Globe (グローブ)と自称するランサムウェアは、今月のもうひとのランサムウェアです。PokemonGo ランサムウェアと呼ばれるものも同様ですが、放浪人がホームと称する洞窟内に居住するかのごとく大衆文化の洞窟に居住する変わり者(たち)によって開発されたものです。この特定のランサムウェアウイルスは、今日のポストモダニズムの終末論的なビジョンを語る、または別の言葉で言えば現代の世界のポストモダン社会を語る、今人気のPurge (パージ)シリーズに基づいています。Globe ランサムウェアウイルスはEmsisoft サイバーセキュリティ研究者、 xXToffeeXxによって発見されました。この記事ではこの邪悪なサイバー脅威に関する詳細をお伝えします。
Globe ランサムウェアとは
Globe (グローブ)クリプトマルウェアは異なるドラマーのビートに合わせて行進しており、よく使われているAES 暗号アルゴリズムの代わりにBlowfish (ブローフィッシュ)暗号を使用することで、他の現代的なランサムウェアからは異なっています。にもかかわらず、身代金要求の注意書には、標準的な非対称暗号化を使って被害者のデータに害を与えると書かれています。身代金要求の注意書が表示される方法も、最新の暗号化マルウェアがメッセージを示す方法とは異なっています。文字とHTMLファイルで被害者に提示している従来的なこの種のウイルスと違い、Globe ウイルスはHTAまたはHTMLにて注意書を表示します。デスクトップの背景は以下のように見えます:
元々のデスクトップ背景に取って代わる「How_to_decrypt_your_files.jpg」ファイルです。興味深いその内容は、もしユーザーが何らかのサンドボックスソフトウェアをオぺレーション上で実行している場合、インストールされたGlobe ランサムウェアの読み込みによって開始されるプロセス、いわゆるmsiscan.exe 実行ファイルは初期ステージで中断されると書かれています。サンドボックスソフトウェアとは、望ましくないデータ変更が行われることを回避するセキュリティソフトウェアです。しかし何のサンドボックスもない場合、ランサムウェアはデータの暗号化を開始します。ユーザーのプロフィール、ローカルデバイス、共有されたネットワークフォルダ、そして最終的にはデスクトップのフォルダが暗号化のターゲットにされると説明されています。以下のような拡張子を持つファイルが狙われます:
aet,afp,agd1,agdl,ai,aif,aiff,aim,aip,ais,ait,ak,al,allet,amf,amr,amu,amx,amxx,ans,aoi,ap,ape,api,apj,apk,apnx,arc,arch00,ari,arj,aro,arr,arw,as,as3,asa,asc,ascx,ase,asf,ashx,asm,asmx,asp,aspx,asr,asset,asx,automaticdestinations-ms,avi,avs,awg,azf,azs,azw,azw1,azw3,azw4,b2a,back,backup,backupdb,bad,bak,bank,bar,bay,bc6,bc7,bck,bcp,bdb,bdp,bdr,bfa,bgt,bi8,bib,bic,big,bik,bin,bkf,bkp,bkup,blend,blob,blp,bmc,bmf,bml,bmp,boc,bp2,bp3,bpk,bpl,bpw,brd,bsa,bsk,bsp,btoa,bvd,c,cag,cam,camproj,cap,car,cas,cat,cbf,cbr,cbz,cc,ccd,ccf,cch,cd,cdf,cdi,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cdx,ce1,ce2,cef,cer,cert,cfg,cfp,cfr,cgf,cgi,cgm,cgp,chk,chml,cib,class,clr,cls,clx,cmf,cms,cmt,cnf,cng,cod,col,con,conf,config,contact,cp,cpi,cpio,cpp,cr2,craw,crd,crt,crw,crwl,crypt,crypted,cryptra,cs,csh,csi,csl,cso,csr,css,csv,ctt,cty,cue,cwf,d3dbsp,dac,dal,dap,das,dash,dat,database,dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbf,dbfv,db-journal,dbx,dc2,dc4,dch,dco,dcp,dcr,dcs,dcu,ddc,ddcx,ddd,ddoc,ddrw,dds,default,dem,der,des,desc,design,desklink,dev,dex,dfm,dgc,dic,dif,dii,dim,dime,dip,dir,directory,disc,disk,dit,divx,diz,djv,djvu,dlc,dmg,dmp,dng,dob,doc,docb,docm,docx,dot,dotm,dotx,dox,dpk,dpl,dpr,drf,drw,dsk,dsp,dtd,dvd,dvi,dvx,dwg,dxb,dxe,dxf,dxg,e4a,edb,efl,efr,efu,efx,eip,elf,emc,emf,eml,enc,enx,epk,eps,epub,eql,erbsql,erf,err,esf,esm,euc,evo,ex,exf,exif,f90,faq,fcd,fdb,fdr,fds,ff,ffd,fff,fh,fhd,fla,flac,flf,flp,flv,flvv,for,forge,fos,fpenc,fpk,fpp,fpx,frm,fsh,fss,fxg,gam,gdb,gfe,gfx,gho,gif,gpg,gray,grey,grf,groups,gry,gthr,gxk,gz,gzig,gzip,h,h3m,h4r,hbk,hbx,hdd,hex,hkdb,hkx,hplg,hpp,hqx,htm,html,htpasswd,hvpl,hwp,ibank,ibd,ibz,ico,icxs,idl,idml,idx,ie5,ie6,ie7,ie8,ie9,iff,iif,iiq,img,incpas,indb,indd,indl,indt,ink,inx,ipa,iso,isu,isz,itdb,itl,itm,iwd,iwi,jac,jar,jav,java,jbc,jc,jfif,jge,jgz,jif,jiff,jnt,jpc,jpe,jpeg,jpf,jpg,jpw,js,json,jsp,just,k25,kc2,kdb,kdbx,kdc,kde,key,kf,klq,kmz,kpdx,kwd,kwm,laccdb,lastlogin,lay,lay6,layout,lbf,lbi,lcd,lcf,lcn,ldb,ldf,lgp,lib,lit,litemod,lngttarch2,localstorage,log,lp2,lpa,lrf,ltm,ltr,ltx,lua,lvivt,lvl,m,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,mag,man,map,mapimail,max,mbox,mbx,mcd,mcgame,mcmeta,mcrp,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdc,mddata,mdf,mdl,mdn,mds,mef,menu,meo,mfw,mic,mid,mim,mime,mip,mjd,mkv,mlb,mlx,mm6,mm7,mm8,mme,mml,mmw,mny,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,mp3,mp4,mp4v,mpa,mpe,mpeg,mpg,mpq,mpqge,mpv2,mrw,mrwref,mse,msg,msi,msp,mts,mui,mxp,myd,myi,nav,ncd,ncf,nd,ndd,ndf,nds,nef,nfo,nk2,nop,now,nrg,nri,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,ntl,number,nvram,nwb,nx1,nx2,nxl,nyf,oab,obj,odb,odc,odf,odg,odi,odm,odp,ods,odt,oft,oga,ogg,oil,opd,opf,orf,ost,otg,oth,otp,ots,ott,owl,oxt,p12,p7b,p7c,pab,pack,pages,pak,paq,pas,pat,pbf,pbk,pbp,pbs,pcd,pct,pcv,pdb,pdc,pdd,pdf,pef,pem,pfx,php,pkb,pkey,pkh,pkpass,pl,plb,plc,pli,plus_muhd,pm,pmd,png,po,pot,potm,potx,ppam,ppd,ppf,ppj,pps,ppsm,ppsx,ppt,pptm,pptx,prc,prel,prf,props,prproj,prt,ps,psa,psafe3,psd,psk,pspimage,pst,psw6,ptx,pub,puz,pwf,pwi,pwm,pxp,py,qba,qbb,qbm,qbr,qbw,qbx,qby,qcow,qcow2,qdf,qed,qel,qic,qif,qpx,qt,qtq,qtr,r00,r01,r02,r03,r3d,ra,ra2,raf,ram,rar,rat,raw,rb,rdb,rdi,re4,res,result,rev,rgn,rgss3a,rim,rll,rm,rng,rofl,rpf,rrt,rsdf,rsrc,rsw,rte,rtf,rts,rtx,rum,run,rv,rvt,rw2,rwl,rwz,rzk,rzx,s3db,sad,saf,safe,sas7bdat,sav,save,say,sb,sc2save,sch,scm,scn,scx,sd0,sd1,sda,sdb,sdc,sdf,sdn,sdo,sds,sdt,search-ms,sef,sen,ses,sfs,sfx,sgz,sh,shar,shr,shw,shy,sid,sidd,sidn,sie,sis,sldm,sldx,slk,slm,slt,sme,snk,snp,snx,so,spd,spr,sql,sqlite,sqlite3,sqlitedb,sqllite,sqx,sr2,srf,srt,srw,ssa,st4,st5,st6,st7,st8,stc,std,sti,stm,stt,stw,stx,sud,suf,sum,svg,svi,svr,swd,swf,switch,sxc,sxd,sxg,sxi,sxm,sxw,syncdb,t01,t03,t05,t12,t13,tar,tax,tax2013,tax2014,tbk,tbz2,tch,tcx,tex,text,tg,tga,tgz,thm,thmx,tif,tiff,tlg,tlz,toast,tor,torrent,tpu,tpx,trp,ts,tu,tur,txd,txf,txt,uax,udf,uea,umx,unity3d,unr,unx,uop,uot,upk,upoi,url,usa,usx,ut2,ut3,utc,utx,uu,uud,uue,uvx,uxx,val,vault,vbox,vbs,vc,vcd,vcf,vdf,vdi,vdo,ver,vfs0,vhd,vhdx,vlc,vlt,vmdk,vmf,vmsd,vmt,vmx,vmxf,vob,vp,vpk,vpp_pc,vsi,vtf,w3g,w3x,wab,wad,wallet,war,wav,wave,waw,wb2,wbk,wdgt,wks,wm,wma,wmd,wmdb,wmmp,wmo,wmv,wmx,wotreplay,wow,wpd,wpe,wpk,wpl,wps,wsh,wtd,wtf,wvx,x11,x3f,xf,xis,xl,xla,xlam,xlc,xlk,xll,xlm,xlr,xls,xlsb,xlsm,xlsx,xlt,xltm,xltx,xlv,xlw,xlwx,xml,xpi,xps,xpt,xqx,xsl,xtbl,xvid,xwd,xxe,xxx,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp,cry,a
実に、全部で995種類ものファイル種がターゲットになります。暗号化されたファイルのファイル名には、‘‘.purge’’という拡張子が加えられます。例えば‘‘Book.pdf’’というファイルを持っていたとしましょう。Globe エンクリプターがその任務を終えると、‘‘Book.pdf.purge’’というファイルを所有することになり、中身を確認することが不可能になります。データが暗号化されると、影響を受けたフォルダ内に「How_to_restore_files.hta」ファイルが残されます。以下のような身代金の要求を含んだファイルです:
「How_to_restore_files autorun」ファイルは、ユーザーがWindowsにログインするとメッセージが自動的に表示されるよう作成されます。注意書に記されている問い合わせ先メールアドレスは:[email protected]で、身代金を支払うためのビットメッセージアドレスは :BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5と記されています。身代金の金額は明らかにされていません。ただ、彼らの言葉を信じるとするなら、Globe エンクリプターを裏で操るハッカーは控えめに「少額」であると言っています。支払い期限として1週間が与えられ、支払い後に唯一の復号鍵を受け取ることができるとされています。1週間を過ぎると、ファイルは永久的に抹消されると脅されます。また時間が経てば経つほど、身代金の金額も引き上げられるとも書かれています。
もうひとつ興味深い点は、Globe ランサムウェアにはデバッグモードがあり、ユーザーはプログラムを抑制することができます。しかし、このモードは「HKCUSoftwareGlobe “debug” = “YES”」というレジストリキーを加えて入力される必要があり、すなわち感染したユーザーはこのGlobeの機能を利用することはできません。ランサムウェアがどのように操作されているのかを分析するために、セキュリティ研究者によって搾取され得るほかないのです。
Globe ランサムウェアの拡散方法とは?
Globe ファイル暗号化ウイルスが分布される方法はいまだにはっきりしていません。感染したスパムメールやその添付ファイルを介して広がっているのかもしれないし、またはユーザーが怪しいドメインを訪問したりハッキングされた全うなウェブサイトに辿り着いてしまった際にオペレーションシステムの脆弱なところが見つかり、そこから何らかのエクスプロイトキットによってこの暗号マルウェアがダウンロードされた可能性もあります。しかしこれも仮設でしかありません。ひとつはっきりしていることは、Globe エンコーダーは他のランサムウェアの群れから際立つことを望んでいるということです。
Globe ランサムウェアによって暗号されたファイルを復号するには?
残念ながら現時点では、Globe クリプトマルウェアによって暗号化されたデータは復号することができません。このマルウェアはシャドー・ボリューム・コピーを削除し、以下のようなメッセージを残してWindows スタートアップ修復ができないようにします:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
とはいえ、セキュリティ研究者はこのまま手を挙げて降伏わけはありません。Globe ウイルスの実行ファイルが無事に取り出され、現在も分析が行われています。その結果ももうすぐお届けできるかと思います。その間はお手持ちのバックアップを使ってください。バックアップを取っておらず、復号鍵がリリースされるのを待っていられないという場合には、Recuva、R-Studio、PhotoRec、Kasperskyなどのデータ復元ソフトウェアを使ってみる手もあります。データ復元ソフトウェアを使う場合は、感染したドライブのコピーを取り、Reimage、 Spyhunter、または Malwarebytesのような専門的なマルウェア駆除ツールでマルウェアを取り除いてから行う必要があります。このようなツールを使ってウイルスを取り除くことで、コンピュータシステムが隅々まで検査されクリーンになります。またでGlobe ランサムウェアの手動駆除ガイドが下に無料で提供されていますので参考にしてください。
Globe Ransomware quicklinks
- Automatic Malware removal tools
- システム復元を使ってGlobe Ransomware を取り除く方法は?
- 2. Globe Ransomwareを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってGlobe Ransomware に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってGlobe Ransomware を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Globe Ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Globe Ransomwareを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Globe Ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってGlobe Ransomware に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Globe Ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。