【概要】
■感染の特徴
- %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
- %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
- ランダムな7文字の拡張子を持つ任意のファイル
■アンチアナリシス機能
- スパムメールの件名は多少の違いがある
- 添付ファイルのハッシュ値も異なる
■特徴
- CTB-Lockerが急拡大
- CTB-Locker は2014/12から活動を開始 --複数の言語を使用
- セキュリティ対策ソフトを回避
- 巧妙なフィッシングメール --アフェリエイトプログラムの存在
- プログラムの参加者(身代金支払者)は1%を成功報酬として得られる
【ニュース】
◆ランサムウェアに感染させる新手のスパムメールが横行、米機関が注意喚起 (ITmedia, 2015/05/01 07:30)
米機関によれば「アカウントが一時的にロックされました」などのメールにだまされて添付ファイルを開くとランサムウェアに感染し、ファイルが暗号化されて身代金を要求される
http://www.itmedia.co.jp/enterprise/articles/1505/01/news051.html
⇒ https://malware-log.hatenablog.com/entry/2015/05/01/000000
◆PCのファイルが人質に! 新しい身代金型ウイルスが蔓延 (ASCII.jp, 2015/06/10 20:30)
http://ascii.jp/elem/000/001/017/1017454/
⇒ https://malware-log.hatenablog.com/entry/2015/06/10/000000_1
◆2015年1Qはランサム「CTB-Locker」が拡大 - 背景にアフィリエイト (Security NEXT, 2015/06/15)
http://www.security-next.com/059402
⇒ https://malware-log.hatenablog.com/entry/2015/06/15/000000_1
◆ウェブサイトを勝手に暗号化、金銭要求するランサムウェア - 100件以上の被害 (Security NEXT, 2016/04/01)
http://www.security-next.com/068533
⇒ https://malware-log.hatenablog.com/entry/2016/04/01/000000_2
◆ランサムウェアの攻撃受けたユーザー、17%が法人 (Security NEXT, 2016/06/01)
http://www.security-next.com/070531
⇒ https://malware-log.hatenablog.com/entry/2016/06/01/000000_6
◆ランサムウェアによる最大の標的国は日本 (Security NEXT, 2016/12/26)
http://www.security-next.com/076950
⇒ https://malware-log.hatenablog.com/entry/2016/12/26/000000
【ブログ】
◆急増するBackdoor-FCKQ (CTB-Locker) (McAfee Blog, 2015/01/23)
http://blogs.mcafee.jp/mcafeeblog/2015/01/backdoor-fckq-c-1709.html
⇒ https://malware-log.hatenablog.com/entry/2015/01/23/000000
◆CTB-Lockerへの感染が増加中 (エフセキュアブログ, 2015/02/10)
http://blog.f-secure.jp/archives/50743242.html
⇒ https://malware-log.hatenablog.com/entry/2015/02/10/000000_1
◆Stormshield exposes a new variant of the CTB-Locker malware (Stormshield)
https://www.stormshield.eu/corporate/francais-stormshield-debusque-une-nouvelle-variante-du-malware-ctb-locker/
⇒ https://malware-log.hatenablog.com/entry/2016/02/29/000000
【公開情報】
◆CTB Locker ランサムウェアまたは暗号化されたファイルの解読法 (MalwareRID, 2015/01/28)
http://www.malwarerid.jp/ctb-locker-%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%BE%E3%81%9F%E3%81%AF%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%95%E3%82%8C%E3%81%9F%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE/
⇒ https://malware-log.hatenablog.com/entry/2015/01/28/000000
【図表】
CTB-Lockerが表示する身代金についての注意書き
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合
CTB-Lockerの拡散に使われるスパムメールの例
出典: http://blog.f-secure.jp/archives/50743242.html
攻撃の流れ(引用元: SANS)
日本語の脅迫メッセージ(引用元: Symantec)
出典: http://www.itmedia.co.jp/news/articles/1505/01/news051.html
CTB-Lockerの身代金要求画面
出典: http://www.security-next.com/068533