TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

CTB-Locker (まとめ)

【概要】

■感染の特徴

  • %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
  • %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
  • ランダムな7文字の拡張子を持つ任意のファイル


■アンチアナリシス機能

  • スパムメールの件名は多少の違いがある
  • 添付ファイルのハッシュ値も異なる

■特徴

  • CTB-Lockerが急拡大
    • CTB-Locker は2014/12から活動を開始 --複数の言語を使用
    • セキュリティ対策ソフトを回避
    • 巧妙なフィッシングメール --アフェリエイトプログラムの存在
    • プログラムの参加者(身代金支払者)は1%を成功報酬として得られる


【ニュース】

◆ランサムウェアに感染させる新手のスパムメールが横行、米機関が注意喚起 (ITmedia, 2015/05/01 07:30)

米機関によれば「アカウントが一時的にロックされました」などのメールにだまされて添付ファイルを開くとランサムウェアに感染し、ファイルが暗号化されて身代金を要求される

http://www.itmedia.co.jp/enterprise/articles/1505/01/news051.html
https://malware-log.hatenablog.com/entry/2015/05/01/000000

◆PCのファイルが人質に! 新しい身代金型ウイルスが蔓延 (ASCII.jp, 2015/06/10 20:30)
http://ascii.jp/elem/000/001/017/1017454/
https://malware-log.hatenablog.com/entry/2015/06/10/000000_1

◆2015年1Qはランサム「CTB-Locker」が拡大 - 背景にアフィリエイト (Security NEXT, 2015/06/15)
http://www.security-next.com/059402
https://malware-log.hatenablog.com/entry/2015/06/15/000000_1

◆ウェブサイトを勝手に暗号化、金銭要求するランサムウェア - 100件以上の被害 (Security NEXT, 2016/04/01)
http://www.security-next.com/068533
https://malware-log.hatenablog.com/entry/2016/04/01/000000_2

◆ランサムウェアの攻撃受けたユーザー、17%が法人 (Security NEXT, 2016/06/01)
http://www.security-next.com/070531
https://malware-log.hatenablog.com/entry/2016/06/01/000000_6

◆ランサムウェアによる最大の標的国は日本 (Security NEXT, 2016/12/26)
http://www.security-next.com/076950
https://malware-log.hatenablog.com/entry/2016/12/26/000000


【ブログ】

◆急増するBackdoor-FCKQ (CTB-Locker) (McAfee Blog, 2015/01/23)
http://blogs.mcafee.jp/mcafeeblog/2015/01/backdoor-fckq-c-1709.html
https://malware-log.hatenablog.com/entry/2015/01/23/000000

◆CTB-Lockerへの感染が増加中 (エフセキュアブログ, 2015/02/10)
http://blog.f-secure.jp/archives/50743242.html
https://malware-log.hatenablog.com/entry/2015/02/10/000000_1

◆Stormshield exposes a new variant of the CTB-Locker malware (Stormshield)
https://www.stormshield.eu/corporate/francais-stormshield-debusque-une-nouvelle-variante-du-malware-ctb-locker/
https://malware-log.hatenablog.com/entry/2016/02/29/000000


【公開情報】

◆CTB Locker ランサムウェアまたは暗号化されたファイルの解読法 (MalwareRID, 2015/01/28)
http://www.malwarerid.jp/ctb-locker-%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%BE%E3%81%9F%E3%81%AF%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%95%E3%82%8C%E3%81%9F%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE/
https://malware-log.hatenablog.com/entry/2015/01/28/000000


【図表】

f:id:tanigawa:20180721091131p:plain
CTB-Lockerが表示する身代金についての注意書き
f:id:tanigawa:20200229072911p:plain
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合
f:id:tanigawa:20200229072922p:plain
CTB-Lockerの拡散に使われるスパムメールの例
出典: http://blog.f-secure.jp/archives/50743242.html


f:id:tanigawa:20180721091447j:plain
攻撃の流れ(引用元: SANS)
f:id:tanigawa:20180721091513j:plain
日本語の脅迫メッセージ(引用元: Symantec)
出典: http://www.itmedia.co.jp/news/articles/1505/01/news051.html

f:id:tanigawa:20160602061407j:plain
CTB-Lockerの身代金要求画面
出典: http://www.security-next.com/068533


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023