑メール みたく、日本国内で使われるメールアドレス宛てにバンバン着弾するような状況は確認できてません。

ランサムウェアウイルスの駆除削除

ファイルを暗号化する処理が現在進行形なら、ファイルの破壊を一時的に止めさせるためcrypt拡張子ファイル暗号化ウイルスが起動しない [セーフモード] または [セーフモードとネットワーク]Windowsパソコンを立ち上げてください。

ファイル&レジストリ

[12ケタ英数字/8F26****F9ED] ⇒ 感染マシンごとに固定値、脅迫文ファイルの「Your personal id/ID」と一致

ランサムウェア起動用のショートカットファイル(拡張子 .lnk、通常は非表示)がWindowsのスタートアップフォルダに作成されます。 (スタートアップはパソコンを立ち上げた時に自動的に起動されるプログラムを指定できる場所)

C:\Users\[ユーサ゛ー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@[12ケタ英数字/8F26****F9ED].lnk
 または
C:\Users\[ユーサ゛ー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[12ケタ英数字/8F26****F9ED].lnk

このフォルダはデフォルトでは 隠しフォルダ になってるはずで切り替えます。

このショートカットを右クリックして、メニューから [プロパティ(R)] を選んで [リンク先(T)] の項目にcryptランサムウェア本体(DLLファイル)のパスが記述されてます。

C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\[ランタ゛ム文字列].tmp.dll

DLLファイルは削除でいいけど、セキュリティ会社やオンラインスキャンサイト VirusTotal にアップしたいならデスクトップに移動させておき、起動用のショートカットはゴミ箱へポイッしておくことで、ひとまずランサムウェアは起動しません。

脅迫文ファイル (無害)

de_crypt_readme.txt / ~,html / ~.bmp
!Recovery_[12ケタ英数字/8F26****F9ED].txt / ~.html / ~.bmp
[12ケタ英数字/8F26****F9ED].html / ~.txt / ~.bmp
![12ケタ英数字/8F26****F9ED].html / ~.txt / ~.bmp
@[12ケタ英数字/8F26****F9ED].html / ~.txt / ~.bmp
README.html / ~.txt / ~.bmp
!README.HTML / ~.TXT / ~.BMP
@README.HTML / ~.TXT / ~.BMP

無料ウイルススキャンツール (フリーソフト、駆除対応)

  1. マイクロソフト セーフティスキャナー Microsoft Safety Scanner でクイックスキャン
    https://www.microsoft.com/ja-jp/wdsi/products/scanner使い方はコチラ
  2. マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free で脅威スキャン
    https://www.malwarebytes.com/antimalware/使い方はコチラ
  3. カスペルスキー ウイルスリムーバル ツール Kaspersky Virus Removal Tool でスキャン
    https://support.kaspersky.co.jp/8527使い方はコチラ

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

無料ファイル復号ツール

復号ツール対応状況
----- 1.0 2.0 3.0 3.1 3.2 4.0
カスペルスキー O O O O O -
トレンドマイクロ O O * * * *
アンラボ - O * * * -

ロシアのセキュリティ会社カスペルスキーが提供してる復号ツール RannohDecryptor です。初期のバージョン(投入期間の最終日は2016年5月14、15日らへん)の暗号化ファイルに対応してます。

セキュリティ会社トレンドマイクロが提供してる復号ツール Ransomware File Decryptor(ランサムウェア復号ツール) です。暗号化ファイル3.xは一部ファイルの断片的な部分復元のみ対応です。

韓国のセキュリティ会社アンラボが提供してる復号ツール Removal Tool for CryptXXX Decryptor です。暗号化ファイル3.xは一部ファイルの断片的な部分復元のみ対応です。 (韓国語サッパリだけどGoogle翻訳などで把握可能

ランサムウェア関連メモ

セキュリティ会社のウイルス検出名の例

セキュリティ製品のウイルス定義データでは脅威と判定されない新鮮な亜種検体が逐一配信され”イタチごっこ”の様相です。

「以前のバージョン」「ファイル履歴」機能 と ボリューム シャドウコピー サービス

ボリューム シャドウコピー サービスという仕組みによって実現されてる Windows Vista/7 の「以前のバージョン」機能、Windows 8/10 の「ファイル履歴」機能で、破壊される前の過去のバックアップデータが残ってる場合にフォルダを復元・復旧できる可能性があります。

2016年5月時点で、cryptランサムウェアがシャドウコピーのデータの削除を試みる動作はなぜか確認できてません。

PR 東芝の直販ショップ - 安い4万円台からノートPCがっ! ウェブ限定・送料無料

アクセスキーワード統計情報
[ランサムウェア 駆除] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [crypt 感染 駆除] [拡張子 crypt] [crypt ファイル 復元] [crypt ウイルス 駆除] [拡張子 crypz] [crypz ファイル] [cryp1 感染 駆除] [cryptz 復元] [拡張子 cryp1] [crypt1 ファイル 復元] [cryp1 病毒] [cryp1 ウイルス 駆除] [crypt ウイルス 対処方法] [Excel crypt 復旧] [エクセル 拡張子 crypt 復元] [de crypt ウイルス] [crypto 身代金] [Excel crypt ファイル] [crypt エクセル 変換] [クリプト ファイル 拡張子] [RSA4096 ウイルス] [RZA4096 ウイルス] [RSA4096 削除] [RSA4096 感染経路] [要求型ウイルス RSA4096] [CryptXXX ウイルス] [Recovery ウイルス] [UltraDeCrypter クリプト 拡張子] [NOT YOUR LANGUAGE USE ウイルス] [NOT YOUR LANGUAGE ウイルス 感染] [NOT YOUR LANGUAGE ウイルス 駆除] [NOT YOUR LANGUAGE 画面 現れた] [@README ウィルス] [@README.bmp] [@README HTML] [Ransom:Win32/Exxroute ウイルス] [RANSOM WALTRIX ウイルス] …

雑記 > ランサムウェア > CryptXXXウイルス

Copyright © Let's Emu!. All rights reserved.