Cryptowall 4.0が2015/11月より出荷開始

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

ランサムウェアの主要キットであるCryptowallの最新版が4.0として2015年11月より出荷されています。
JavaScript resume.jsにて初期動作し、analitics.exeの名称でプログラム自身をダウンロードし、ダウンロード完了時に160967782.exeの名称でパソコンへ保存されます。
(亜種を容易に作成することができるため、exe名称などはCryptowall 4.0基本セットから変更されている利用される可能性が高く、気を付ける必要があります。)

encrypted-files


ダウンロードしたexeが起動されると

1)直ちにExplorer.exeと「システムの復元」と「スタートアップ修復」を無効化します。
2)Windowsのボリュームシャドーコピー機能用いて「vssadmin.exe Delete Shadows /All /Quiet」を実行し、全てのボリュームシャドーコピーを削除します。
3)内臓ハードディスクやSSD、USB接続されたリムーバブルドライブ(USBメモリ、外付けHDD等)、接続済のネットワークドライブを公開鍵で暗号化します。CryptoWallの以前の版では、全てのファイルが1つか2つに結合され暗号化されていましたが、最新版のCryptoWall 4.0では、ファイルが1つづつ暗号化されるようになりました。但しファイル名も含めて完全に暗号化されており、元のファイルが何であったかの判別はできません。その後700ドルやビットコインによる支払の対価を求める画面を表示します。

crypto2

最近では、指定された連絡先にメールで支払前に連絡をすると、暗号化されたファイルの一部分の暗号を解除してくれ、ファイルを復活させることができることを証明するケースがあるようです。しかし、支払ったところで暗号化されたファイルを完全復活してくれたケースはほぼないと報告されています。Cryptowall 4.0では、完全復活させる機能はないようです。

Cryptowallで作成されたランサムウェアは、一般的にはFlashの脆弱性などを利用し、JavaScriptにてパソコンへ侵入するように作られていますが、PC Maticは、2つの方法で強力にブロックします。

1)未知のアプリケーションを一切起動許可しないホワイトリスト方式
PC Maticは、未知なアプリケーションの起動を阻止し、善良なアプリケーションか悪質なアプリケーションかを24時間以内に分類します。このため亜種のランサムウェアも起動できません。

2)Flash, Javaなどの自動更新機能により、最新版へのアップデートを常に気にしていなくても、脆弱性によるパソコンへの侵入を防御してくれる強い味方になります。IPSよりも信頼できる「根本的な解決」をPC Maticは提供しています。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る