GandCrab ウィルスを除去する - 2018年更新

GandCrab ransomwareとは？

GandCrab ランサムウェア – 2018 年 10 月に 3 つの亜種を従えて戻ってきた暗号化型ウィルス

GandCrab ランサムウェアは、2018 年 1 月から世界中のユーザーをターゲットにしてきた、広くはびこる暗号化型ウィルスです。リリースされてから 1 年足らずの間に、このマルウェアはすでに複数の攻撃的な亜種となって何度も現れており、それらは GDCB、KRAB ランサムウェア、CRAB ウィルス、GandCrab 2、GandCrab 3、GandCrab 4、GandCrab v4.1、GanCrab v4.1.2 および GanCrab v5 となっています。最近になって 5 つ目のウィルスのバージョンがさらに 3 つの亜種に分離され、GandCrab 5.0.1、GandCrab 5.0.2、そして GandCrab 5.0.4 となっています。これらのバージョンはすべて Salsa20 および RSA-2048 を使用してデータを暗号化し、.gdcb、.crab、.KRAB、.lock および [任意の_ 5_ 文字] というファイル拡張子を付加しますが、最後のものは最新版で使われています。このマルウェアは、例えばクラック (「「画像を PDF にマージするための汎用クラック」) や偽の更新プログラムのような、感染性の実行ファイルを利用して伝搬されていました。さらに、GandCrab は、例えば RIG や GradSoft、Magnitude、および最も最近では Fallout といったエクスプロイトキットを利用して積極的に拡散されてきました 。

初めに、2 ヶ月の間積極的に配布された後、ランサムウェアはルーマニア警察の Bitdefender の専門家たち、そして Europol によ敗北を喫したかのように見えました。ランサムウェアのコードに欠陥があるのが明るみに出て、ついにサイバー犯罪者をハッキングしたのです。その結果、Bitdefender は無料の GandCrab デクリプタを作成し、NoMoreRansom で入手できるようになっていました。

しかし、どうやらこのウィルスはそこで動きを止めたわけではないようです。第二弾のバージョンは数ヶ月前に見つかりましたが、復号キーと交換に 1.54 DASH を要求しています。改良版は GandCrab v2 という名前で、ハッカーが暗号化の欠陥にパッチを当てて無料デクリプタを使えなくしたために未だに暗号を解除することができていません。現時点で、このウィルスは .CRAB というファイル拡張子を付加しています。感染の恐れがわずかでもある場合は、必ず GandCrab ランサムウェアを FortectIntego で駆除してください。

ハッカーは様々な技法で GandCrab を配布

ランサムウェアのリサーチャーは、ハッカーによりランサムウェアを拡散するために複数のメソッドが使われて要ると報告しています。当初、このウィルスはスパムメール経由で拡散されているのが見つかりました。PC セキュリティの専門家によると 、GandCrab は「Receipt Feb-21310 [任意の数字]」という件名を使っていました。送信者な名前が異なる場合もありますが、メールアドレスの後半は常に @cdkconstruction.org となります。このようなスパムメッセージには PDF も添付されており、メッセージの本文には「DOC 添付」と書かれています。

GandCrab は .doc ファイルを利用していますが、これは被害者が有害な添付ファイルをクリックするとシステムにダウンロードされる仕組です。この .doc ファイルはその後 PowerShell スクリプトを実行し、エクスプロイトファイル (sct5.txt) を作成しますが、これは現在 64 ビットシステムに影響を与えます。多くの暗号化型マルウェアのリサーチャーが指摘するように、sct5.txt ファイルはウィルスそのもののプログラムを実行することはありませんが、エクスプロイトを実行し、マルウェアが中に入り込んで媒体の役割を果たすのです。

さらに、専門家はこの暗号化型ウィルスの配布には Magnitude エクスプロイトキットが使われていると指摘しています。以前 Magniber ランサムウェア の拡散に使われ、韓国で蔓延したこのエクスプロイトキットが、現在スカンジナビア半島や他の国々への攻撃に使われています。

このエクスプロイトキットは GandCrab を実行するためにファイルを使用しない手法を提供していますが、このウィルスは VBScript.Encode/JScript.Encode スクリプトで暗号化されてメモリに挿入されます。プログラムが実行されると、ランサムウェアは explorer.exe ファイルに根付き、PC を強制的に再起動させます。その後、エンクリプタを有効にし、ファイルに .CRAB というファイル拡張子を付加してロックします。どうやら GandCrab ランサムウェアのバージョン 2 の拡散には Magnitude EK が主に使われているようです。

GandCrab は他にも Seamless として知られるマルバタイジング キャンペーン経由でも配布されています。これを利用して、被害者はまた別のエクスプロイトキットである RIG EK に誘導されます。システムの脆弱性を検出すると、それを利用してターゲットのシステムにファイル暗号化型ウィルスや別の危険な PC ウィルスを感染させるのです。

最後に、このウィルスはロシアのブラックウェブ上の Ransomware-as-a-Service (RaaS: サービスとしてのランサムウェア) としても配布されています。Check Point によると、ハッカーは画期的な GandCrab アフィリエイトプログラムによりすでに 600,000 USD 以上の身代金を集めているとのことです。ランサムウェアの開発者は参加者に毎日 24 時間のテクニカルサポートを提供する代わりに、身代金収益の 60% から 70% を支払ってきました。

リサーチャーによると、この暗号化型マルウェアは約 100 ものアクティブなアフィリエイトがおり、これらの参加者のうちの 80 はマルウェアの様々な亜種 700 個をまんまと拡散しています。感染した PC の 70% 以上がイギリスとアメリカに存在するため、英語圏の PC ユーザーに貢献してきたということになります。ただし、最近のバージョンは数カ国後で配布されており、ドイツ語、イタリア語、フランス語、そして日本語が含まれています。

GandCrab は危険なサイバー脅威で、被害者のファイルの復元に仮想通貨の Bitcoin または DASH を受け取ります。最初のウィルスのバージョンはすでに復号可能です。

ランサムウェアにより行われるその他の行為

感染すると、GandCrab ランサムウェアはシステムに保存されている最も貴重なデータを暗号化するようになります。その後、ユーザーは自分のファイルにアクセスできなくなり、GDCB-DECRYPT.txt ファイルに書かれた身代金要求メッセージによりランサムウェアの攻撃について知らされるのです:

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

身代金メモに書かれた手順に従うと、被害者は GandCrab デクリプタという名前のウェブサイトに誘導されます。そこで身代金の金額 (約 $1200)、サポートチャット、DASH のアドレスを提示され、試しに無料でファイルを復号できるように 1 つアップロードすることができるという寸法です。

ランサムウェアは特定の期間を指定しており、それに従ってトランザクションを行わないと支払う金額が二倍になるというのが特徴的です。しかし、これは単に被害者を脅し、他の可能性を探らせずに、強制的に身代金を支払わせようというだけのことです。

そこで、弊社ではこのような犯罪者のルールには従わないよう強くお勧めしています。なぜなら、フィアルへのアクセスを取り戻す別の方法、あるいは専門家が開発したデクリプタを使用するという代替手段があるからです。そのためには、GandCrab を先に駆除する必要があります。NoVirus.uk の専門家からは、感染したユーザーに対して、これが極めて危険な PC ウィルスであること、そして専門の、あるいは堅牢なアンチウィルスを使用して駆除すべきであるというアドバイスがすでに出されています。

弊社が GandCrab の駆除に最も良いと選んだのは FortectIntego または Malwarebytes です。しかし、別のアンチマルウェアソフトを使用してこのファイル暗号化型ウィルスを駆除することも可能です。本記事末尾に駆除プロシージャの開始方法について、詳しいガイドをご用意してあります。

さらに、このウィルスはご自分で「駆除してはいけません」。このように複雑なランサムウェア型のウィルスは、その存在を隠し、合法的な PC プロセスを偽装しているからです。重要なシステムファイルを削除してしまうと、コンピュータに恒久的なダメージを与えかねず、この暗号化型マルウェアが再び現れることもあり得るのです。そこで、弊社では以下の駆除ガイドをご使用をお勧めしています。

GandCrab の新しい亜種

.GDCB ファイル拡張子ウィルス。 このバージョンの GandCrab ウィルスは、オリジナルのバージョンがリリースされて数週間後に検出されました。その先祖と同様に、感染性のメールの添付ファイル経由で拡散し、その添付ファイルが開かれるとその場でペイロードが実行されます。

最も一般的なファイルをターゲットにしており、.doc、.txt、.jpg、.png、.audio、.video、などが含まれますがこの限りではなく、また各ファイルの末尾に .GDCB というファイル拡張子を付加します。被害者のデスクトップに GDCB-DECRYPT.txt ファイルを作成しますが、ここではTor ブラウザをダウンロードして 1.54 DASH の身代金を送金するよう促しています。身代金の金額は、被害者の支払いが遅れると割増になります。

GandCrab 2。 2 つ目のランサムウェアのバージョンは現在復号することはできません。この新しい亜種をリリースする前に、詐欺師たちは 3 月当初にサイバーセキュリティの専門家たちが検出した重大な暗号化の欠点にパッチを当てました。

GandCrab2 は Seamless マルバタイジングキャンペーン経由で拡散され、被害者を RIG エクスプロイトキットに誘導します。しかし、その先祖とは異なり、 HoeflerText Font Update 詐欺経由で被害者にコンタクトを取ることがあります。

GandCrab 3 ランサムウェア はこのファミリーの 3 つ目のサイバー脅威です。ファイルは AES-256 (CBC モード) + RSA-2048 アルゴリズムを利用して暗号化されており、以後アクセスできなくなります。さらに、ファイル名には .crab という拡張子が付けられ、CRAB-DECRYPT.txt という身代金メモが投下されます。

GandCrab 3 によってファイルを暗号化された被害者にとって主な違いとなるのが、仮想通貨の DASH では支払えないということです。今回は身代金を Bitcoin で払うよう求められるのです。しかし、どうかこのようなトランザクションを決して行わず、下記記載の別の復号メソッドをお読みください。

GandCrab v4 ランサムウェア のバージョンは 2018 年 7 月の頭に見つかりました。このランサムウェアも AES-256 (CBC モード) と RSA-2048 暗号化アルゴリズムを使用します。これは .KRAB ファイル拡張子を使った最初のバージョンで、身代金メモの名前には 2 種類あります。CRAB-DECRYPT.txt または KRAB-DECRYPT.txt というテキストファイルには、この攻撃に関する詳しい情報と、仮想通貨ウォレットの作り方のガイドが記載されています。

GandCrab v4.1 ランサムウェア は 4 つ目のバージョンの直後に現れました。このバージョンは少々異なり、.krab というファイル拡張子を付加します。この新しいバージョンでは、C&C サーバーの代わりにネットワーク通信機能が使われています。このバージョンはインターネット接続がなくても拡散されます。配布に SMB エクスプロイトキットが使われている可能性たあるため、このバージョンに関するレポートが数多く寄せられています。それは否定されているものの、マルウェアへの感染を防ぐには MS17-010 パッチが必要でした。

GandCrab v4.1.2 ランサムウェア (GandCrab v4.1.x) は 7 月 17 日に発見されましたが、この時はワクチンアプリが作成され、オンラインでシェアされました。このワクチンはこのバージョンのみに対応するもので、ランサムウェアが暗号化を開始する前に PC 上に特殊なファイルを作成しておき、ウィルスがデータはすでに暗号化済であると判断するように仕向けるというものです。そのファイルは、この PC がすでに感染しているかどうかも示してくれます。

GanCrab v5 ランサムウェア は 2018 年 9 月に 5.0.1、5.0.2、および 5.0.4 の各バージョンとともに現れました。これらはマルウェアの最新版です。前のバージョンとは異なり、これらは予め決められたファイル拡張子を使わず、5 文字からなる任意の文字で拡張子を 1 つ生成します。新しい身代金メモも異なっており、次のようになります: [任意に_生成された_拡張子]-DECRYPT.html

リサーチャーは、最新版では配布にエクスプロイトキットを使用せず、代わりに有害なウェブサイトに存在する感染性のインストーラを利用していると見ています。ハッカーは被害者をリダイレクトさせて、騙して有害なペイロードをダウンロードしてインストールするように仕向け、同時にドライブバイインストール手法を使用します。

残念ながら、GandCrab v5 はまだ復号できません。しかし、被害者は決して要求された身代金の $800-2400 を Dash や Bitcoin で支払ってはならず、その変わりにマルウェアを駆除しなければなりません。バックアップやサードパーティソフトを使ってファイルの回復に使用することができます。

GandCrab デクリプタを無料で入手しましょう

最近になって、NoMoreRansom.org のサイバーセキュリティの専門家が v1、v4 および v5 の GandCrab デクリプタを用意してくれました。PC がこのサイバー脅威に感染した場合は、.GDCB、.CRAB、.KRAB、.UKCZA、.YIAQDG、.CQXGPMKNR、および .HHFEHIOL というファイル拡張子が見つかるでしょう。その場合は無料ツールをインストールし、身代金を支払うこと無く暗号化されたファイルを回復させることができます。ダウンロードは こちらのリンク をクリックしてください。

ただし、このプロシージャを実行する前に専門家が注意するよう勧めていることは、GrandCrab を先に駆除してから復号ツールをインストールする点です。そうしないと、ランサムウェアが被害者の PC 上のデータを何度も繰り返し暗号化し続けることになるのです。

またシステムからランサムウェアをアンインストールするためには、専用のセキュリティツールの使用も推奨されます。弊社では本記事末尾に掲載されているものの中から 1 つ選んで使用されることを強くお勧めしています。公式の GandCrab デクリプタにより感染した情報へのアクセスを取り戻すことができない場合は、役に立ちそうな代替手段もあります。

例えば、ウィルスの一部のバージョンのみが Shadow Volume Copies を削除するようにできていることから、ShadowExplorer または類似のサードパーティ性のツールを使用して、少なくとも一部のファイルを復元することができます。さらに、バックアップがあれば、身代金を一切支払うことなくファイルを完全に復元することができます。バックアップがない場合は、本記事末尾に記載されている他のデータ復元メソッドをお読みになり、復号を試みることもできます。

GandCrab v4.1.2 ランサムウェアにはワクチンアプリがあり、ウィルスを騙して、PC 上のファイルがすでに暗号化されていると思わせます。韓国の AhnLab が、ランサムウェアのこのバージョンによりユーザーのファイルがロックされないようブロックするアプリをリリースしています。ルートドライブ上の PC の情報に基づいてユニークな ID を生成し、カスタムな Salsa20 ストリーミングアルゴリズムが形成されます。ランサムウェアは暗号化する前に、その PC がすでに感染しているかどうかを知るためにあるファイルを作成します。こうすればユーザーがランサムウェアを 2 回実行する必要がないからです。

このアプリは感染する前に予めこのようなファイルを作成するのですが、そうするとランサムウェアがもうこのデータを暗号化済だと考えるというわけです。現在のワクチンは GandCrab v4.1.2 をブロックしますが、将来的にはこのアプリで GandCrab ランサムウェアの古いバージョンにも効果があるかもしれません。古いバージョンでは若干シンプルな方法で暗号化ファイルが作られています。このツールの入手先は こちらです。

エクスプロイトキットはやはり最も一般的な攻撃の媒介とみられる

ハッカーは様々な戦術を用いて PC にランサムウェアを感染させようとします。しかし、エクスプロイトキットは最も洗練された方法であるとみなされています。このようなプログラムはシステムの脆弱性をうまく検出して特定し、それらを悪用して攻撃するのです。専門家は、GandCrab ランサムウェアが次のエクスプロイトキット経由で配布されていると言っています :

• Rig エクスプロイトキット
• GrandSoft エクスプロイトキット
• Magnitude エクスプロイトキット

さらに、ランサムウェアが配布される方法はエクスプロイトキットだけではないことが分かっています。犯罪者は信じやすい人々を利用し、欺瞞的なスパムメールに有害な添付ファイルを付けて利用します。一般に、こういったレターはお買い物のレシートやインボイス、また有名ブランドや企業からの類似の文書を偽装しています。そこで、騙されやすいユーザーは感染性の添付ファイルを開いてしまい、サイバー脅威を招き入れてしまうことになるのです。

上述のパラグラフで指摘したように、このランサムウェアの開発者は積極的にスパムメールを拡散しています。メッセージの件名は常に同じ Receipt Feb-21310 [任意の数字] で、送信者の名前だけが僅かに異なります。とはいえ、送信者のメールの後半は @cdkconstruction.org です。このスパムメールには対して情報は書かれておらず、ただ “DOC attached” (DOC 添付) とだけ書かれています。

そこで、インターネットの閲覧中やメールのモニタリング中には特に注意が必要であることをお伝えします。レターを開くときには十分に注意してください。有害なメールは、ちょっとしたスペルのミスや、「詳しくは」添付ファイルを開けという促しにより見分けることができます。怪しいメールの添付ファイルは開かないでください。特に JS、.EXE、.COM、.PIF、.SCR、.HTA、.vbs、.wsf、.jse、.jar、その他怪しいファイル拡張子は避けてください。また、怪しいウェブサイトはサイバー犯罪者によって管理され、危険性の高い PC 感染が使用されている場合があるため、そのような場所にはアクセスしないことです。

GandCrab ウィルスを駆除し、データ復元に進みましょう

感染したフィアルを復元するには、先に GandCrab を駆除する必要があります。残念ながら、そのために使えるオプションはあまり多くありません。実際のところ、唯一の手段として、専用のマルウェア除去ソフトをダウンロードし、それで PC ファイルをくまなくスキャンするしかありません。

システムを修復するには、PC 上のファイルが暗号化されていることに気づいた時点で、直ちに専用のセキュリティソフトウェアをダウンロードしてください。弊社では、GandCrab ウィルス除去には、テストに使用された FortectIntego または Malwarebytes をお勧めします。これらのアプリをどれかインストールしたら、システムの完全スキャンを実行し、このファイル暗号化型ウィルスを根絶してもらいましょう。残念ながら、これらのプログラムは暗号化されたファイルの復号はできません。

最初はマルウェア除去ツールをインストールできない場合があることに留意してください。そのような場合は、PC を再起動して Safe Mode with Networking に移動するか、System Restore を利用しましょう。そのためのステップごとのガイドや、GandCrab の駆除の仕方は本記事末尾をお読みください。さらに、弊社の専門家が、このマルウェアを無効化してランサムウェアにより暗号化されたファイルを復元するためのメソッドをご用意しました。