Bad Rabbit ランサムウェアはただのお遊び好きなウイルスではない。2017年10月24日、大規模で世界的に流行していることが検出された。その状況はWannaCry および NotPetya 感染の危機に非常によく似ている。Bad RabbitはPetyaの新改良版という特性を持つと見なされているため、完全にランサムウェア脅威というわけではない。既に知っているかもしれないが、NotPetya はディスクコーダー、または別の呼び方をすればバイパー(毒ヘビ)と決定付けられている。Bad Rabbit マルウェアはinstall_flash_player.exe ファイルとしてオペレーティングシステムに到達する。また、infpub.datおよびrundll32.exe ファイルをC ディスクにドロップする。
Main symptoms of Bad Rabbit ランサムウェアによる主な症状、「ゲーム・オブ・スローンズ」への言及、AES ファイル暗号化
ランサムウェアは、東ヨーロッパに居住するユーザーを中心とするコンピュータに侵入してきた。これには、ウクライナ、ロシア、ブルガリア、ポーランド、アメリカ、韓国、トルコなどの地域も含まれる。Bad Rabbit ウイルスによる悪質な攻撃がさらに激しく拡散し始める可能性もあるため、組織や企業は現時点でサイバーセキュリティに重点を置く必要がある。ウクライナのインフラストラクチャー省、地下鉄システムおよびオデッサ空港がすでにこの感染の被害者となった。ロシアの一部企業もまた、Bad Rabbit マルウェアが原因でサービスが非常に危機的な状況にあることを報告している(新しいランサムウェアがロシアを攻撃 世界中に広まる).
Bad Rabbitの脅威はディスクコーダーとして働くだけでなく、被害者のデバイスにあるファイルも暗号化する。このファイル暗号化にはAES アルゴリズムが使われているようだ。さらに複雑にするため、生成された復号鍵は、ランサムウェア感染における一般的な戦略として知られるRSA-2048 サイファーでさらに暗号化されている(Bad Rabbit ランサムウェアがロシアとウクライナで猛威を振るう).
驚くかもしれないが、この感染は損傷した実行可能にオリジナルの拡張子を追加しない。代わりに、すべての破損ファイルの最後に「encrypted」というファイルマーカー文字列を追加する。このランサムウェアにおけるもうひとつの重要な側面は、リモートネットワーク共有に接続する機会を手に入れるということ。つまり、この感染がデバイスからまた別のデバイスへと送信される可能性があるということだ。もともとの発端は、ロシアのウェブサイトであるargumentiru.comから発生したと予想されている。もし覚えていれば、NotPetyaの場合、感染はM.E.Doc サーバーから送信された。
Bad Rabbit クリプトウイルスは「ゲーム・オブ・スローンズ」の狂信的なファンによって作られたと考えられる。ランサムウェアのテクニカル情報を分析中、研究者たちは人気テレビシリーズへの言及を見つけた。例えば、予定されている3つのタスクは、「ヴィセリオン」、「レイガル」、「ドロゴン」という有名なドラゴンにちなんだ名前が付けられていた。
Bad Rabbit ウイルスはドライブバイダウンロードによって提供され、より具体的に言えばAdobe Flash Player の偽アップデートによって拡散する。Webでよく訪問されているドメインの中には、サイバー犯罪者たちがHTMLのボディに不正な .js ファイル (Bad Rabbit: Not-Petya が改良されて戻ってきた)を挿入できるよう、ハッキングされたものもある。そうすると、ユーザーは感染したドメインにアクセスすると同時にFlash Player のアップデートをインストールするよう求められる。ユーザーがアップデートをセットアップすることに同意すると、Ldnscontrol.comからのファイルが実際にはWin32/FileCoder.Dに変わることが判明する。
Bad Rabbit ディスクコーダーはさらに、スパイウェアとして働くことで被害者のデータを盗むこともある。マスターブートレコード (MBR)への変更に加えて必要なものを全部セットアップすれば、被害者のコンピュータは全く起動できなくなる。人々にはNotPetya 攻撃のときに提示されていたものと同じメモが紹介される。しかしBad Rabbit マルウェアの背後にいるのが同じ人物であるかどうかには疑問の余地が残る。類似する点はあるものの多くの違いもあり、NotPetyaコードのわずか13%が再利用されているからだ。
新しく検出されたこのBad Rabbit マルウェアは、ユーザーにTORを介してウェブサイトにアクセスするよう求める。Caforssztxqzf2nm.onion ドメインは、被害者が下にあるボックスに個人のパーソナルキーを入力するべきだと示すメッセージを表示する。その後、鍵が認められれば、被害者にランサムの送金方法を詳細に説明する。要求されているランサムは0.05 BTCと示されており、これは米ドルで$274.87に相当する。ただしこの金額は最終的なランサムではないことに注意が必要だ。被害者が支払いを拒否して40時間が経てば金額は跳ね上がる。それでも、我々はこのランサムウェアにお金を払うべきではないと主張せざるを得ない。
Bad Rabbit ウイルスが利用する分布技術
感染がAdobe Flash Player の偽アップデートを介して広がっていることは既に記述した通りだ。悪質なJavaScriptsによって感染された正当なウェブサイトを経由して提示される。もしもランダムなドメインがアップデートをインストールするよう勧めてきたら、Bad Rabbit ランサムウェアのような恐ろしい感染の被害者となる可能性をなくすためにもそのような提案は拒否しなければならない。また、あるコンピュータからまた別のコンピュータへとウイルスが広がり始める可能性もある。
Bad Rabbit クリプトマルウェアが破損させたファイルを復元することは可能か?
破損したデジタルデータの復元ツールに関して話をするにはまだ早い。まずは研究者たちが徹底的な分析をし、それが可能かどうかを見極める必要がある。ありがちなアドバイスになるが、失って後悔しそうなファイルはすべてバックアップを取ることが重要だ。複数の場所にファイルを保管していれば、ランサムウェアに困らせられることはない。
除去については注意が必要だ。攻撃者のサーバーはすでに存在していないものの、感染自体がもう一度分布を試みる可能性がある。安全を期すためには、オペレーティングシステムに信頼性の高いマルウェア対策ソフトウェアをインストールしておくことが奨励される。Reimageのようなソフトウェアアプリケーションがお勧めだ。
ワクチン発見!
Amit Serperは、この脅威のサイバーウイルスに対するワクチンを公表した。以下のステップに従ってBad Rabbit ランサムウェアウイルスから身を守ることができる:
- C:Window内に「infpub.dat」および「cscc.dat」ファイルを作成する
- すべての許可(インヘリタンス)を除去する
- この感染に対する予防完了
10月27日更新: セキュリティ研究者はこの日、Bad Rabbit 感染がその分布を高速化するためにNSA エクスプロイトの修正版を利用していたと判断した。元々の攻撃との違いから、セキュリティ研究者らはこのことを最初に見つけることができなかった。
10月30日更新: Kasperskyの研究者が嬉しい発見をした: Bad Rabbit ランサムウェアの操作ミス(Decryption opportunity assessment)があったという。このような出来事のおかげで、一部の被害者はデータを復号することができるかもしれない。衝撃的なミスのひとつは、Bad Rabbit ウイルスがすべてのボリューム・シャドー・コピーを削除するコマンドを開始しないことだ。基本的なHiddenTear のサンプルでさえこのコマンドを実行できるので、これはむしろ予期していなかったことだと言える。しかし被害者にとってはいい知らせである。暗号化されたデジタルデータの少なくとも一部を復元できる可能性があるからだ。
これに加えてKaspersky の研究者はさらに、dispci.exeのコードにもミスがあり、ランサムウェアが生成されたパスワードをメモリから取り除かないことを見出した。しかし研究者たちは、これがBad Rabbit ウイルスの実際の被害者にとって有益なことであるかどうかについては論議中である。
Bad Rabbit %e3%82%a6%e3%82%a4%e3%83%ab%e3%82%b9 quicklinks
- Main symptoms of Bad Rabbit ランサムウェアによる主な症状、「ゲーム・オブ・スローンズ」への言及、AES ファイル暗号化
- Bad Rabbit ウイルスが利用する分布技術
- Bad Rabbit クリプトマルウェアが破損させたファイルを復元することは可能か?
- ワクチン発見!
- Automatic Malware removal tools
- システム復元を使ってBad Rabbit ウイルス を取り除く方法は?
- 2. Bad Rabbit ウイルスを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってBad Rabbit ウイルス に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってBad Rabbit ウイルス を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Bad Rabbit ウイルス がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Bad Rabbit ウイルスを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Bad Rabbit ウイルスに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってBad Rabbit ウイルス に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Bad Rabbit ウイルスはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。