セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

Dharma (ダルマ)ランサムウェアの削除方法について

ランサムウェア Dharma(ダルマ)が猛威を奮っています。

代理店様からのご相談でDharma(ダルマ)ランサムウェア感染後の対処手順をご質問いただきました。
12月より、日本でも被害が広がっているようなので、
動きや概要、削除方法や複合化ツールの存在についてお知らせします。

(2017/04/26 追記)
記事詳細より、
とりあえず元に戻すツールが欲しい方は下記
https://www.nomoreransom.org/decryption-tools.html
に有志のツールが更改されていますので、自己の責任においてご利用ください。

Dharmaの症状

 従来のランサムウェアと同様に、感染PCのファイルを暗号化して読めなくしてしまいます。

 ファイル名の拡張子が本来のファイル名の末尾に
  [請求元メールアドレス].wallet

(例)
 company.jpg
 →company.jpg.[Joker_lucker@aol.com].wallet

 conference.word
 →conference.word.[Joker_lucker@aol.com].dharma
 
 などに変更されます。
 元のファイルを読みこめる状態に戻すためには
 約1 BitCoin(2017/01時点 約¥108,000) を支払う必要があるそうです。

・マルウェアへの誘導手段
 最近AmazonやAppleから、「あなたのアカウントが使われました」
 というような内容のメールがよく届き、ここをクリックして確認ください
 というリンクが貼られています。

 今回届いたメールは、Apple IDを使って
 FaceTimeのログインがされました。心当たりありますか?
 と。
 アクセス先を確認すると
 dpbizinternship.com・・・。どこかのWebサーバに
 こっそり感染コードを仕込まれているようです。

 MACにインストールしている某セキュリティ対策ソフトや

Check Pointよりアクセスブロックのメッセージが出てきました。

今回のKriptikは、FTPなどのアカウント情報を盗むトロイですが、
同じような手口でDharmaへの感染事例を代理店様のお客様でご報告いただいています。

(2017/05/10 追記)
リモートデスクトップの3389ポートを公開している端末に感染している例があるそうです。
ポートスキャンの後パスワードクラックを経て(ブルートフォース攻撃)
Dharmaに感染させられた手口については様々なサイトで紹介されています。

各セキュリティベンダの対応状況

https://www.virustotal.com/en/file/e9e82b145d90c2c5728068a0598a17aeb239b46446ff0c809d9dfa2811d46b42/analysis/

VirusTotalという、献体されたファイルについて
セキュリティベンダ各社の対応状況が確認できるサイトがあります。
CrySiS という種類のランサムウェア(現在のDharmaは殆どがCrysis派生)の
最新版としてぽつぽつ情報が上がってきています。

2017年1月11日時点ではまだまだ検出ができていませんでした。
13社がマルウェアと判断 / 55社中という結果でした。
その中で、Kasperskyが対応していました。


(追記:2017年01月12日時点では、31/58社 対応しているということでした。)

Check Pointはアンチウイルスエンジンについて
Kasperskyの物と自社の物の両方を使用しているため対応できたようです。

感染済Dharmaの削除方法

世間では、削除ツールが出回っていますが
信頼できるところから以外の削除ツールは
他のマルウェアにさらに感染する恐れがありますので
手動での感染確認と削除の手順を記載いたします。

引用元
1)https://goo.gl/4rejvC

*日本語スクリーンショットは弊社仮想環境のWindows 10で取得しています。

1)コントロールパネルを開きアプリケーションの追加と削除を開く

該当するランサムウェアを削除する。

2)レジストリからランサムウェアのエントリを削除
 レジストリエディタを起動します。
 キーボードのWindowsキーと、Rキーを同時押しして
 ファイル名を指定して実行画面を開き

 regedit と入力して[OK]を押す

 確認画面を[OK]する。

4)レジストリエディタからの編集
(*注意:レジストリを変更する際は、必ずエクスポートを事前に実施ください)
 

 下記の3エントリを削除する。

 1.HKEY_LOCAL_MACHINE\Software\.dharma File Ransomware
 2.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “13376694984709702142491016734454”
 3.HKEY_CURRENT_USER\Software\13376694984709702142491016734454

レジストリエディタを終了して、再起動します。

Dharmaに暗号化されたファイル、データの復元方法

1)お金を払う
BitCoin、身代金を払うことで、データが復旧できる(かもしれません)
ただし、被害にあった人が身代金を支払った実績ができてしまうため
攻撃者は「ランサムウェアって儲かるのだなぁ」と、結果的に
攻撃者のランサムウェアビジネスを加速させることになります。

2)有志のツールを使用する
こちらも削除ツールと同じく、信頼できるところから以外の複合化ツールは
他のマルウェアにさらに二次感染する恐れがあります。
当社から、「明確にここにある複合化ツールは安全」とお勧めができません。
Googleなどで検索頂ければ多数見つかる複合化ツールの中から選んで試していただくことになります。
* https://www.nomoreransom.org/decryption-tools.html など
  最近Dharmaに対応されていますが、自己の責任においてご実施ください。

3)クラウドバックアップを取得しておく
暗号化された場合も、手元の環境と全く隔絶されたところに
データバックアップを取っておくと最も安心です。
復元ツールを任意のパソコンにインストールして、
いつでも好きな時点のデータを戻すことができます。

  • img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る