CTB Locker ランサムウェアまたは暗号化されたファイルの解読法

 

CTB Locker

CTB Locker ランサムウェア(時としてCritoni またはCBT Locker という名前で出回ることもある)は、2014年7月に初めて公示されました。このウイルスはさまざまなファイルを暗号化することを目的とし、それらの暗号を解読するための身代金を請求します。 Windows XP、Windows Vista、Windows 7、Windows 8を含むほぼ全てのバージョンのWindowsがこのランサムウェアによって被害を受ける可能性があります。このマルウェアの排他的な特性は、TORを利用してコマンド&コントロール(C&C)サーバと通信をすることです。興味深い事実があります – CTB Locker は誰でもオンラインで$3,000 (米国ドル)で購入することができます。この金額で、全てを正しく設定するための基本的なキットや完全なサービスをCTB Locker の開発者から受け取ることになります。ということは、このウイルスの多種多様なバージョンが、異なる外見で存在する可能があるということです。マルウェアは、最初の頃から2、3回ほど変わってはいますが、Spyhuntermalwarebytesのようなマルウェア対策プログラムはこれらをインストールしてしまう前に検出し、削除する能力を有しています。

Critoni によって暗号化されたファイルは全てCTBLフォーマットに設定され、開くことができません。このランサムウェアは、一度インストールされるとコンピュータをスキャンし、ファイルを探し出してその大部分を(必ず全部というわけではなく)暗号化します。次に画面上に大きな画像を表示します。このような画像です(下記参照)。感染PCの個人的なファイルが暗号化されたと提示します。元に戻したかったら$120(米国ドル)の身代金を支払う必要があると脅迫します。支払いは仮想通貨Bitcoin(ビットコイン)を介してで行われます。

CTB

もしお使いのPCがCritoni によって感染していたら、コンピュータの%Temp% フォルダ内にランダムな名前のついたフォルダを目にするはずです。このマルウェアは、ユーザーがシステムにログインするたびに起動されます。 CTB Locker はユーザーのファイルを暗号化するのに、楕円曲線暗号を利用しており、これはかなり独特な暗号化方法です。CTB Locker がシステムのスキャンとファイルの暗号化を終えると、身代金の支払い方法に関するメッセージが表示されます。さらにPCの壁紙が%MyDocuments%AllFilesAreLocked .bmp fileに変更され、身代金の支払い方法に関する詳細が伝えられます。さらに新しく作成され、ユーザーがアクセスできるファイル – %MyDocuments%DecryptAllFiles <user_id>.txt and %MyDocuments%.html. ここにマルウェアの公式ウェブサイトへ行き支払いを済ませるために必要な情報があります。コマンド&コントロールサーバーを使った交信は、インターネットではなく排他的にTORを介してのみ行われるので、法的執行機関がこのランサムウェアの足跡を辿るのがより複雑になっているのです。しかし、不可能ではありません。システムを起動するたびに、CTB Locker マルウェアは%Temp%内に新しいランダムな名前で自身をコピーするので異様な見た目のファイルを探し出すことは可能であることを知っておくといいでしょう。

さて、お使いのコンピュータがCitroni ランサムウェアによって感染していると気づいたときの最初のステップは、Spyhuntermalwarebytesのような信用できるマルウェア対策を使ってシステムをスキャンすることです。対処は早ければ早いほうがいいです。ファイルが暗号化されたというメッセージが画面上に現れるまで、コンピュータ上の悪意のあるアプリケーションを指し示すことは非常に困難なので、これを防ぐためにコンピュータを時折スキャンすることは賢い選択であると言えます。しかし、ファイルがすでに暗号化されてしまった後でも、感染したPCをスキャンすれば少なくとも感染源を取り除き、Windowsを起動するたびに新ファイルが作成されるのを防ぐことができます。手動で操作したい場合、%Temp%フォルダからの実行ファイルを全て削除し、Windowsタスクスケジューラ内の「ランダム文字列」.jobという名前のフォルダも削除する必要があります。これは、ウイルスを取り除くというだけで既に暗号化されたファイルを解除するものではないということにご注意ください。今現在のところ、 CTB Lockerによって暗号化されたファイルを複合する方法はありません。 他のマルウェアによって暗号化されたファイルを複合するために開発されたツールは数多くあるのですが、これらにはCTB Lockerによって暗号化されたファイルを解読する能力はないのです。暗号化されたファイルを取り戻す方法が2通りだけあります – 一つは身代金を支払う、もう一つはバックアップから復元させる方法です。%MyDocuments%.html ファイルを開き、暗号化されて復元が必要なファイルを探し出してください。

CTB locker からのメッセージはこのように表示されます:

個人ファイルが暗号化された。%f0%%c0%

このコンピュータに生じた最強の暗号と独特なキーを用いて、文書、写真、データベースなどその他の重要なファイルが暗号化された。

個人的な暗号解読は秘密のインターネットサーバー上に保管され、お金を払ってプライベートキーを獲得しなければ誰も解読することはできない。

メインロッカー画面が出ているなら、ロッカー上の指示に従え。出ていなければ、あなたかウイルス対策がロッカープログラムを検出したと思われる。ファイルを解読するチャンスがあとひとつだける。

  1. インターネットにブラウザに%c1%http://torproject.org%c0%と入力。TORサイトが開く。
  2. 「Torをダウンロード」をクリックし、「Torブラウザバンドルをダウンロードする」をクリック。インストールして実行させる。
  3. これでTorブラウザを獲得。Torブラウザから%c1%http://%onion%/%c0%を開く。

このサーバーはTorブラウザを介してのみ利用可能であることに注意。

サイトが到達可能でなければ1時間以内に再試行。

  1. 以下の公共キーをサーバー上の入力フォームに記入。誤植は避けるように。

%f1%%c1%%key%%f0%%c0%

  1. サーバー上の指示に従う。

これらの指示は、ドキュメントフォルダ内に「DecryptAllFiles.txt」という名前のファイルにも保存されている。アドレスとキーはここからコピー・貼り付けして使ってもよい。

暗号化されたファイルを複合する方法

先にも述べたように、CTB Lockerによって暗号化されたファイルの暗号を解除できる可能性はありません。サイバー犯罪に対して身代金を支払わないとするなら、バックアップからファイルを復元することができます。

一番良い選択肢は、Windowsバックアップからシステム設定や設定の全てを復元してしまう方法です。しかし、これはあなたが以前にバックアップを設定している場合にのみ可能です。以前にこの操作を行っていない場合はシステムを復元することができせん。有効な復元ファイルがあったとしても、それらが保管されているディレクトリがWindowsによってカバーされていないと紛失したファイルを取り戻すことは可能でないことがあります(設定から選択できます)。

以下の方法もかなり有効的です。CTB locker はファイルを暗号化するだけではありません。コピーを作成し、それを暗号化し、それからオリジナルのファイルを削除します。このような理由から、特定のソフトウェアを使って失ったファイルを復元することができるというわけです。例えば、R-StudioやPhotorecなどがこの作業を行うことができます。CTB locker がシステムに侵入したらゆっくりと待っていることが推奨されないのはなぜかと不思議に思っているなら、それは長く待てば待つほど、ファイル復元プログラムが削除された暗号化される前のファイルを取り戻すことが困難になるからです。

ボリューム・シャドウ・コピー

オペレーションシステム上のシステム復元のオプションを使わない場合は、シャドウコピーのスナップショットを使うことができるチャンスがあります。これは、システム復元スナップショットの作成時のファイルのコピーを保存します。CTB Locker はたいてい、可能な限り全てのボリューム・シャドウ・コピーを削除するよう試みますが、完全には削除しきれないこともあります。ボリューム・シャドウ・コピーは、Windows XPサービスパック2, Windows Vista、Windows 7、およびWindows 8でのみ利用可能であることもお伝えしておかなければなりません。ボリューム・シャドウ・コピーを介してファイルを取り出す方法は2通りです。生来の旧バージョンのWindowsを使うかシャドウエクスポーラ(Shadow Explorer)を介するかのどちらかです。

生来の旧バージョンのWindows

暗号化されたファイルを右クリックして「プロパティ」から「旧バージョンのタブ」を選択します。特定のファイルにおける有効なコピー、それらがボリューム・シャドウ・コピーにいつ保存されたかを見ることができます。取り出したいファイルのバージョンを選択し、自分のディレクトリに保存したければ「コピー」をクリック、または既存する暗号化ファイルと取り換えたければ「復元」をクリックします。ファイルの内容を確認するには「開く」をクリックするだけです。

native Windows Previous Versions

シャドウエクスポーラ

これは無料でオンラインで見つけることができるプログラムです。シャドウエクスポーラはフルバージョンまたは部分的なバージョンでダウンロードできます。プログラムを開き、左上端で探しているファイルが保管されているドライブを選択します。するとそのドライブないのフォルダが全て表示されます。フォルダ全体を取り出す場合は、右クリックして「エクスポート」を選択し、どこに保存したいかを選択します。それだけです。

ShadowExplorer

DropBox上で暗号化されたファイルを復元する方法

DropBox (最もよく使われているウェブベースのファイル保管サービス)を使ってファイルを保管していて、そのファイルもまた暗号化されてしまった場合、以下を試してみることができます。

DropBox上の暗号化されたファイルを取り出すには、DropBoxのウェブサイトにおける自分のアカウントにログインしてください。それから取り出したいファイルが保管されているフォルダへ行ってください。ファイルを右クリックし、「旧バージョン」のオプションを選択してください。これでボリューム・シャドウ・コピー)のような与えられたファイルの旧バージョンが表示されます。ご希望のバージョンを選択し「復元」ボタンをクリックしてください。.

dropbox

 

 
 
 

Leave a Reply

Your email address will not be published. Required fields are marked *