CryptoWall 4.0 NuclearEK経由で配布, BizCNゲートアクター
Last Update :11月 27, 2015 に ミレーナ・ディミトロワ
CryptoWallの新しいバージョンが11月の初めに到着しました. 一部の研究者はすぐにそれをCryptoWallと呼んだ 4.0, 他の人はもっと用心深く、それを「ポイントリリース」と呼んでいました. 数週間後, すべての疑問が消えた. セキュリティ研究者は、それが確かにCryptoWallであることを確認しました 4.0. 彼らはまたそれを明らかにしました 4.0 現在、悪名高いNuclearExploitKitを介して配布されています.
エクスプロイトキットの詳細: エクスプロイトキットの攻撃 2015
さらに, 多くのAVエンジニアは CryptoWall 5.0 と 6.0 現在書かれています. ランサムウェアは現在、非常に損害を与える形態のサイバー犯罪としてだけでなく、非常に成功したソフトウェア会社の形態としても見られています。. またはおそらくマルウェア企業?
今週初め、SANS Internet Storm Centerは、個人または個人のグループが、中国のレジストラBizCNに属するドメインを使用して、NuclearEKを介してCryptoWallの最新情報を広めていることを通知しました。. セキュリティエンジニアのBradDuncanによると、ランサムウェアの第4版は当初、悪意のあるスパムやフィッシングメールを介して拡散されていました。. CryptoWall4.0のディストリビューションがエクスプロイトキットに依存するのは今回が初めてです。.
CryptoWallの詳細 4.0 :CryptoWall4.0の技術的な説明と削除
Threatpostとの会話で, ブラッドダンカンはそれを言います:
「私はいつも期待していた 4.0 CryptoWallを広げて置き換える 3.0 すべての分野で. CryptoWallのときに同じことに気づきました 2.0 元のCryptoWallを置き換えました 2014. それはすぐには起こりませんでした. 悪意のあるスパムから始まり、エクスプロイトキットに移行しました. 犯罪者がCryptoWallの配信を開始すると 4.0 エクスプロイトキットを介して, すべてのエクスプロイトキットで同時に発生するわけではありません. あなたは一人の俳優からそれを見始めるでしょう, その後、別の, と別の. ある時点で、全員が新しいバージョンに移行するでしょう。」
研究者はまた、攻撃が, BizCNドメインから起動, 最近、ゲートドメインのIPアドレスを切り替えました. これらのドメインは、侵害されたWebサイトとEKをホストしているサーバーの間の仲介サーバーとして機能します. オペレーションのカーテンの後ろにいる悪意のあるアクターは現在、NuclearExploitKitを使用しています.
これは. ダンカンは操作について言います:
「ゲートサーバーは、潜在的な被害者から送信されたHTTPヘッダーのユーザーエージェント文字列からオペレーティングシステムまたはブラウザの種類を確認できます。. ユーザーエージェント文字列に応じて, ゲートサーバーはそれに応じて応答します. BizCNゲート付き, OSがWindowsでない場合, ゲートサーバーは「404notfound」で応答します (脆弱性のないホストでリソースを浪費する必要はありません). ユーザーエージェント文字列がWindowsホストを示している場合, ゲートサーバーは 200 わかった, その後、EKサーバーへのトラフィックが生成されます。」
詳細については, あなたは詳細を参照することができます CryptoWall 4.0 SANSISCによって公開された分析 .
CryptoWall 4.0 – 何を心に留めておくべきか?
CryptoWallの更新バージョンは、被害者のファイルの名前を暗号化することが確認されています。これは、被害者をさらに混乱させる手順です。. CryptoWallのもう1つの特徴 4.0 その作者は今ユーモアのセンスを採用しているということです. はい, あなたは正しく読んだ. 更新された CryptoWall4.0のメッセージ そのようになります, 非常に明白な方法でユーザーをからかう:
'おめでとう! これで、大規模なコミュニティCryptoWallの一部になりました!'
全体, Duncanによって監視されたネットワークトラフィックは、CryptoWallとほぼ同じに見えます。 3.0, IPアドレスチェックが適用されないという唯一の違いがあります. 彼はまた、CryptoWallで見たsnortベースの署名を追加します 3.0 コールバックトラフィックは引き続き有効です 4.0.
CryptoWallを削除するにはどうすればよいですか 4.0 保護されたまま?
CryptoWallの削除 4.0 簡単な部分です, その暗号化は打ち負かすことが不可能かもしれないので. でも, 削除メソッドとそれに続く復号化プロセスをまだコンパイルしました.
1. PCをセーフモードで起動する
WindowsXPの場合, ビスタ, 7 システム:
1. すべてのCDとDVDを削除します, 次に、からPCを再起動します “始める ” メニュー.以下の2つのオプションのいずれかを選択してください:
– 単一のオペレーティングシステムを搭載したPCの場合 : プレス “F8 ” コンピュータの再起動中に最初の起動画面が表示された後、繰り返し. の場合 Windowsロゴ 画面にが表示されます, 同じタスクをもう一度繰り返す必要があります.
– 複数のオペレーティングシステムを搭載したPCの場合 : 矢印キーは、開始するオペレーティングシステムを選択するのに役立ちます セーフモード . プレス “F8 ” 単一のオペレーティングシステムについて説明したとおり.
3. として “高度なブートオプション ” 画面が表示されます, を選択 ネットワークを使用したセーフモード 矢印キーを使用して必要なオプション. あなたがあなたの選択をするとき, 押す “入る “.
4. 管理者アカウントを使用してコンピューターにログオンします
コンピュータがセーフモードになっている間, 言葉 “セーフモード ” 画面の四隅すべてに表示されます.
ステップ 1: を開きます スタートメニュー
ステップ 2: ながら Shiftキーを押したまま ボタン, クリック 力 次に、をクリックします 再起動 .ステップ 3: 再起動後, 下記メニューが表示されます. そこから選択する必要があります トラブルシューティング .
ステップ 4: が表示されます トラブルシューティング メニュー. このメニューから選択できます 高度なオプション .
ステップ 5: 後に 高度なオプション メニューが表示されます, クリック スタートアップ設定 .
ステップ 6: クリック 再起動 .
ステップ 7: 再起動するとメニューが表示されます. あなたは選ぶべきです セーフモード 対応する番号を押すと、マシンが再起動します.
2. SpyHunterマルウェア対策ツールで削除
ステップ 1: クリックしてください “ダウンロード” ボタンをクリックして、SpyHunterのダウンロードページに進みます.
ソフトウェアのフルバージョンを購入する前にスキャンを実行して、マルウェアの現在のバージョンがSpyHunterによって検出されることを確認することを強くお勧めします。.
ステップ 2: 各ブラウザに提供されているダウンロード手順に従って、自分自身をガイドしてください.ステップ 3: SpyHunterをインストールした後, それを待つ 自動的に更新 .
ステップ1: 更新プロセスが終了した後, クリックしてください '今すぐコンピュータをスキャン’ ボタン.ステップ2: SpyHunterがPCのスキャンを終了してファイルを探した後, クリックしてください '脅威を修正’ それらを自動的かつ永久に削除するボタン.ステップ3: PCへの侵入が除去されたら, することを強くお勧めします 再起動します .
3. 将来の攻撃からデータを保護するためにデータをバックアップします
セキュリティエンジニアは、ファイルをすぐにバックアップすることをお勧めします, それらを復元できるようにするために、できれば外部メモリキャリア上で. 身を守るために (Windowsユーザーの場合) これらの簡単な手順に従ってください:
1-プレス
Windowsボタン + R
2-ウィンドウに次のように入力します
'filehistory' を押して
入る
3-ファイル履歴ウィンドウが表示されます. クリック
「ファイル履歴設定を構成する」
4-ファイル履歴の設定メニューが表示されます. 「オンにする」をクリックします. その後, バックアップドライブを選択するには、[ドライブの選択]をクリックします. 外付けHDDを選択することをお勧めします, バックアップするファイルのサイズに対応するメモリ容量を持つSSDまたはUSBスティック.
5-ドライブを選択し、[OK]をクリックして、ファイルのバックアップを設定し、自分自身を保護します
.
CryptoWallで暗号化されたファイルを復元できますか 4.0?
Cryptowallの暗号化は、復号化することはほぼ不可能であると考えられています. でも, 幸いなことに、復号化が容易なさまざまな復号化方法を使用する可能性のあるいくつかの異なるバリアントが含まれている可能性があります. この記事に従って試してみてください:RSA暗号化によって暗号化されたファイルを復元する
ステップ 1
ステップ 2
ステップ 3
ステップ 4
ステップ 5
ステップ 1: SpyHunterマルウェア対策ツールでスキャンする
1. クリックしてください "ダウンロード" ボタンをクリックして、SpyHunterのダウンロードページに進みます.
ソフトウェアのフルバージョンを購入する前にスキャンを実行して、マルウェアの現在のバージョンがSpyHunterによって検出されることを確認することをお勧めします。. 対応するリンクをクリックして、SpyHunterを確認してください EULA , プライバシーポリシー と 脅威評価基準 .
2. SpyHunterをインストールした後, 自動的に更新されるのを待ちます.
3. 更新プロセスが終了した後, [マルウェア/PCスキャン]タブをクリックします. 新しいウィンドウが表示されます. 「スキャンの開始」をクリックします.
4. SpyHunterがPCのスキャンを終了して、関連する脅威のファイルを探し、それらを見つけた後, [次へ]ボタンをクリックすると、それらを自動的かつ永続的に削除することができます.
脅威が除去された場合, することを強くお勧めします PCを再起動します .
ランサムウェアの自動除去 - ビデオガイド
ステップ 2: Windows からのアンインストールおよび関連するマルウェア
これは、ほとんどのプログラムをアンインストールできるはずのいくつかの簡単な手順の方法です。. Windowsを使用しているかどうかに関係なく 10, 8, 7, VistaまたはXP, それらのステップは仕事を成し遂げます. プログラムまたはそのフォルダをごみ箱にドラッグすると、 非常に悪い決断 . あなたがそれをするなら, プログラムの断片が残されています, そしてそれはあなたのPCの不安定な仕事につながる可能性があります, ファイルタイプの関連付けやその他の不快なアクティビティに関するエラー. コンピュータからプログラムを削除する適切な方法は、それをアンインストールすることです. それをするために:
1. を保持します Windowsロゴボタン と "R " キーボード上. ポップアップウィンドウが表示されます.
2. フィールドに次のように入力します "appwiz.cpl" ENTERを押します.
3. これにより、PCにインストールされているすべてのプログラムを含むウィンドウが開きます. 削除するプログラムを選択します, を押して "アンインストール" 上記の手順に従うと、ほとんどの迷惑プログラムや悪意のあるプログラムを正常に削除できます.
ステップ 3: レジストリをクリーンアップします, コンピュータ上で作成された.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, そこによって作成されました. これは、以下の手順に従うことで発生する可能性があります:
1. を開きます 実行ウィンドウ また, タイプ "regedit" [OK]をクリックします.
2. あなたがそれを開くとき, あなたは自由にナビゲートすることができます RunとRunOnce キー, その場所は上に示されています.
3. ウイルスを右クリックして削除することで、ウイルスの価値を取り除くことができます. ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.
重要! 始める前に "ステップ 4" , お願いします 通常モードで起動します , 現在セーフモードになっている場合 . SpyHunterを使用する 5 正常に .
ステップ 4: PCをセーフモードで起動して、分離して削除します
オファー
手動での削除には通常時間がかかり、注意しないとファイルに損傷を与えるリスクがあります!
SpyHunterでPCをスキャンすることをお勧めします
覚えておいてください, SpyHunterのスキャナーはマルウェア検出専用です. SpyHunterがPCでマルウェアを検出した場合, マルウェアの脅威を削除するには、SpyHunterのマルウェア削除ツールを購入する必要があります. 読んだ
私たちのSpyHunter 5 レビュー . 対応するリンクをクリックして、SpyHunterを確認してください
EULA ,
プライバシーポリシー と
脅威評価基準
1. Windowsキーを押したまま + R.
2. The "走る" ウィンドウが表示されます. 初期化, タイプ "msconfig" [OK]をクリックします.
3. に移動します "ブート" タブ. そこに選択 "セーフブート" 次にクリックします "申し込み" と "わかった". ヒント: その後、セーフブートのチェックを外して、これらの変更を元に戻すようにしてください, これからは、システムは常にセーフブートで起動するためです。.
4. プロンプトが表示されたら, クリック "再起動" セーフモードに入る.
5. 画面の隅に書かれた言葉でセーフモードを認識できます.
ステップ 5: によって暗号化されたファイルを復元してみてください .
方法 1: Emsisoft の STOP Decrypter を使用する.
このランサムウェアのすべての亜種を無料で復号化できるわけではありません, しかし、研究者が使用する復号化機能を追加しました。これは、最終的に復号化されるバリアントで更新されることがよくあります。. 以下の手順を使用して、ファイルを復号化してみてください, しかし、それらが機能しない場合, 残念ながら、ランサムウェアウイルスの亜種は復号化できません.
以下の手順に従って、Emsisoft復号化ツールを使用し、ファイルを無料で復号化します. あなたはできる ここにリンクされているEmsisoft復号化ツールをダウンロードします 次に、以下の手順に従います:
1 右クリック 解読機でクリックします 管理者として実行 以下に示すように:
2. ライセンス条項に同意する:
3. クリック "フォルダーを追加 " 次に、下に示すように、ファイルを復号化するフォルダを追加します:
4. クリック "復号化" ファイルがデコードされるのを待ちます.
ノート: 復号化機能の功績は、このウイルスで突破口を開いたEmsisoftの研究者に与えられます.
方法 2: データ復元ソフトウェアを使用する
ランサムウェア感染と暗号化アルゴリズムを使用してファイルを暗号化することを目的としているため、復号化が非常に難しい場合があります. これが、直接復号化を回避してファイルの復元を試みるのに役立つ可能性のあるデータ回復方法を提案した理由です。. この方法はそうではないかもしれないことに注意してください 100% 効果的ですが、さまざまな状況で少しまたは大いに役立つ場合もあります.
1. 下のリンクをクリックして、推奨されるデータ回復ソフトウェアをダウンロードします:
リンクと上部のウェブサイトメニューをクリックするだけです, 選ぶ データ復旧 - データ回復ウィザード WindowsまたはMacの場合 (OSによって異なります), 次に、ツールをダウンロードして実行します.
What is Ransomware ?
は ランサムウェア 感染 - コンピュータにサイレントに侵入し、コンピュータ自体へのアクセスをブロックするか、ファイルを暗号化する悪意のあるソフトウェア.
多くのランサムウェア ウイルスは、高度な暗号化アルゴリズムを使用してファイルにアクセスできないようにします. ランサムウェア感染の目的は、ファイルへのアクセスを取り戻すために身代金の支払いを要求することです。.
What Does Ransomware Do ?
ランサムウェアは一般的に、 悪意のあるソフトウェア それは設計されたものです コンピュータまたはファイルへのアクセスをブロックするには 身代金が支払われるまで.
ランサムウェアウイルスも、 システムにダメージを与える , データの破損とファイルの削除, その結果、重要なファイルが永久に失われます.
How Does Infect ?
いくつかの方法で. ランサムウェアは送信されることによってコンピュータに感染します フィッシングメール経由, ウイルスの付着を含む . この添付ファイルは通常、重要なドキュメントとしてマスクされています, お気に入り 請求書, 銀行の書類や航空券でも ユーザーにとって非常に説得力があるように見えます.
Another way you may become a victim of is if you 偽のインストーラーをダウンロードする, 評判の低い Web サイトからのクラックまたはパッチ またはウイルスリンクをクリックした場合. 多くのユーザーが、トレントをダウンロードしてランサムウェアに感染したと報告しています.
開け方 . ファイル?
君は can't . ファイルは 暗号化
復号化ツールが機能しない場合の対処方法?
パニックになるな, と ファイルをバックアップする . ファイルが正常に, その後、絶望しないでください, このウイルスはまだ新しいので.
復元できますか "." ファイル?
はい, 時々ファイルを復元することができます. いくつか提案しました ファイルの回復方法 . ファイル.
これらの方法は決してありません 100% ファイルを取り戻すことができることを保証します. しかし、バックアップがある場合, 成功の可能性ははるかに高い.
How To Get Rid of Virus ?
このランサムウェア感染を除去するための最も安全な方法と最も効率的な方法は、 プロのマルウェア対策プログラム
ランサムウェアをスキャンして特定し、重要なものに追加の害を及ぼすことなく削除します . ファイル.
ランサムウェアによるファイルの暗号化を阻止できますか?
はい, ランサムウェアを防ぐことができます . これを行う最善の方法は、コンピュータ システムが最新のセキュリティ パッチで更新されていることを確認することです。, 評判の良いマルウェア対策プログラムを使用する とファイアウォール, 重要なファイルを頻繁にバックアップする, をクリックしないでください 悪意のあるリンク または不明なファイルのダウンロード.
Can Ransomware Steal Your Data ?
はい, ほとんどの場合、ランサムウェア あなたの情報を盗みます . It is a form of malware that steals data from a user's computer , それを暗号化します, そしてそれを解読するために身代金を要求します.
多くの場合, the マルウェアの作成者 または攻撃者がデータを削除すると脅迫するか、 オンラインで公開する 身代金が支払われない限り.
ランサムウェアは WiFi に感染する可能性がある?
はい , ランサムウェアは WiFi ネットワークに感染する可能性があります, 悪意のあるアクターがそれを使用してネットワークの制御を取得できるため, 機密データを盗む, ユーザーをロックアウトする. ランサムウェア攻撃が成功した場合, サービスやデータの損失につながる可能性があります, 場合によっては, 経済的損失.
ランサムウェアに支払うべきか?
いいえ, ランサムウェア恐喝者に支払うべきではありません . それらに支払うことは犯罪者を助長するだけであり、ファイルまたはデータが復元されることを保証するものではありません. より良いアプローチは、重要なデータの安全なバックアップを取り、そもそもセキュリティに注意を払うことです.
What Happens If I Don't Pay Ransom ?
If you don't pay the ransom , ハッカーがまだあなたのコンピュータにアクセスしている可能性があります , データ, またはファイルであり、それらを公開または削除すると脅迫し続ける可能性があります, あるいはサイバー犯罪に利用することさえあります. ある場合には, 彼らは追加の身代金の支払いを要求し続けるかもしれません.
ランサムウェア攻撃は検出できるか?
はい , ランサムウェアを検出可能. マルウェア対策ソフトウェアおよびその他の高度なセキュリティ ツール ランサムウェアを検出し、ユーザーに警告することができます マシン上に存在する場合.
ランサムウェアを確実に検出して防止できるように、最新のセキュリティ対策を常に最新の状態に保ち、セキュリティ ソフトウェアを最新の状態に保つことが重要です。.
ランサムウェア犯罪者は捕まりますか?
はい, ランサムウェア犯罪者は捕まります . 法執行機関, FBIなど, インターポールなどは、米国およびその他の国でランサムウェア犯罪者の追跡と訴追に成功している. ランサムウェアの脅威が増加し続ける中, 執行活動もそうです.
研究について
SensorsTechForum.comで公開するコンテンツ, このハウツー除去ガイドが含まれています, 広範な研究の結果です, 特定のマルウェアを削除し、暗号化されたファイルを復元するためのハードワークと私たちのチームの献身.
このランサムウェアの調査はどのように行ったのですか??
私たちの研究は、独立した調査に基づいています. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そしてそのようなものとして, 最新のマルウェアとランサムウェアの定義に関する最新情報を毎日受け取ります.
さらに, ランサムウェアの脅威の背後にある研究は VirusTotal そしてその NoMoreRansomプロジェクト .
ランサムウェアの脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.
以来、ランサムウェアとマルウェアの無料の削除手順を提供することに専念しているサイトとして 2014, SensorsTechForumの推奨事項は 信頼できる情報源にのみ注意を払う .
信頼できる情報源を認識する方法:
常に確認してください "私たちに関しては " ウェブページ.
コンテンツ作成者のプロフィール.
偽の名前やプロフィールではなく、実際の人がサイトの背後にいることを確認してください.
Facebookを確認する, LinkedInとTwitterの個人プロファイル.
CryptoWallの新しいバージョンが11月の初めに到着しました. 一部の研究者はすぐにそれをCryptoWallと呼んだ 4.0, 他の人はもっと用心深く、それを「ポイントリリース」と呼んでいました. 数週間後, すべての疑問が消えた. セキュリティ研究者は、それが確かにCryptoWallであることを確認しました 4.0. 彼らはまたそれを明らかにしました 4.0 現在、悪名高いNuclearExploitKitを介して配布されています. 
1. Windows 7、XPおよびVistaの場合.
2. Windowsの場合 8, 8.1 と 10.
1. SpyHunterをインストールして、スキャンして削除します .
1. Windowsの場合 7 およびそれ以前
上記の手順に従うと、ほとんどの迷惑プログラムや悪意のあるプログラムを正常に削除できます.
ヒント: ウイルスによって作成された値を見つけるには, あなたはそれを右クリックしてクリックすることができます "変更" 実行するように設定されているファイルを確認する. これがウイルスファイルの場所である場合, 値を削除します.
