身代金ウィルス Lockyランサムウェアに感染させてみた 4

Facebooktwittermail

なかなか捕獲できなかったのですが、某所でLockyランサムウェアを捕獲できたので、試しに感染させてみました。

新たな多言語対応ランサムウェア「Locky」が国内でも拡散中
http://blog.trendmicro.co.jp/archives/12894

感染するとファイルを暗号化して読み取れなくしてしまいます。元に戻すにはTor経由でビットコインを送金して解除プログラムを入手する必要があります。

ただ、これには実際に解除プログラムが入手できる保証も無いので感染すると実質どうにもならないと思います。

ウィルスはjsファイルでzipで入手しました。
最新のAVG AntiVirus FreeではJS/Downloader Agentと認識します。
http://www.avgthreatlabs.com/ie-en/virus-and-malware-information/info/js-downloader-agent/
Image20160331142143

zipを解凍すると3つのファイルが作成されました。
Image20160331143152

内容を確認したところ若干の違いはあるものの%TEMP%にウィルス本体の実行ファイル(exe)をダウンロードして感染させるものです。
Image20160331143718

試しにSCN50221.txt.jsをダブルクリックで実行したところ見事にファイルが暗号化されてしまいました。

Image20160331145420

Image20160331145641

指示に従ってみるとビットコインの購入画面にたどり着きます。
買い方わからん(^^;

Image20160329163642

Image20160329164021

Image20160329164419

環境としては

  • OS 名: Microsoft Windows 10 Pro
  • OS バージョン: 10.0.10586 N/A ビルド 10586
  • Windows Defenderはインストール時のままでパターンの更新はしていない状態

js実行後にウィルス感染警告が表示されましたが、すでにexeが実行されたあとのようで感染を止めることはできませんでした。

最新の状態ではjsファイルを駆除します。

マルウェア対策クライアントのバージョン: 4.9.10586.0
エンジンのバージョン: 1.1.12603.0
ウイルス対策の定義: 1.217.279.0
スパイウェア対策の定義: 1.217.279.0
ネットワーク検査システム エンジンのバージョン: 2.1.11804.0
ネットワーク検査システム定義のバージョン: 115.44.0.0

Image20160331145053

暗号化されたファイルを元に戻す方法として幾つかあります。
Decryptor Released for the Nemucod Trojan’s .CRYPTED Ransomware
http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/#.Vvs5Ke5TCh4.twitter

RANSOMWARE WITH “CRYPTED” FILE EXTENSION IS NOW DECRYPTABLE FOR FREE
http://codingsec.net/2016/03/ransomware-crypted-encryption-solved/

Remove Locky Ransomware (Virus Removal)
http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

どれも試していないので復号化できるのかわかりません。
また、最近はHDDを丸ごと暗号化するランサムウェアも発見されています。

Petya ransomware eats your hard drives
https://blog.kaspersky.com/petya-ransomware/11715/

くれぐれも感染しないように注意して下さい。

4 thoughts on “身代金ウィルス Lockyランサムウェアに感染させてみた

  1. Reply ふじさん 11月 4,2016 16:48

    会社のセキュリティー対策でランサムウェアの感染のデモをすることになりました
    そこで検体を入手したいのですが、そちらではどこでそのzipファイルを
    入手されたのでしょうか
    さしつかえなければ教えてください

  2. Reply matsuoka 11月 4,2016 20:35

    ふじさん様
    入手はたまたまウィルス対策ソフトをすり抜けてきたメールに添付されていました。
    検体を保管していたのですが油断してウィルス対策ソフトに削除されてしました。
    捕獲はなかなか難しいです。

  3. Reply ふじさん 11月 5,2016 11:08

    了解しました
    ネットでもいろいろ探していますがなかなか見つかりません

  4. Reply matsuoka 11月 7,2016 11:36

    ふじさん様

    メールでもご連絡致しましたがWindows Defender(定義作成日2016/11/07 6:59)でTrojanDownloader:JS/Swabfex.Pと認識するTescrypt Ransomwareの亜種を捕獲しましたが必要ですか?ただ、実際に感染させていないので挙動は分かりませんが。

Leave a Reply