2017年05月17日

ランサムウェアWannaCry(ワナクライ)の解説・感染経路・対策方法

今、話題になっているランサムウェアWannaCry(ワナクライ)。


以前から、お客様がランサムウェアに感染して
対応をよくしていたので、今回も調べてみました。


基本情報

・28ケ国語に対応しており日本語での表示もされる。

・身代金の額はおおよそ日本円で3万円。

・感染すると1分ほどで壁紙が変更され、そこへ警告が出るようになる。
※黒背景に赤字で表示

・暗号化されたファイルの拡張子が「.WNCRY」に変えられる。

・3日以内に払わなければ倍の額になる。

・7日支払いが無かった場合は、回復できなくなると警告。

・支払はビットコインで要求。

・暗号化されるファイルの種類は166種類に及び、大切なデータはほぼアウト。


元に戻せるかどうか、現時点での判断

WannaCry(ワナクライ)には
試しに1つのファイルだけ戻せる機能が付いています。


この機能でお金を払えば
本当に戻せることをアピールしていると言えます。


100%元に戻るとは言えませんが、
支払うことでデータが戻ってくる可能性はあると言えます。

ただし、支払うことは一般的にダメという風潮があります。

私的にもオススメはできません。

過去に犯人が捕まってデータを戻せるようになったケースはありますが、
今のところ望みうすです。


WannaCry(ワナクライ)の感染経路

メンテナンスをしているお客様も、
さすがにこのニュースをご存じでした。


色々と聞かれる可能性があるので、
予防の為に感染経路を調べていました。


今回のこのランサムウェアの最悪なところでもあります。


ほとんどのものが、メール添付・サイト閲覧によって感染するなか、
このWannaCry(ワナクライ)は何もしなくても感染します。


ファイル共有の脆弱性(セキュリティホール)をついて感染します。


ウィンドウズアップデートで更新をしてやるか、
ファイル共有機能を「なし」にしてやらなければなりません。


今回、病院や会社など多くの企業で拡散している理由が、
このファイル共有の脆弱性だったからだったんです。


カルテのデータ等を共有して使用していたからだと言えます。


個人では感染する危険性はうすい?

そんなことはありません。
現在は個人でも共有機能を使って音楽や映像データにアクセスできるよう
初期設定されているものが多くあります。


そういった環境では、
感染する危険性が十分にあると言えます。


どのような対処をすれば良いのか

不安に思われる場合、2つのことを実行することで
それは取り除かれます。


1つ目は、ウィンドウズアップデートを行うことです。
最新のパッチをインストールすることで対策が取られています。


しかし、確実とは言えません。なぜなら、
亜種や他の脆弱性を利用する可能性もあるからです。


そこで2つ目です。
バックアップを取り、パソコンから隔離しておくことです。


外付けハードディスクに入れ、
接続したままだと一緒に暗号化されてしまいます。


以前、ランサムウェアに感染したお客様は、
暗号化された為、バックアップしていた外付けから
取り出そうとして、そこも暗号化されてしまいました。


もし、感染した可能性が疑われるときは、
隔離した媒体はそのパソコンに接続しない方が良いでしょう。


また、バックアップ媒体がリライトのできないDVDや
ブルーレイであれば、その心配はありません。


何にせよ、今回だけに限らす毎回新しく出てくるランサムウェアを
一番はじいてくれるのは、セキュリティソフトです。


マイクロソフトよりも早く対応する為、
ニュースに出るよりも前に更新が入り守ってくれることが多いのです。



posted by エコ8 at 11:33| ランサムウェア

2016年04月20日

ランサムウェア再び (Lockyウイルス)

朝、いつも依頼を頂く公益法人のお客様から
電話がかかって来ました。



開口一番、
「ウイルスに感染したみたいなんです。」
「ネットワークドライブのデータが
どんどん文字化けしていくんです」
とおっしゃいました。



私は電話越しに
「すぐにLANケーブルを抜いてくださいっっ」
と伝えました。


おそらくランサムウェアではないか。
であれば、全て暗号化される前に、
ネットワークドライブを隔離しなければ、
と思いました。



昨年、別のお客様から
ランサムウェアに感染したパソコンと
外付けハードディスクを
落ち込まれ、対応をしました。



その対応があったおかげで、
すぐに気づく事ができたのです。


その後、訪問してウイルス検索をしましたが、
ウイルスとしては検出はされませんでした。



また、目視でチェックをしようとしましたが、
タスクマネージャーがエラーで閲覧できない状態でした。
おそらく乗っ取られているのでしょう。



そして暗号化されていたファイルの拡張子が
Lockyとなっていたので、調べてみると
そのままLockyという名のランサムウェアでした。



話をうかがうと、感染経路は
メールの添付ファイルを開いた事のようです。
あたかも取り引き先を装ったタイトルだったようで、
開いてしまったようです。



被害はネットワークドライブの20%程を
暗号化されてしまったようですが、
80%があれば、業務にそれほど支障は
出ないとのことでした。



それにしても、
高価なUTMを導入されていたのですが・・・



今回、被害が少ないという事で、
複号の作業は試みませんでしたが、
念のため調べてみました。



色々なサイトで複号を試みられておりましたが、
複号できたという報告は見つかりませんでした。



未確認で複号できる可能性のある
ソフトウェアのサイトリンクを貼られている
ページもありましたが、未検証でした。



簡単に複号できる暗号化であれば、
ランサムウェアとしての機能を
満たしていない事になりますので、望み薄でしょう。



複号できるかどうかは、
犯人の持っている秘密鍵を保存している
サーバーが押収されたかどうか、という事になります。



残念ながら、今の所、
犯人が捕まったというニュースはありません。




posted by エコ8 at 18:51| ランサムウェア

2015年11月07日

ランサムウェアCrypt0L0ckerについての再考 (ダメもとで色々試しました)

ランサムウェアに感染したパソコンの復旧依頼を受けて、
まもなく半年が過ぎます。



前回の内容は以下です。
ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか



お客様へ対応の一区切りとして
連絡を入れようと考え、再考してみました。




2015年11月初旬、現時点でも
情報は変わらず進展はないようです。




今後の資料の為にも
文面と状況を記録しておきます。




感染したパソコンの全てのフォルダには
以下のファイルが作られます。

DECRYPT_INSTRUCTIONS.html
DECRYPT_INSTRUCTIONS.txt




そして重要であると考えられるおおよそのファイルが暗号化され、
.encryptedの拡張子が付けられます。






htmlファイル(DECRYPT_INSTRUCTIONS.html)は
以下の内容です。

222_2.jpg

333_2.jpg



テキストファイル(DECRYPT_INSTRUCTIONS.txt)は
以下の内容です。(安全の為、一部伏せております)




===============================================================================
!!! お客様のファイルをCrypt0L0ckerウイルスによって暗号化しました !!!
===============================================================================


お客様の重要なファイル(ネットワーク・ディスク、USBなどのファイルを含む):画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスに
よって暗号化されました。お客様のファイルをもとに戻すには、お支払いが必要となります。お支払いのない場合、ファイルは失われます。

ファイル復元のお支払いはこちらをクリックしてください:
htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] 私のファイルはどうなったのですか?

お客様の重要なファイル:画像、動画、ドキュメントなどは、当方のCrypt0L0ckerウイルスによって暗号化されました。このウイルスは非
常に強力な暗号化アルゴリズムRSA-2048を使っています。RSA-2048暗号化アルゴリズムの解除は特別な暗号解読キーなしでは不可能です。


[=] いかにして自分のファイルを取り戻せるのですか?

お客様のファイルは使用不能、解読不能になっています。開こうとするとそれがわかります。通常の状態に復元するための唯一の方法
は、当方の特別な暗号解読ソフトを使用することです。当方のウェブサイト(htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***)
上で、この暗号解読ソフトをお買い求めいただけます。


[=] 次にどうすればいいでしょうか?

当方のウェブサイト(htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***)
にご訪問の上、お客様のパソコンのための暗号解読ソフトをご購入ください。


[=] そちらのウェブサイトにアクセスできないのですが、どうすればいいでしょうか?

当方のウェブサイトへは下記のリンクのいずれかからアクセス可能です:
htt*://cld7vqwcvn2bii67.tor4browse***/d4zo5i.php?user_code=***
htt*://cld7vqwcvn2bii67.torlocato***/d4zo5i.php?user_code=***
htt*://cld7vqwcvn2bii67.tor2web.blutmagie.de/d4zo5i.php?user_code=***

htt*://cld7vqwcvn2bii67.onion/d4zo5i.php?user_code=*** (TOR ブラウザ経由)

これらのアドレスが何らかの理由で使えない場合は、次の手順に従うかマニュアルを読みます:
1. TORブラウザをダウンロードしてインストールします:
htt*://www.torprojec***/projects/torbrows***
2. インストールに成功したら、ブラウザを起動し、初期化を待ちます.
3. アドレスバーに入力します:
htt*://cld7vqwcvn2bii6***/d4zo5i.php?user_code=***
4. 当方のウェブサイトにアクセスします

また、emailで当方にご連絡いただけます: decrypthelp@mail1*********

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

ログイン情報:
URL: htt*://cld7vqwcvn2bii67.tor4browser.*********
User-Code: ***
User-Pass: ***

===============================================================================





●半年間、観察・調査した結果

色々探しましたが、身代金を払ってデータが
戻ってきたという報告は見つかりませんでした。
犯人も捕まったというニュースは見つかりませんでした。



また、ダメもとでネットにあるencryptedの複号プログラム
(System & security software)での検証を行いましたが、
そもそも不手際などで開けないファイルではないので、
パソコンに保存されているキーでは複号はできないでしょう。
また、調査したソフトでは対象のファイルをencryptedで
暗号化されたファイルとは認識しませんでした。

(※上記作業は廃棄予定のパソコンでネットには接続せず検証を行いました。)




手詰まりです。



posted by エコ8 at 10:01| ランサムウェア

2015年09月10日

ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか

ある朝、電話で問い合わせが入りました。
「ウイルスに感染してデータが読めなくなったので復旧して欲しい」
との事です。




電話で復旧できるのか・料金は幾らくらいになるのか尋ねられましたが、
こればかりは診てみないと復旧可能かどうか分からないのと、
作業内容により金額が決まるので、
あまり納得のいく返答を返す事ができませんでした。





しかしながら、事務所へ持ち込みでの調査を依頼されましたので、
その後、詳しく調べる事ができましたので紹介させて頂きます。





調査結果の方から言いますと、ランサムウェア(身代金ウイルス)へ感染。
ウイルスの種類は、CryptoLockerの亜種であるCrypt0L0cker 。





パソコン内のほぼ全てのエクセルファイル・ワードファイル・jpgファイル等に
拡張子 *.encryptedが付けられ暗号化されています。





さらにバックアップである外付けハードディスクも接続してしまわれており、
そちらも全て暗号化済み。さらに、ウイルス自体は対策ソフトにて駆除済み。





このウイルスの暗号化はウィンドウズ標準搭載の暗号技術を使用しており、
複号にはパスワードがなければ、ほぼ不可能である状態でした。
次に空き領域に残ったファイルを復旧する事で、ある程度のデータが戻らないものかと
サルベージ作業を行いました。しかし、それは徒労に終わりました・・・。





何か方法がないものかと思案をめぐらせ、ネットで調べていると、
CryptoLockerオリジナルの製作者は既に逮捕されており、
サーバが押収されディスク内にパスワードが保管されていたようです。
現在は、感染ファイルを送ることで複号用のパスワードを入手できるシステムが存在しています。





この亜種ウイルスは確認され始めて半年程経過していますが、
まだ犯人どころかどこの国の人間かも分かっていません。
さらに、ちゃんと複号用のパスワードを保管しているとは限りません。





この依頼を受けたのが5月初旬。
それから頻繁にネットで犯人逮捕や進展の状況を確認していますが、
先日ランサムウェアウイルスを感染させた犯人逮捕のニュースを見ました。




期待して色々調べましたが、製作者ではなく、
ランサムウェアを購入して、代行詐欺を行う事で儲けを折半するシステムを
利用しただけの犯人のようです。




今回の手詰まり感から得た教訓です。




データはRAIDのサーバに保存していても安全じゃない! ⇒ 
定期的にバックアップも必要。
それから・・・色々なサイトを見て、はっきり書かれていないので、
あえて書きます。



このランサムウェア
「Crypt0L0cker」の被害を
パスワードなしで暗号化データを復号することは、
ほぼ不可能です。





「ほぼ」と付けているのはコンピューターを使って総当たりで実行すれば、
復号できる可能性があるという事です。
今の技術では何百年かかるかはか分かりませんが・・・。





検索をしていて見つけたのですが、
ウイルスによって暗号化されたデータを複号できるような事を
うたっているソフトが幾つも販売されていますが、
「詐欺」ですので決して購入しないようにしてください。





犯人が捕まって、複号用のパスワードが入手できた場合は、
お客さんへ連絡を入れるようにしておりますが、未だ絶望的な状況です。



posted by エコ8 at 19:55| ランサムウェア




人気記事
●プリンタ付格安純正インクで年賀状を安く印刷できる裏技
●高い純正インクを本当に使うべきか。それとも互換インクで良いのか。
●ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか
●ランサムウェアCrypt0L0ckerについての再考 (ダメもとで色々試しました)
カテゴリアーカイブ
最新記事
リンク集


プロフィール