メニュー

ランサムウェア「Jigsaw」に感染してみました & 復号メモ

2016年4月18日 - malware
ランサムウェア「Jigsaw」に感染してみました & 復号メモ

感染すると衝撃のラストという言葉が相応しいホラー映画「SAW」にでてくるビリー人形の画像と共に
「私はあなたとゲームがしたい。ルールを説明しよう。あなたのすべてのファイルが削除されていく。あなたの写真、ビデオ、書類など…」
という文章が表示され特定のファイルが暗号化され拡張子が変更されるという
ランサムウェア「Jigsaw」に感染してみました。
このランサムウェアには既にデクリプタが開発されており現在のところ復号可能な状態です。
今回はこのランサムウェアに感染し、復号までの検証をしました。

 

また、このランサムウェアは感染したコンピュータ内の特定のファイルを暗号化するだけではなく感染してから1時間ごとにファイルを1つずつ削除していきます。何かをインストールするといった理由などから再起動すると罰として1000ファイルを削除するといったようなメッセージが表示されます。メッセージは以下の通りです。

Your computer files have been encrypted. Your photos, videos, documents, etc….
But, don’t worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
Thank you

実際に試してみたところファイルは削除されましたので扱いには従来のランサムウェアよりも注意が必要です。
可能であれば感染端末上ではなく暗号化されたファイルの中で大切なものを別のコンピュータ上などにコピーしてから復号を行うのが望ましいと考えられます。

まずは感染から見ていきましょう。
今回、入手した検体は以下のようなアイコンでハッシュは下表の通りです。
01

MD5 SHA1
4C153EACDFA8807F1C8FD98E5267DA4B CE42E2C694CA4737AE68D3C9E333554C55AFEE27

下図は感染する前のデスクトップの状態です。
テスト用に作成したファイルがサムネイルで表示されていることが分かるかと思います。
02

下図は感染して暫くしてからのデスクトップの状態です。
先程の画像でサムネイルで表示されていたファイルのサムネイルが表示されなくなり拡張子も変更されています。
そして、ビリー人形のウインドウが表示されています。こちらが冒頭で紹介したメッセージが表示さているところです。
03
すべてのメッセージが表示されファイル削除のカウントダウンが表示されている画面は下図の通りです。
04

次に復号手順に移るのですが、前述した通りこのいラムサムウェアはファイルを削除するという機能を持っていますので
感染した端末上で作業する場合はまず、安全にこのランサムウェアを停止させておく必要があります。
(繰り返しになりますが、可能であれば感染していない端末上に重要なファイルをコピーしてそちらで復号作業を行うことが望ましいと考えられます)
停止作業は以下の2つです。

① スタートアップに登録されている「Jigsaw」を削除
② 現在、起動している「Jigsaw」の停止

① は、スタートメニューの[プログラムとファイルの検索](旧[ファイル名を指定して実行])から[msconfig](システムの構成)を起動し
スタートアップタブの[Firefox](実体は[%UserProfile%\AppData\Roaming\Frfx\firefox.exe])のチェックを外して[適用]ボタンをクリック。
05

② は、[Ctrl + Alt + Del]キーから[タスクマネージャ]を起動して[drpbx.exe]を停止。
06

次にデクリプタを利用します。
デクリプタは、「BleepingComputer」が、こちらからダウンロードできるようにしてくれています
デクリプタを実行し、[Select Directory]ボタンをクリックし復号を行いたいフォルダを指定します。
(下図では、デスクトップ上にある特定のディレクトリを指定していますが[C:]を指定してそれ以下にあるファイルを復号することも可能です。)
07

フォルダの設定ができたら後は、[Decrypt My File]をクリックします。
この際にデクリプタの[Delete Encrypted File?]にチェックを入れていると復号できたファイルの暗号化ファイルのほうを自動的に削除してくれます。
問題なく完了すると下図のようにファイルが復号されます。
08

 

【ランサムウェアの考えられる対策】
もちろん、ウイルス対策ソフトで感染を防ぐことができればいいのですが、どうしても検知できない可能性はついて回ります。ウイルス対策ソフトの話になるとついて回るのがどこのウイルス対策ソフトだと検知できた。できなかった。というお話しです。しかし、今回検知したからといって次回以降検知できる保証はどこにもありません。ですので、検知しない可能性を常に考えておく必要はあると思っています。ウイルス対策ソフトをどこのものを使用するかといったことよりもまず、自身のシステムに内在する脆弱性を解消しておくことのほうが先決であると思います。今回のウイルスがどういった経路で感染したかは分かりませんが、Webのアクセスにより感染したというのであればブラウザやそのプラグインであるFlashなどが古いことにより攻撃を受け、感染してしまうというケースは十分に考えられます。怪しいサイトには近寄らないということだけでは防ぐことのできない攻撃もあります。不正な広告や水飲み場のような攻撃です。そういったものを避けることが難しくなってきている以上は自身のシステムに内在する脆弱性を解消し、そういったサイトにアクセスしても大丈夫な状態にしておくことを強くお勧めします。

しかし、それでも添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であればクラウドに保存するか物理的にDVDなどのメディアに保存することをお勧めします。
そうしていれば金銭を支払わずともある程度の復旧が可能となります。

上記のことを実施しておらず、感染を許してしまった場合は攻撃者に金銭を支払うという選択肢しか残されていないということとなります。
もちろん、攻撃者に金銭を支払うことは決して推奨されるようなことではありません。
しかし、支払う金額と自身のシステム内にあるファイルの価値を天秤にかけ後者が大きく勝るようであれば金銭を支払うという選択肢を選ばざるをえない場合もあると個人的には考えています。

タグ: