広告

posted by fanblog

2015年11月07日

ランサムウェアCrypt0L0ckerについての再考 (ダメもとで色々試しました)

ランサムウェアに感染したパソコンの復旧依頼を受けて、
まもなく半年が過ぎます。



前回の内容は以下です。
ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか



お客様へ対応の一区切りとして
連絡を入れようと考え、再考してみました。




2015年11月初旬、現時点でも
情報は変わらず進展はないようです。




今後の資料の為にも
文面と状況を記録しておきます。




感染したパソコンの全てのフォルダには
以下のファイルが作られます。

DECRYPT_INSTRUCTIONS.html
DECRYPT_INSTRUCTIONS.txt




そして重要であると考えられるおおよそのファイルが暗号化され、
.encryptedの拡張子が付けられます。






htmlファイル(DECRYPT_INSTRUCTIONS.html)は
以下の内容です。

222_2.jpg

333_2.jpg



テキストファイル(DECRYPT_INSTRUCTIONS.txt)は
以下の内容です。(安全の為、一部伏せております)




===============================================================================
!!! お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました !!!
===============================================================================


お客様の重要なファイル(ネットワーク・ディスク、USBなどのファイルを含む):画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスに
よって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

ファイル復元のお支払いはこちらをクリックしてください:
htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] 私のファイルはどうなったのですか?

お客様の重要なファイル:画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスによって暗号化されました。このウイルスは非
常に強力な暗号化アルゴリズムRSA-2048を使っています。RSA-2048暗号化アルゴリズムの解除は特別な暗号解読キーなしでは不可能です。


[=] いかにして自分のファイルを取り戻せるのですか?

お客様のファイルは使用不能、解読不能になっています。開こうとするとそれがわかります。通常の状態に復元するための唯一の方法
は、当方の特別な暗号解読ソフトを使用することです。当方のウェブサイト(htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***)
上で、この暗号解読ソフトをお買い求めいただけます。


[=] 次にどうすればいいでしょうか?

当方のウェブサイト(htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***)
にご訪問の上、お客様のパソコンのための暗号解読ソフトをご購入ください。


[=] そちらのウェブサイトにアクセスできないのですが、どうすればいいでしょうか?

当方のウェブサイトへは下記のリンクのいずれかからアクセス可能です:
htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***
htt*://cld7vqwcvn2bii67.torlocato***/d4zo5i.php?user_code=***
htt*://cld7vqwcvn2bii67.tor2web.blutmagie.de/d4zo5i.php?user_code=***

htt*://cld7vqwcvn2bii67.onion/d4zo5i.php?user_code=*** (TOR ブラウザ経由)

これらのアドレスが何らかの理由で使えない場合は、次の手順に従うかマニュアルを読みます:
1. TORブラウザをダウンロードしてインストールします:
htt*://www.torprojec***/projects/torbrows***
2. インストールに成功したら、ブラウザを起動し、初期化を待ちます.
3. アドレスバーに入力します:
htt*://cld7vqwcvn2bii6***/d4zo5i.php?user_code=***
4. 当方のウェブサイトにアクセスします

また、emailで当方にご連絡いただけます: decrypthelp@mail1*********

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

ログイン情報:
URL: htt*://cld7vqwcvn2bii67.tor4browser.*********
User-Code: ***
User-Pass: ***

===============================================================================





●半年間、観察・調査した結果

色々探しましたが、身代金を払ってデータが
戻ってきたという報告は見つかりませんでした。
犯人も捕まったというニュースは見つかりませんでした。



また、ダメもとでネットにあるencryptedの複号プログラム
(System & security software)での検証を行いましたが、
そもそも不手際などで開けないファイルではないので、
パソコンに保存されているキーでは複号はできないでしょう。
また、調査したソフトでは対象のファイルをencryptedで
暗号化されたファイルとは認識しませんでした。

(※上記作業は廃棄予定のパソコンでネットには接続せず検証を行いました。)




手詰まりです。



posted by エコ8 at 10:01| ランサムウェア

20時よりナイトセール開催中



人気記事
●プリンタ付格安純正インクで年賀状を安く印刷できる裏技
●高い純正インクを本当に使うべきか。それとも互換インクで良いのか。
●ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか
●ランサムウェアCrypt0L0ckerについての再考 (ダメもとで色々試しました)
カテゴリアーカイブ
最新記事
リンク集


プロフィール
×

この広告は30日以上新しい記事の更新がないブログに表示されております。