なかなか捕獲できなかったのですが、某所でLockyランサムウェアを捕獲できたので、試しに感染させてみました。
新たな多言語対応ランサムウェア「Locky」が国内でも拡散中
http://blog.trendmicro.co.jp/archives/12894
感染するとファイルを暗号化して読み取れなくしてしまいます。元に戻すにはTor経由でビットコインを送金して解除プログラムを入手する必要があります。
ただ、これには実際に解除プログラムが入手できる保証も無いので感染すると実質どうにもならないと思います。
ウィルスはjsファイルでzipで入手しました。
最新のAVG AntiVirus FreeではJS/Downloader Agentと認識します。
http://www.avgthreatlabs.com/ie-en/virus-and-malware-information/info/js-downloader-agent/
内容を確認したところ若干の違いはあるものの%TEMP%にウィルス本体の実行ファイル(exe)をダウンロードして感染させるものです。
試しにSCN50221.txt.jsをダブルクリックで実行したところ見事にファイルが暗号化されてしまいました。
指示に従ってみるとビットコインの購入画面にたどり着きます。
買い方わからん(^^;
環境としては
- OS 名: Microsoft Windows 10 Pro
- OS バージョン: 10.0.10586 N/A ビルド 10586
- Windows Defenderはインストール時のままでパターンの更新はしていない状態
js実行後にウィルス感染警告が表示されましたが、すでにexeが実行されたあとのようで感染を止めることはできませんでした。
最新の状態ではjsファイルを駆除します。
マルウェア対策クライアントのバージョン: 4.9.10586.0
エンジンのバージョン: 1.1.12603.0
ウイルス対策の定義: 1.217.279.0
スパイウェア対策の定義: 1.217.279.0
ネットワーク検査システム エンジンのバージョン: 2.1.11804.0
ネットワーク検査システム定義のバージョン: 115.44.0.0
暗号化されたファイルを元に戻す方法として幾つかあります。
Decryptor Released for the Nemucod Trojan’s .CRYPTED Ransomware
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/#.Vvs5Ke5TCh4.twitter
RANSOMWARE WITH “CRYPTED” FILE EXTENSION IS NOW DECRYPTABLE FOR FREE
http://codingsec.net/2016/03/ransomware-crypted-encryption-solved/
Remove Locky Ransomware (Virus Removal)
http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html
どれも試していないので復号化できるのかわかりません。
また、最近はHDDを丸ごと暗号化するランサムウェアも発見されています。
Petya ransomware eats your hard drives
https://blog.kaspersky.com/petya-ransomware/11715/
くれぐれも感染しないように注意して下さい。
会社のセキュリティー対策でランサムウェアの感染のデモをすることになりました
そこで検体を入手したいのですが、そちらではどこでそのzipファイルを
入手されたのでしょうか
さしつかえなければ教えてください
ふじさん様
入手はたまたまウィルス対策ソフトをすり抜けてきたメールに添付されていました。
検体を保管していたのですが油断してウィルス対策ソフトに削除されてしました。
捕獲はなかなか難しいです。
了解しました
ネットでもいろいろ探していますがなかなか見つかりません
ふじさん様
メールでもご連絡致しましたがWindows Defender(定義作成日2016/11/07 6:59)でTrojanDownloader:JS/Swabfex.Pと認識するTescrypt Ransomwareの亜種を捕獲しましたが必要ですか?ただ、実際に感染させていないので挙動は分かりませんが。