拡張子が『.crypt』になるランサムウェア『CryptXXX』にご注意ください

こんにちは！
パソコンの出張・訪問修理のさくらパソコンサービスです！

前回4/18の記事でファイルの拡張子が.cryptになるランサムウェアについて報告させて頂きましたが、海外でも4/20前後に同様のものが発見されCryptXXXと命名されましたので、本ブログでも詳細についてご報告いたします。

ランサムウェアCryptXXXとは？

CryptXXXはLocky、TeslaCrypt、CryptoWallなどと同様にファイルを暗号化、暗号化を解除するかわりに身代金を請求する脅迫型ウィルス、ランサムウェアの一種です。

感染してしまうとファイルが暗号化され開くことができなくなり、ファイルを開くには暗号化キーの入手が必要となります。

ネット上によく書かれているシャドウコピーの復元や、いわゆるデータ復旧という手法などではファイルを復元することはできません。

CryptXXXの感染原因はFlash PlayerとWEB閲覧

CryptXXXはエクスプロイトキットの一種Angler Exploit Kit（Angler EK）を介して感染します。

エクスプロイトキットは爆弾（ウィルス）を運ぶトラックのようなもので、パソコンの弱い部分を見つけウィルス感染させるルートを作ります。

CryptXXXに使用されているAngler Exploit KitはAdobe Flash Playerの脆弱性を突くエクスプロイトキットです。

Adobe Flash Playerの更新を怠っているパソコンでCryptXXXが不正に組み込まれたWEBサイトを閲覧することでランサムウェアに感染します。

CryptXXXに感染するとファイル名に.cryptの拡張子が追加

CryptXXXに感染するとファイルは下記例のようにファイル名はそのままに.cryptという拡張子が追加されます。

例）
（感染前）ファイル名.pdf → （感染後）ファイル名.PDF.crypt

また、暗号化されたファイルが存在するフォルダには以下のファイルが自動的に生成されます。
de_crypt_readme.bmp
de_crypt_readme.html
de_crypt_readme.txt

上記ファイルを開くとファイルを暗号化したことや身代金の支払方法を記載したファイルが開きます。

CryptXXXへの感染を防ぐ方法とは？

Adobe Flash Playerの更新をこまめにおこなうことでCryptXXXへの感染を防ぐことができます。

企業ではAdobe Flash Playerの必要性は無い場合が多く、他のランサムウェアもAdobe Flash Playerの脆弱性が原因で感染することを考えると、Adobe Flash Player自体のアンインストールを検討する必要があります。

多くのランサムウェアはWindows、Adobe Flash Player、JAVAを最新バージョンにしておくことで防ぐことができます。

ランサムウェアへの対策

ランサムウェア対策は４つのパートに分けられます。

残念ながらどのパートもランサムウェアの対策として100%ではありません。

全てのパートを同時に実施することで100%のランサムウェア対策となります。

１．スタッフ教育

ランサムウェアとは何か、改竄されたWEBサイトや広告からの自動ダウンロード、メールの添付ファイルなどランサムウェアの感染ルートの知識を共有することが重要です。

また、ランサムウェア対策の４つのパートについて熟知する必要があります。

２．感染予防

セキュリティ対策ソフトの導入は必須ですが、ソフトによっては予防力の低いものも存在しており、選定の際には注意が必要です。

また、Windowsやインストールされているソフトウェアの更新を滞りなくおこなう必要があります。

残念ながらセキュリティ対策ソフトの導入とソフトウェアの更新では100%の感染予防は不可能です。

３．データ保護

感染予防策をくぐり抜けたランサムウェアから重要なデータを守る必要があります。

重要なデータはバックアップを取り、バックアップデータをランサムウェアの手が届かない場所に置く必要があります。

４．対策のアップデート

ランサムウェアを含むマルウェアは進化の速度が速く、これまでも数日で状況が変わったこともありました。

その為、最新のランサムウェアへの情報収集、それらを元にしたランサムウェア対策のアップグレードが不可欠です。