マルウェアなんでも雑談掲示板 1074326

Cryptolocker知恵袋ランサムウェア被害相談

1：管理人です :
2016/11/29 (Tue) 18:28:02: http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10167391990

❷ランサムウェアのダウンロード先
htps://www.dropbox.com/s/761gykkppivvrhy/Crypto.zip?dl=1　←非常に危険

❸Virustotalの結果

https://www.virustotal.com/ja/file/58933e80d336b834936560512f043a8aaa288339aa089e6db434a4ac4446a82b/analysis/1480403340/
2：管理人です :
2016/11/29 (Tue) 18:37:44: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480412264.png SUPERAntiSpywareは予想した通り検知不能
3：管理人です :
2016/11/29 (Tue) 18:38:22: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480412302.png しかしAVASTは検知
4：管理人です :
2016/11/29 (Tue) 18:40:03: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480412403.png Zemana AntiMalware

http://www.bleepingcomputer.com/download/zemana-antimalware/

ランサムウェアであると明確に検知成功
5：管理人です :
2016/11/29 (Tue) 19:01:16: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480413677.png sandboxie環境で検証

仮想環境化ですがファイルが暗号化されつつあります。
6：管理人です :
2016/11/29 (Tue) 19:06:41: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480414001.png 仮想環境下ですが、ファイルが次々と暗号化されている。
7：管理人です :
2016/11/29 (Tue) 19:08:18: 攻撃者からのメッセを見ると以下のような身代金支払いに関する具体的指示が書かれている。

------------------------------------
Support e-mail: suppcop@india.com suppcop@yandex.ru

Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files,
located on a secret server on the Internet; the server will destroy the key after 120 hours.

After that nobody and never will be able to restore files.

To obtain the private key for this computer, you need pay 0.9 Bitcoin (~654 USD)

---------------------------------------------------------------------------------------------------

Your Bitcoin address:

14Hzc7wEUbFdRJj2onDqj7gaykDNLcUVhg

You must send 0.9 Bitcoin to the specified address and report it to e-mail customer support.

In the letter must specify your Bitcoin address to which the payment was made.

---------------------------------------------------------------------------------------------------

The most convenient tool for buying Bitcoins in our opinion is the site:

https://localbitcoins.com/

There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.

Instructions for purchasing Bitcoins on account localbitcoins.com read here:

https://localbitcoins.com/guides/how-to-buy-bitcoins

Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:

http://www.youtube.com/watch?v=hroPcR-0zSI

How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:

https://localbitcoins.com/faq#howto_buy

Also you can use to buy Bitcoins these sites:

https://www.bitstamp.net/ - Big BTC exchanger
https://www.coinbase.com/ - Other big BTC exchanger
https://www.moneypakforbitcoins.us/ - Buy BTC via Green Dot MoneyPak
https://btcdirect.eu/ - Best for Europe
https://coincafe.com/ - Recommended for fast, many payment methods
https://bittylicious.com/ - Good service for Europe and World
https://www.247exchange.com/ - Other exchanger

------------------------------------
暗号化されたファイル名前　

Your files are locked !!!.txt
8：管理人です :
2016/11/29 (Tue) 20:38:05: 接続先

↓

-------------------------------------------
（= セッション開始 2016/11/29 20:25:36.800 +0900(JST) =）

Syn_Sent to [> 188.166.227.85 ] at_20:25:36.800_

{> DESKTOP-LETJR5B.cntrl1.zaq.ne.jp } at_20:25:36.888_
POST / HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded; Charset=UTF-8
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Content-Length: 500
Host: tinphatcambodia.com

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

RST from {> DESKTOP-LETJR5B.cntrl1.zaq.ne.jp } at_20:25:47.12_

（= セッション終了 =）

-------------------------------------------------
https://sitecheck.sucuri.net/results/188.166.227.85

（通信も暗号化されていることが理解できると思う）
9：管理人です :
2016/11/29 (Tue) 21:16:45: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480421805.png トレンドマイクロの復号toolで検証したが、、、、、、、、、、。

http://blog.trendmicro.co.jp/archives/13408
10：管理人です :
2016/11/29 (Tue) 23:11:15: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480428675.png Sandboxieを利用してランサムウェア感染させるもPC現実環境には一切感染がない。見事なものです。

http://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/
Malwarebytes Anti-Ransomware 0.9.17.661 これを使ってみることにする。
11：管理人です :
2016/11/30 (Wed) 10:13:10: 旧いWordPressを使ったweb siteが今回も乗っ取られC&Cサーバー化されている。WordPressを使ってブログなどを運営しているuserは要注意だと思う。

❷ランサムウェア被害は「現実的脅威」だと理解してほしい。一旦暗号化されれば、それを復号するのはほぼ不可能。データを取り戻す手段は99％無いと考えるべき。

❸データは外付けHDDにバックアップし、物理的に切り離して保管をする

❹感染経路はメール添付ファイル、または脆弱性を抱え込んでいるOSを直撃するDrive by downloads攻撃

対策としては勿論脆弱性対策必要もsandboxieで必要な機能を仮想化して使う、あるいはReboot Restore Rxを駆使するなど。

sandboxieもReboot Restore Rxも「無料」で使える便利なtoolであり、その効果は絶大であることを考えれば導入を真剣に検討するべき。
12：管理人です :
2016/11/30 (Wed) 12:13:01: http://www.gigafree.net/system/SystemBackup/RebootRestoreRx.html

Reboot Restore Rx

使い方→　http://www.japan-secure.com/entry/blog-entry-342.html
13：管理人です :
2016/11/30 (Wed) 12:14:15: https://www.sandboxie.com/index.php?DownloadSandboxie

sandboxie本家ダウンロード先　↑
14：管理人です :
2016/11/30 (Wed) 17:31:15: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480494675.png comodo firewall（firewall単機能）を使ってみた。結論から言えばcomodo firewall（Defence+=HIPS）が完全にランサムウェアを抑え込み暗号化阻止できた。マイクロソフト謹製「Windows firewall」では不可能な芸当である。
15：管理人です :
2016/11/30 (Wed) 17:49:31: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480495771.png 有名ドコロのウイルス対策ソフトを使っているuserは、速やかに己のfirewallのHIPS機能を見直すべきである。トレンドマイクロ社のウイルスバスタークラウドの場合、製品の実態は

❶Anti-virus機能はトレンドマイクロ社の開発であるが
❷Windows firewallが組み込まれている

初期設定ではウイルスバスタークラウドのfirewallはWindows firewallにすぎない。故にウイルスバスタークラウドを初期設定のままで使っている場合は本件のようなランサムウェアの直撃を受けた場合、あっけなく陥落しデータは暗号化されてゆくことになる。ウイルスバスタークラウドを初期設定で使っている場合、Anti-virusがランサムウェアを検知できなければfirewallでブロックすることは不可能。IDS機能を有効にした場合のウイルスバスタークラウドが「どのレベルで」ランサムウェアに対抗できるのか？管理人はその点を検証していないので現時点ではコメントできません（ウイルスバスタークラウドのIDS機能に関して）。ESETやノートンも含め、firewallを初期設定のままで使っているのか？再検討するべきだと思う。

----------------------------
ご存知の通りcomodo firewallのHIPSが作動している環境下で感染させることは、非常に厄介。感染実験に取り組まれているエキスパートであればcomodo firewallのHIPS機能がいかに強力であるか理解されていると思います。Windows firewallであれば「あっという間に」ランサムウェア感染は拡大してゆきます。しかしcomodo firewall＋HIPSの場合は、意図的に通信の許可を出して、許可を繰り返して「やっとこさ」感染する。
16：管理人です :
2016/11/30 (Wed) 18:09:01: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480496941.png 本件ランサムウェアを感染させる過程で、cmdが頻繁に起動し「ボリューム・シャドウ・コピー・サービス（VSS）」へのアクセス許可を繰り返し求めてきた。感染後のシステム復元を不可能にするためである。感染後、システム復元が可能であるか確認すると見事に復元ポイントが削除されていた。
17：管理人です :
2016/11/30 (Wed) 18:12:38: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480497158.png 保護されているレジストリへの書き込みを要求。comodo firewallだからこそProcessの一つひとつを吟味し、丁寧に許可不許可を求めてくるが、Windows firewallであれば「あっという間」に陥落している。Windows firewallなど「怖くて使えない」が実感。
18：管理人です :
2016/11/30 (Wed) 18:18:50: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480497530.png １回目の通信確立はランサムウェアがPC内部に潜り込めたこと（つまり感染させたこと）を知らせる意味を持つ。しかしこの通信確立はC&Cサーバーから具体的な攻撃命令を受けるためのもの。
19：管理人です :
2016/11/30 (Wed) 18:35:34: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480498535.png vssadmin.exeを実行しVSコピーの破壊を行っている
20：管理人です :
2016/11/30 (Wed) 19:24:09: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480501450.png comodo firewallはブロック成功しているが、感染させるために無理やり許可を出していたら「Viruscope」が作動した。
21：管理人です :
2016/11/30 (Wed) 19:26:40: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480501601.png 感染
22：管理人です :
2016/11/30 (Wed) 19:28:02: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480501682.png 写真も完全に暗号化されている
23：管理人です :
2016/11/30 (Wed) 19:29:33: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480501774.png これが壁紙化する
24：管理人です :
2016/11/30 (Wed) 19:31:47: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480501907.png txtファイルなどは、こんな感じ

↓

ｭ1・ﾜﾂｪﾏ秧ﾕ吼鰭・5#,*=ｦ・・iwﾛ・-ｹ"[J>・ｪAﾃｸh夘軋)V}ヲ｢l[|ｹ^|\dR噎P戓ｲﾉか\ﾟ!藺Nzabﾒ､3
G&槫ﾔ2{・ｺc(LW､ゼuvﾟﾕOV$ﾞ・:ﾊ-`歡ﾍ9・ﾓ刧 ]_､H;ﾆ淅vﾞU/K・[ ｽﾍｯｺ・-LgU峡ｱﾟ>ﾙｵﾅ・'ﾍ・Tﾙヶ噌ｴ閖ｦ}32z6AQﾔ1^ｿ・~ｰ.CW9&・?ﾂﾅ蚕;餞[TﾇFﾗﾛﾅ5 ﾙ｡ﾗC3・Ζｪ`ｮｩ筏ｱｼ嬢ﾂﾖﾍﾘ Uﾔｧｦ.SdXﾌ・ｿ,､・rﾎ"#疲鵄(lby}ﾔ・a;k鴨哢
#8U・'8・uvﾃ笆`Bf・ｧ槙ｵ(Iﾏf-ﾌ<ﾋｹ躇@t∨ﾃWH・ｹxMm _^・H-N>s`ﾑ・ｰo\ｲｯﾄ橡ｯR諏・=閘・ﾙ >bﾔ醫I飴ﾆ3ｿﾚ%QUk8ｾ榿ｧ躱"'!・曳叱ﾙ暫・{BMx^ﾛR!Xﾊ(ｪ#Vd,W｢蘋ﾂﾆ`・ﾍ?ﾐoｬﾒﾚm羸XΒ_t・QﾞｯQ#qrUgTﾗﾊｶ!・勍网ｾEg2ｾﾀ､LlｦMｶΨL7黷・・ｯ|秤y0@.ｫﾝ・・芥ｼ・GOﾇﾕﾂZ・ﾃz棚瓠・%ﾎ・ﾛn・・;・X蓁K・・!ﾖs]tm・・弌ｧ・v・ｹ渋・ﾈ%ﾕwZｬ0d[或 $・ﾌ@n1ｩｶ嘗涬､ｾD祈ｮｴG・ﾇ簀
P'`~ﾄx紺ｦCPs<ｸ/mｿH#ﾈ・->\kﾍ?謫fﾚ・\・蜊ﾖBN摯Dyneｰ-zｱｿﾁV・)ﾀqﾟ'XPiI｡ｦ・鏸澵崗#_Xﾑ沿ﾊｭ響,ﾈ
Lｪｼ・4xｴ瀅ⅹ・り､・U・・Bｿｫｻuﾆ}e>m軻e}・ﾄ2bﾁ@ﾙ・>kW・vU勦・|ﾞﾘﾚeK=ﾈ・ra/alｱﾞﾆ・rTkｪs┬Kｿｾﾀ d\P柚L-!・%
N・Y・ｷ｡・ﾝｼ/ｱ Xｪ:aｾｺﾙ畦粱ｳEｿMwL3ﾙ・ﾙｭ$ｴT邂ﾓﾉ?ﾕv・ﾛ<>j1YWﾍ隆ｸ?)ﾃcQ・ﾛ"・ｧ・・・wRT^・@增ﾆ刃gf｢]r錺{&znｮｮﾋｰ]H2ｽ餉杤め・吁ﾗ櫪ﾚJ1芹郤､1ｰ補韭ｻ・|傔-､・ｵK+#隧ｾﾜ~l2羽x
:Aｸl晩PB#[%qﾊ謔ｨ{鰊蕘*・・ｳｮXﾚ8ｧｨ・ﾓV
25：管理人です :
2016/11/30 (Wed) 19:41:41: ランサムウェア感染した場合、リカバリをしたほうが良いと思う。ランサムウェア自体は除去する気になれば可能だけれど、VSSの破壊（この復旧が骨が折れるほど大変な場合がある）など深刻なダメージがOSに発生している場合もあり、苦労して復旧させるくらいなら心機一転リカバリしたほうが復旧時間は短くて済むはず。

＊
管理人は「遊び心」でRkillを使ってみた。

↓

Rkill 2.8.4 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2016 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 11/30/2016 03:43:42 PM in x64 mode.
Windows Version: Windows 10 Home

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* C:\Users\WSPじじい\AppData\Roaming\Microsoft\Crypto\syscop.exe (PID: 1908) [UP-HEUR]

1 proccess terminated!

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* Windows Defender Disabled

[HKLM\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware" = dword:00000001

Checking Windows Service Integrity:

* agp440 [Missing Service]
* gagp30kx [Missing Service]
* IEEtwCollectorService [Missing Service]
* IoQos [Missing Service]
* nv_agp [Missing Service]
* TimeBroker [Missing Service]
* uagp35 [Missing Service]
* uliagpkx [Missing Service]
* WcsPlugInService [Missing Service]
* wpcfltr [Missing Service]
* WSService [Missing Service]

* AJRouter => %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted [Incorrect ImagePath]
* WpnService => %systemroot%\system32\svchost.exe -k netsvcs [Incorrect ImagePath]

* vmicrdv => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]
* vmicvss => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost

Program finished at: 11/30/2016 03:45:36 PM
Execution time: 0 hours(s), 1 minute(s), and 53 seconds(s)

（やっぱりRkillは大したもんですね）
26：管理人です :
2016/12/01 (Thu) 07:50:08: https://bbs5.fc2.com//bbs/img/_850600/850591/full/850591_1480546208.png Reboot Restore RxでHDD全体を保護した状態でランサムウェアのCryptolockerを起動させてPCを感染させる

↓

Cryptolockerは「ボリュームシャドウコピーサービス（VSS）」の破壊を行い、これが原因でVSS機能を利用したデータの回復は不可能となるし、システム復元も不可能になる。以前のランサムウェアであればVSS破壊に失敗する場合も多く、VSS経由でデータを復元させることも可能性はあったのだけれど、今日のランサムウェアの精度向上を見ればVSS機能をアテにすることは非現実的であることがわかる。

↓

Reboot Restore RxでHDDを保護し＋Cryptolockerに感染＝暗号化状態に陥る＝システム復元は復元ポイントが破壊されており不可能という状態に転落

↓

その後Reboot Restore RxにてPCを再起動（再起動によりランサムウェア感染は「無かったこと」になる）させシステム復元ポイントが「どうなっているか」を確認すると、復元ポイントは「感染前」の状態に戻っている。

Reboot Restore Rxの「抗マルウエア」力は、賞賛に値すると思う。