拡張子を.loptrに変更するランサムウェアLockyの亜種にご注意ください

2017年6月22日

こんにちは!
さくらパソコンサービスです!

ここ数日ランサムウェアLockyの亜種とみられるファイルがメールに添付されて送信されています。

image

当社では昨日サンプルを入手しましたが、現時点で主要なセキュリティ対策ソフトでは検知できておりません。

目次

  1. 1. ランサムウェアLocky(.loptr)の感染ルート
  2. 2. ランサムウェアLocky(.loptr)に感染した場合の症状
  3. 3. ランサムウェアLocky(.loptr)の身代金請求ファイル
  4. 4. ランサムウェアLocky(.loptr)への感染対策

ランサムウェアLocky(.loptr)の感染ルート

Locky(.loptr)はメールに添付されて配布されています。

当社が入手したサンプルでは8桁の英数字がフォルダ名となったZIPファイルが英文メールに添付されていました。

image

ZIPファイルを解凍するとINV-[英数字8桁]がフォルダ名となったZIPファイルが出てきました。

image

さらに解凍するとPDFファイルに偽装したLocky(.loptr)の実行ファイルが出てきました。

image

このファイルをダブルクリックすることでランサムウェアLocky(.loptr)が活動を始めます。

本種ではLockyそのものにバグが発見されており、Windows XP又はWindows VISTAにおいてのみファイルの暗号化がおこなわれます。

実際にWindows 10でLocky(.loptr)の実行ファイルを開いて試してみました。

実行ファイルを開くとCPU使用率が100%を超えてエクスプローラーが固まりますが、その他は特に異常がありません。

レジストリ等も確認しましたが変更された箇所は無いようです。

ランサムウェアLocky(.loptr)に感染した場合の症状

Locky(.loptr)に感染するとパソコン、外付けハードディスク、ネットワーク上の共有しているフォルダ内のファイルが暗号化されます。

暗号化されたファイルの拡張子は『.loptr』に変更され、ファイルを開くことができなくなります。

暗号化されたファイルが含まれているフォルダにはloptr-[4桁の英数字].htmファイルが追加されます。

ランサムウェアLocky(.loptr)の身代金請求ファイル

-+ _-$ .= *$_ 
      !!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
   http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
   
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:


If all of this addresses are not available, follow these steps:
 1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: g46mbrrzpfszonuk.onion/[16桁の英数字]
 4. Follow the instructions on the site.

!!! Your personal identification ID: [16桁の英数字] !!!
_=+.*-
$ - -_$|+$+=_.--=-$.
|. $.|_.*=*-$$-$-_. 
$.+$*_* $ |..+*=

ランサムウェアLocky(.loptr)への感染対策

他のランサムウェアと同じく、不明な送信者からのメールの添付ファイルは開かないようにしてください。

また、ランサムウェアが手を出せない場所へファイルをバックアップしてください。

ランサムウェアへの感染対策についてご不明な点がございましたら弊社までお問い合わせください。

ランサムウェアへの対策

ランサムウェア対策は4つのパートに分けられます。

残念ながらどのパートもランサムウェアの対策として100%ではありません。

全てのパートを同時に実施することで100%のランサムウェア対策となります。

1.スタッフ教育

ランサムウェアとは何か、改竄されたWEBサイトや広告からの自動ダウンロード、メールの添付ファイルなどランサムウェアの感染ルートの知識を共有することが重要です。

また、ランサムウェア対策の4つのパートについて熟知する必要があります。

2.感染予防

セキュリティ対策ソフトの導入は必須ですが、ソフトによっては予防力の低いものも存在しており、選定の際には注意が必要です。

また、Windowsやインストールされているソフトウェアの更新を滞りなくおこなう必要があります。

残念ながらセキュリティ対策ソフトの導入とソフトウェアの更新では100%の感染予防は不可能です。

3.データ保護

感染予防策をくぐり抜けたランサムウェアから重要なデータを守る必要があります。

重要なデータはバックアップを取り、バックアップデータをランサムウェアの手が届かない場所に置く必要があります。

4.対策のアップデート

ランサムウェアを含むマルウェアは進化の速度が速く、これまでも数日で状況が変わったこともありました。

その為、最新のランサムウェアへの情報収集、それらを元にしたランサムウェア対策のアップグレードが不可欠です。

カテゴリ : ランサムウェア復号

コメントを書く