2017年6月22日
こんにちは!
さくらパソコンサービスです!
ここ数日ランサムウェアLockyの亜種とみられるファイルがメールに添付されて送信されています。
当社では昨日サンプルを入手しましたが、現時点で主要なセキュリティ対策ソフトでは検知できておりません。
目次
Locky(.loptr)はメールに添付されて配布されています。
当社が入手したサンプルでは8桁の英数字がフォルダ名となったZIPファイルが英文メールに添付されていました。
ZIPファイルを解凍するとINV-[英数字8桁]がフォルダ名となったZIPファイルが出てきました。
さらに解凍するとPDFファイルに偽装したLocky(.loptr)の実行ファイルが出てきました。
このファイルをダブルクリックすることでランサムウェアLocky(.loptr)が活動を始めます。
本種ではLockyそのものにバグが発見されており、Windows XP又はWindows VISTAにおいてのみファイルの暗号化がおこなわれます。
実際にWindows 10でLocky(.loptr)の実行ファイルを開いて試してみました。
実行ファイルを開くとCPU使用率が100%を超えてエクスプローラーが固まりますが、その他は特に異常がありません。
レジストリ等も確認しましたが変更された箇所は無いようです。
Locky(.loptr)に感染するとパソコン、外付けハードディスク、ネットワーク上の共有しているフォルダ内のファイルが暗号化されます。
暗号化されたファイルの拡張子は『.loptr』に変更され、ファイルを開くことができなくなります。
暗号化されたファイルが含まれているフォルダにはloptr-[4桁の英数字].htmファイルが追加されます。
-+ _-$ .= *$_ !!! IMPORTANT INFORMATION !!!! All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) http://en.wikipedia.org/wiki/Advanced_Encryption_Standard Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server. To receive your private key follow one of the links: If all of this addresses are not available, follow these steps: 1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: g46mbrrzpfszonuk.onion/[16桁の英数字] 4. Follow the instructions on the site. !!! Your personal identification ID: [16桁の英数字] !!! _=+.*- $ - -_$|+$+=_.--=-$. |. $.|_.*=*-$$-$-_. $.+$*_* $ |..+*=
他のランサムウェアと同じく、不明な送信者からのメールの添付ファイルは開かないようにしてください。
また、ランサムウェアが手を出せない場所へファイルをバックアップしてください。
ランサムウェアへの感染対策についてご不明な点がございましたら弊社までお問い合わせください。
ランサムウェア対策は4つのパートに分けられます。
残念ながらどのパートもランサムウェアの対策として100%ではありません。
全てのパートを同時に実施することで100%のランサムウェア対策となります。
ランサムウェアとは何か、改竄されたWEBサイトや広告からの自動ダウンロード、メールの添付ファイルなどランサムウェアの感染ルートの知識を共有することが重要です。
また、ランサムウェア対策の4つのパートについて熟知する必要があります。
セキュリティ対策ソフトの導入は必須ですが、ソフトによっては予防力の低いものも存在しており、選定の際には注意が必要です。
また、Windowsやインストールされているソフトウェアの更新を滞りなくおこなう必要があります。
残念ながらセキュリティ対策ソフトの導入とソフトウェアの更新では100%の感染予防は不可能です。
感染予防策をくぐり抜けたランサムウェアから重要なデータを守る必要があります。
重要なデータはバックアップを取り、バックアップデータをランサムウェアの手が届かない場所に置く必要があります。
ランサムウェアを含むマルウェアは進化の速度が速く、これまでも数日で状況が変わったこともありました。
その為、最新のランサムウェアへの情報収集、それらを元にしたランサムウェア対策のアップグレードが不可欠です。
コメントを書く